Wer vor dem Upgrade auf wheezy die dnssec-tools mit NSEC statt NSEC3 benutzt hat, der wird nach dem wheezy-Update eine böse Überraschung erleben: Zonen lassen sich weder neu signieren noch der rollerd starten.

Die Fehlermeldung ist etwas nichtssagend:

1

**************************************** here: 2011._domainkey.billigmail.org.

Der Hintergrund ist, dass im File Fast.pm in der neuen Version von dnssec-tools anscheinend der Support für NSEC-RRs eingestellt wurde. Man muss also auf NSEC3 migrieren. Das geht folgendermaßen:

  • Als erstes löscht man aus allen `.krf`>-Dateien den `rollmgr`-Eintrag, welcher auf `rollerd` verweist.
  • Danach stellt man in `/etc/dnssec-tools/dnssec-tools.conf` den Wert `usensec3` auf `yes`.
  • Man signiert nun alle Zonen einmal per Hand mit `zonesigner`.
  • Danach kann man den `rollerd` wieder starten.

    Ich überlege gerade noch, ob ich da nen Bugreport aufmachen soll, denn in der Doku ist dieser Stolperstein nicht beschrieben.