Hallo,
Vorgeschichte:
Ich betreibe einen eigenen kleinen DNS Server für meine dyndns Hosts. Dafür gibt es eine Subdomain für eine bei netcup registrierte .com domain:
dyn.example.com
Die einzelnen Hosts heißen demnach
hostX.dyn.example.com
Dafür läuft ein bind9 in einem lxd Container auf einem RS bei netcup, für den eine kleine API exportiert wird, damit die Clients ihre Adressen aktualisieren können. Im CCP bei netcup gibt es einen entsprechenden Nameserver Eintrag:
dyn NS ddns.example.com (vereinfacht)
ddns ist der Hostname des DNS Servers (bzw. des entsprechenden lxd Containers). Das funktioniert soweit super und war in den letzten Monaten sehr stabil.
Vorhaben:
Das ganze soll nun dnssec lernen. Entsprechend hab ich mir dieses Know-How angesehen:
https://doku.lrz.de/display/PUBLIC/DNSSEC+mit+BIND+9.9
Die Vorgehensweise funktioniert augenscheinlich, bis auf ein Problem: Ich kriege den DS Eintrag für den Parent NS nicht ins Netcup CCP. Die dsset Datei wird wie beschrieben erzeugt, da drin ist aber nur ein Eintrag (nur der für RSASHA2):
dyn.example.com. IN DS 34939 8 2 BEB40DC948274BD637720B77694564B6C785283F1F89C3FF901466A3 B1BB5D25
Wenn ich nun aber einen DNS Eintrag im Netcup CCP vornehmen möchte, mit Host "dyn", Type "DS" und der Destination "34939 8 2 BEB40DC948274BD637720B77694564B6C785283F1F89C3FF901466A3 B1BB5D25", dann kriege ich einen Fehler:
Destination des DS-Records falsch
Was lauft da schief? Fehlt ein Eintrag für RSASHA1? Wird der Algorithmus für .com nicht unterstützt? Oder die Länge von 2048 Bit?