<br>On Sat, Oct 15, 2011 at 3:11 AM, Mark Elkins <span dir="ltr"><<a href="mailto:mje@posix.co.za">mje@posix.co.za</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Basically - create a KSK and ZSK with RSASHA1 - Sign - and visibly check<br>
the results.<br>
Add a new KSK using RSASHA256 - prep the zone and sign again.<br>
1 - Signer is confused???? - can not sign (or generate a new Signed<br>
Zone)...<br>
        Verifying the zone using the following algorithms: RSASHA1.<br>
        Missing self signing KSK for algorithm RSASHA256<br>
        The zone is not fully signed for the following algorithms:<br>
        RSASHA256.<br>
        dnssec-signzone: fatal: DNSSEC completeness test failed.<br>
<br></blockquote><div><br>
When you include DNSKEYS with multiple algorithms, both the DNSKEY RRset
 and other RRsets in the zone must be signed with each algorithm [1].  Because you designed your RSASHA256 DNSKEY as a KSK, dnssec-signzone is 
only using it to sign the DNSKEY RRset, not other RRsets.  To resolve this, create a ZSK with algorithm RSASHA256 to your zone.<br><br>Regards,<br>Casey<br><br>[1] See <a href="http://tools.ietf.org/html/rfc4035">http://tools.ietf.org/html/rfc4035</a> - section 2.2<br>
</div></div>