<div dir="ltr"><div style="font-size:12.8px">Tried to  include DNSKEY, RRSIG for the KSK manually in the unsigned zone file along with the ZSK key ($INCLUDE dynamic/example.com.+008+012345.key). The dnssec-signzone succeeded, even though it was complaining about the path for KSK.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"># dnssec-signzone-pkcs11 <a href="http://example.com/" target="_blank">example.com</a></div><div style="font-size:12.8px">dnssec-signzone: warning: dns_dnssec_keylistfromrdataset: error reading private key file <a href="http://example.com/RSASHA256/23456" target="_blank">example.com/RSASHA256/23456</a>: file not found</div><div style="font-size:12.8px">Verifying the zone using the following algorithms: RSASHA256.</div><div style="font-size:12.8px">Zone fully signed:</div><div style="font-size:12.8px">Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked</div><div style="font-size:12.8px">                      ZSKs: 1 active, 0 stand-by, 0 revoked</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"># dig @localhost <a href="http://example.com/" target="_blank">example.com</a> dnskey +dnssec</div><div style="font-size:12.8px">;; ANSWER SECTION:</div><div style="font-size:12.8px"><a href="http://example.com/" target="_blank">example.com</a>.                 3600    IN      DNSKEY  256 3 8 AwEAAdkaiQFx+JpWOla3vhucotyePO/....</div><div style="font-size:12.8px"><a href="http://example.com/" target="_blank">example.com</a>.                 3600    IN      DNSKEY  257 3 8 AwEAAZt2BKCYKvu6Avr.....</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">But when I tried to include the same unsigned zone file and used rndc tool (rndc sign <a href="http://example.com/" target="_blank">example.com</a>) or named restart the signed zone file generated does not have the DNSKEY for KSK.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"># dig @localhost <a href="http://example.com/" target="_blank">example.com</a> dnskey +dnssec</div><div style="font-size:12.8px">;; ANSWER SECTION:</div><div style="font-size:12.8px"><a href="http://example.com/" target="_blank">example.com</a>.                 3600    IN      DNSKEY  256 3 8 AwEAAdkaiQFx+JpWOla3vhucotyePO/....</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Any ideas?</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">--</div><div style="font-size:12.8px">arun</div></div>