On Fri, Jun 4, 2010 at 3:11 AM, Tim Verhoeven <span dir="ltr"><<a href="http://tim.verhoeven.be">tim.verhoeven.be</a>@<a href="http://gmail.com">gmail.com</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br>
The second question. I've tried doing a resalt using dynamic updates<br>
but I can't get it to work. Just adding a new NSEC3PARAM RR crashes<br>
Bind and doing a delete and then a add (to replace the present RR)<br>
gives me a servfail but I see the updats in the log.<br>
What is the correct way to do a resalt when using automatic signing ?<br>
<br></blockquote><div> </div><div>This should work:<br><br>rndc freeze<br>dnssec-signzone ... # using same keys but with new NSEC3 salt<br>rndc reload<br>rndc thaw<br><br>Although, at least in earlier versions of BIND, if not all RRsets in the zone are resigned with the resign (i.e., within "interval" specified with -i), then the NSEC3 chain with the new salt is added to any existing NSEC3 chains.   There shouldn't be any ill effects from this, but it does increase the size of the zone some.<br>
<br>Regards,<br>Casey<br></div></div>