wheezy-Upgrade: dnssec-tools, NSEC, NSEC3

Wer vor dem Upgrade auf wheezy die dnssec-tools mit NSEC statt NSEC3 benutzt hat, der wird nach dem wheezy-Update eine böse Überraschung erleben: Zonen lassen sich weder neu signieren noch der rollerd starten.

Die Fehlermeldung ist etwas nichtssagend:

**************************************** here: 2011._domainkey.billigmail.org.

Der Hintergrund ist, dass im File Fast.pm in der neuen Version von dnssec-tools anscheinend der Support für NSEC-RRs eingestellt wurde. Man muss also auf NSEC3 migrieren. Das geht folgendermaßen:

  • Als erstes löscht man aus allen .krf>-Dateien den rollmgr-Eintrag, welcher auf rollerd verweist.
  • Danach stellt man in /etc/dnssec-tools/dnssec-tools.conf den Wert usensec3 auf yes.
  • Man signiert nun alle Zonen einmal per Hand mit zonesigner.
  • Danach kann man den rollerd wieder starten.

    Ich überlege gerade noch, ob ich da nen Bugreport aufmachen soll, denn in der Doku ist dieser Stolperstein nicht beschrieben.