<div dir="ltr">Hello, thanks to both of you for your help. Now I understand I have to contact my registrar in order to give it the DS of the KSK.<div><br></div><div>Please I have a last question:</div><div><br></div><div>I have two DNS servers running BIND 9.10, they have delegated my own domain, let's say "<a href="http://robert.com.uk">robert.com.uk</a>" and some other domains from our clients, let's say:</div><div><br></div><div><a href="http://client1.com.uk">client1.com.uk</a></div><div><a href="http://client2.edu.uk">client2.edu.uk</a></div><div><a href="http://client3.info.uk">client3.info.uk</a></div><div><br></div><div>Can I sign theses client zones with my ZSK, or do I have to have a different key for each domain?</div><div><br></div><div>And do I have to tell my clients I will sign their zones or it is transparent for them?</div><div><br></div><div>Thanks a lot again, regards !!!</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">El mié., 3 oct. 2018 a las 16:36, Mark Andrews (<<a href="mailto:marka@isc.org">marka@isc.org</a>>) escribió:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">You give the matching DS record via your registrar much the same way as you do the NS RRset or glue address records.  If your registrar doesn’t support DNSSEC you will need to change registrars.<div><br></div><div>If your parent zone uses CDS or CDNSKEY then publish those records at the zone apex. <br><div><br></div><div>If your parent zone is not signed then start complaining.<br><div><br><div id="m_-4286774890683613586AppleMailSignature" dir="ltr">-- <div>Mark Andrews</div></div><div dir="ltr"><br>On 4 Oct 2018, at 05:24, Roberto Carna <<a href="mailto:robertocarna36@gmail.com" target="_blank">robertocarna36@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div dir="ltr"><div dir="ltr"><div>Dear people, I have DNSSEC implemented in my authoritative domain in BIND 9.10. I've created the KSK and ZSK too.</div><div><br></div><div>Let's say my domain is "<a href="http://robert.com.uk" target="_blank">robert.com.uk</a>".</div><div><br></div><div>How do I have to give the KSK (key signing key) to my parent zones, let's say COM and UK ???</div><div><br></div><div>And what if COM or UK don't use DNSSEC at all ???</div><div><br></div><div>Thanking in advance,</div><div><br></div><div>Robert<br></div></div>
</div></blockquote><blockquote type="cite"><div dir="ltr"><span>_______________________________________________</span><br><span>Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list</span><br><span></span><br><span>bind-users mailing list</span><br><span><a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a></span><br><span><a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a></span><br></div></blockquote></div></div></div></div></blockquote></div>