<div dir="ltr"><div>Hello.</div><div><br></div>I don't think that bind trying to sign with non-existent key will do any harm - probably just warning.<div>But it's simpler - change metadata of the key - set deletion time to the time you want the key to be deleted (like DS deletion time+TTL).</div>
<div>Bind with auto-dnnsec allow re-reads the metadata and should remove the key and all the signatures at that time.<br><div><br></div><div>You don't need nsupdate nor update-policy for that.</div><div><br></div><div>
Regards,</div><div>Alexander Gurvitz,</div><div><a href="http://net-me.net">net-me.net</a></div><div><br></div></div></div>