<div dir="ltr"><div dir="ltr"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><br></div></div></div></div></div></div></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 15, 2021 at 12:44 PM Tony Finch <<a href="mailto:dot@dotat.at">dot@dotat.at</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Matthijs Mekking <<a href="mailto:matthijs@isc.org" target="_blank">matthijs@isc.org</a>> wrote:<br>
> On 15-04-2021 16:35, Bob Harold wrote:<br>
> ><br>
> > If BIND holds both the child and parent zone, will it add the DS record<br>
> > at the correct time?  Or do I still need to write scripts to update the<br>
> > DS records in all my sub-zones?  And is there some signal from BIND at<br>
> > the time the DS record should be written, or do i need to calculate the<br>
> > right time?<br>
><br>
> Currently you still have to write scripts to update DS records in all<br>
> your parent zones.<br>
><br>
> The CDS/CDNSKEY records are published in the child zones that indicate<br>
> the DS should be published, so I would script against that.<br>
><br>
> Then when the DS is seen in the parent, call the rndc dnssec -checkds<br>
> published/withdrawn command.<br>
<br>
dnssec-cds can tell you what the parental DS record(s) should be. It<br>
can maintain a dsset file for each child zone that you can $INCLUDE in the<br>
parent. It's fairly bare so it needs to be wrapped with a script that does<br>
the necessary queries and updates.<br>
<br>
I don't know if the dnssec-policy stuff includes timing parameters or<br>
checks to protect against parental publication delays; if not then the<br>
wrapper script will have to keep track of time or poll the parent servers<br>
or something.<br>
<br>
Tony.<br>
-- <br>
f.anthony.n.finch  <<a href="mailto:dot@dotat.at" target="_blank">dot@dotat.at</a>>  <a href="https://dotat.at/" rel="noreferrer" target="_blank">https://dotat.at/</a><br>
Fair Isle: South 3 to 5, occasionally 6 later. Slight or moderate,<br>
becoming rough later in west. Fair. Good.</blockquote><div><br></div><div>Seeing that I still need some scripting, does anyone already have scripts that work?</div><div><br></div><div>-- </div><div>Bob Harold</div><div> </div></div></div>