Wer vor dem Upgrade auf wheezy die dnssec-tools mit NSEC statt NSEC3
benutzt
hat,
der wird nach dem wheezy-Update eine böse Überraschung erleben: Zonen lassen
sich weder neu signieren noch der rollerd
starten.
Die Fehlermeldung ist etwas nichtssagend:
**************************************** here: 2011._domainkey.billigmail.org.
Der Hintergrund ist, dass im File Fast.pm
in der neuen Version von
dnssec-tools anscheinend der Support für NSEC-RRs eingestellt wurde. Man muss
also auf NSEC3 migrieren. Das geht folgendermaßen:
.krf
>-Dateien den rollmgr
-Eintrag, welcher auf rollerd
verweist.
/etc/dnssec-tools/dnssec-tools.conf
den Wert usensec3
auf yes
.
zonesigner
.
rollerd
wieder starten.
Ich überlege gerade noch, ob ich da nen Bugreport aufmachen soll, denn in der Doku ist dieser Stolperstein nicht beschrieben.