<font size=2 face="sans-serif">Hi Dan - </font>
<br>
<br><tt><font size=2>> I've set up opendnssec 1.0.0rc1 and softhsm 1.1.1
on an RHEL5 x64 system, <br>
> and added an initial zone.</font></tt>
<br>
<br><tt><font size=2>Can I ask if you have updated ldns to 1.6.3? This
looks like the bug which was fixed between version 1.6.2 and 1.6.3 (NSEC3
bitmaps). [The NSEC3 record in the zone below incorrectly includes NSEC
in the bitmap]</font></tt>
<br>
<br><tt><font size=2>> The zone is signed by the signer, but a bunch
of strange records are<br>
> added</font></tt>
<br>
<br><tt><font size=2>These are the NSEC3 records. If you do not need to
prevent zone walking, and your zone is not so large that opt-out is a requirement,
then you are just as well served by NSEC (which does not require the "strange
records" in the signed zone).</font></tt>
<br>
<br><tt><font size=2>Thanks,</font></tt>
<br>
<br>
<br><tt><font size=2>Alex.</font></tt>
<br><tt><font size=2><br>
> <br>
> The zone is signed by the signer, but a bunch of strange records are<br>
> added, and the auditor correctly prevents it from being published
(go,<br>
> auditor).  It appears some encoded data from a signature or key
is<br>
> being used instead of the rrset name for the NSEC3 record & sig.<br>
> <br>
> Here's the beginning of my zone file (full signed & unsigned files
attached).<br>
> <br>
> <br>
> <br>
> <br>
>    ucaid.edu.      3600    IN  
   SOA     dns2.internet2.edu. <br>
> hostmaster.internet2.edu. 2009120700 7200 3600 604800 3600<br>
>    f.ucaid.edu.    21600   IN    
 A       127.0.1.1<br>
>    f.ucaid.edu.    21600   IN    
 RRSIG   A 7 3 21600 <br>
> 20091215093248 20091207210305 36795 ucaid.edu. <br>
> MLA8Zp8A8BxtsH4D5IbyItZfeGiAbe1rHVOOC/<br>
> kSYdkoaEE6VDRheUBjnUx3NfpwwMhKNvzEGYAMz4DK8vwjItawc4mElKyPNFbaY<br>
> +YkLpMBesH2ByzaNUBFVQPZgIckEt6KE3QGpNSoCbW9VPIX7HPaLkozOb09NNQepONFr/<br>
> I= ;{id = 36795}<br>
>    0h3cgtfk2gtfveu2ov029uf9q204utvo.ucaid.edu.    
3600    IN      <br>
> NSEC3   1 0 5 47be864fd7bacede  1hdjlgnsii3s0mcsb3b1f49nqfvc9lgf
A RRSIG NSEC<br>
>    0h3cgtfk2gtfveu2ov029uf9q204utvo.ucaid.edu.    
3600    IN      <br>
> RRSIG   NSEC3 7 3 3600 20091215083751 20091207210305 36795 <br>
> ucaid.edu. Yarwa5Uw0vxzHZ9hsdgNbsG<br>
> +kDievhev1APkYJ1KujwNqBMKZzWEWeWo9B/b4VqaxEwCNPxBg8+MOWHv3FfI<br>
> +f94cJzytOtSLPCTiziMi4ge8m9QKhWTFzokI5l3z6t<br>
> +N3SbnHdlWumUsfrHfAcWSvJ6GtpxbLrwx6e3QMiAYsU= ;{id = 36795}<br>
>    tsgdev0-29.ucaid.edu.   21600   IN    
 A       207.75.164.29<br>
> <br>
> in case it's not obvious, 0h3cgtfk2gtfveu2ov029uf9q204utvo.ucaid.edu<br>
> occurs nowhwere in the input :)<br>
> <br>
> <br>
> MOre configuration details as necessary.<br>
> <br>
> thanks<br>
> <br>
> danno<br>
> --<br>
> Dan Pritts, Sr. Systems Engineer<br>
> Internet2<br>
> office: +1-734-352-4953 | mobile: +1-734-834-7224<br>
> <br>
> Winter 2010 ESCC/Internet2 Joint Techs<br>
> Hosted by the University of Utah - Salt Lake City, UT<br>
> January 31 - February 4, 2010<br>
> </font></tt><a href="http://events.internet2.edu/2010/jt-slc/"><tt><font size=2>http://events.internet2.edu/2010/jt-slc/</font></tt></a><tt><font size=2><br>
> [attachment "unsigned.zone" deleted by Alex Dalitz/Nominet]
<br>
> [attachment "finalized.zone" deleted by Alex Dalitz/Nominet]
<br>
> _______________________________________________<br>
> Opendnssec-user mailing list<br>
> Opendnssec-user@lists.opendnssec.org<br>
> </font></tt><a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user"><tt><font size=2>https://lists.opendnssec.org/mailman/listinfo/opendnssec-user</font></tt></a><tt><font size=2><br>
</font></tt>