On Fri, May 28, 2010 at 2:18 PM, Michelle Konzack <span dir="ltr"><<a href="mailto:linux4michelle@tamay-dogan.net">linux4michelle@tamay-dogan.net</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hello DNSSEC Experts,<br>
<br>
I am ongoing to install 4 new Name Servers and increse my registrar  and<br>
hosting service...<br>
<br>
OK, I have tried to make my own 4 domains with 16 zones  signed  and  it<br>
took me one hour of my life!<br>
<br>
Since I have to re-sign the zones if something change it  will  give  me<br>
headaches up to the end of my life, so my queston is:<br>
<br>
    Is there a command line tool (or a daemon) which<br>
    check for changes and re-sign the zone automated?<br>
<br></blockquote><div><br>Yes, and you really should use one.  The two most important things with signed zones are that your signatures don't expire, and that the right DNSSEC RRs are included in the zone.  So not only does it need to be resigned after changes (to include the proper DNSSEC RRs), but also periodically make sure signatures don't expire.  Here are a few of the tools written for that purpose:<br>
<br>
<a href="http://dnssec-tools.org/">http://dnssec-tools.org/</a><br><a href="http://www.opendnssec.org/">http://www.opendnssec.org/</a><br><a href="http://www.hznet.de/dns/zkt/">http://www.hznet.de/dns/zkt/</a><br><a href="http://zonetool.sourceforge.net/">http://zonetool.sourceforge.net/</a><br>
 </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I can not believe, that you are signing each zone by hand!  :-D<br>
<br>
Can an expert please check  'dig ANY <a href="http://tamay-dogan.net" target="_blank">tamay-dogan.net</a>'  whether  this  is<br>
right?<br>
<br></blockquote><div><br>Looks okay to me.  Here's what your signed zone looks like visually:<br><br></div><div><a href="http://dnsviz.net/d/tamay-dogan.net/dnssec/">http://dnsviz.net/d/tamay-dogan.net/dnssec/</a><br>
<br>Although, it looks like you perhaps didn't increment the zone serial, as only one of your authoritative servers is running a signed version of the zone.<br><br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Also I am not realy sure whether I need  "dnssec-validation yes"  in  my<br>
"options".<br>
<br></blockquote><div><br>No, this is only for resolvers that are validating answers, not authoritative servers that are serving signed zones.<br><br>Of course, if you're using the server for both and you would like to enable validation (i.e., of other signed zones), then you'll need to enable validation and establish some trusted keys as anchors.<br>
<br>Regards,<br>Casey<br></div></div>