<div dir="ltr">Hi,<div><br></div><div>I have 5 signed zones ( 2 x .email, 2 x .com and 1 x .<a href="http://co.uk/" target="_blank">co.uk</a> ).</div><div><br></div><div>I used Webmin to do the heavy lifting of signing/resigning etc. </div><div><br></div><div>Only 2 of the 5 zones are recognised as (DNSSEC Signed) by BIND on restart/zone application and that fact is reported in the system logs.</div><div><br></div><div>I’m trying to work out why 3 are failing to be recognised as Signed.</div><div><br></div><div>No errors are reported as part of the signing process. The zonefiles appear to have loads of DNSSEC related resource records. </div><div><br></div><div>e.g.</div><ul class="gmail-m_5237226592074044661itemizedlist" style="color:rgb(51,51,51);font-family:helvetica,arialmt,verdana,arial,sans-serif"><li class="gmail-m_5237226592074044661listitem">RRSIG (digital signature)</li><li class="gmail-m_5237226592074044661listitem">DNSKEY (public key)</li><li class="gmail-m_5237226592074044661listitem">DS (parent-child)</li><li class="gmail-m_5237226592074044661listitem">NSEC (proof of nonexistence)</li><li class="gmail-m_5237226592074044661listitem">NSEC3 (proof of nonexistence)</li><li class="gmail-m_5237226592074044661listitem">NSEC3PARAM (proof of nonexistence)</li></ul><div>and the parent registrar has had DS records added.</div><div><br></div><div>As bind is not flagging the zone as signed its not returning RRSIGs in the Answer section of a query ( although they are provided in the Additional section ).</div><div><br></div><div>I’m not really sure what the criteria is for bind to decide a zone is signed.</div><div><br></div><div>The same process is being used to sign/resign the 5 zones but only 2 are flagged as signed.</div><div><br></div><div>Any tips on how to debug this would be appreciated.</div><div><br></div><div>Thanks,</div><div><br></div><div>Jay</div></div>