<!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body><div>Mathew Ian Eis <Mathew.Eis@nau.edu> wrote:<br></div>
<div>><br></div>
<div>> > Are you allowing enough time for named to go through a zone key maintenance cycle? (which is hourly if I remember correctly)<br></div>
<div>><br></div>
<div>> I’m not sure, it sounds like perhaps not always? You’ve mentioned a “zone<br></div>
<div>> key maintenance cycle” of an hour, and the docs also casually mention<br></div>
<div>> that “by default, this [key] rollover completes in 30 days” [1].<br></div>
<div> </div>
<div>These are two separate things.<br></div>
<div> </div>
<div>The zone key maintenance timer controls when named re-examines a zone's keys (checks for changes to the files, loads new keys, etc.) I haven't checked this myself in detail, but named can get confused and upset if a key file disappears while named thinks the key is still in use, so I suspect it might go wrong if the file is deleted after the key deletion time but before the zone key timer triggers.<br></div>
<div> </div>
<div>The rollover time is related to the signature lifetime - you have to stop signing with a key, allow a month for the signatures to be replaced, then delete the key, and you specify all this with dnssec-settimes, and check it is sane with dnssec-coverage. (Which I am sure you know but I wanted to avoid confusion.)<br></div>
<div> </div>
<div>> How long after deletion time is it safe to actually remove the underlying<br></div>
<div>> key files, if it isn’t the deletion time itself?<br></div>
<div> </div>
<div>You should probably augment your key file deletion script to verify that the key has in fact gone from the zone - if you add suitable warning diagnostics it will probably reveal what is actually going wrong, more reliably than my guesses!<br></div>
<div> </div>
<div id="sig49431681"><div class="signature">Tony.<br></div>
<div class="signature">--<br></div>
<div class="signature">f.anthony.n.finch  <dot@dotat.at>  http://dotat.at/  -  I xn--zr8h punycode<br></div>
<div class="signature"> </div>
</div>
<div> </div>
</body>
</html>