<div dir="ltr"><div class="gmail_default" style="font-size:small;color:rgb(0,0,0)"><font face="arial, helvetica, sans-serif">Hi, for a second day, I am scratching my head over (automatic) publishing CDS/CDNSKEY records. When I read Matthijs Mekkings KB article at <a href="https://kb.isc.org/docs/dnssec-key-and-signing-policy">https://kb.isc.org/docs/dnssec-key-and-signing-policy</a>, I wanted to try dnssec-policy. Up until now, I successfully was using inline-signing with auto-dnssec.</font><br><br><font face="arial, helvetica, sans-serif">I configured my dnssec-policy to match the current key setting, but I probably made a mistake and it did not match it, so a new key was generated. No big deal, it's a test domain, rollover is not a problem.</font><br><br><font face="arial, helvetica, sans-serif">Since my TLD supports CDNSKEY, I want to leverage it. So I removed current DS record from the domain and expected Bind to publish CDS/CDNSKEY (<a href="https://bind9.readthedocs.io/en/latest/dnssec-guide.html#the-cds-and-cdnskey-resource-records">https://bind9.readthedocs.io/en/latest/dnssec-guide.html#the-cds-and-cdnskey-resource-records</a>). Unfortunately I can not get bind to automatically publish them. No clue why. I kind of </font>expected bind to<font face="arial, helvetica, sans-serif"> publish them on PublishCDS: 20210811135045 (Wed Aug 11 15:50:45 2021) automatically.</font><br><br><font face="arial, helvetica, sans-serif">domain: <a href="http://irmorava.cz">irmorava.cz</a></font><br><font face="arial, helvetica, sans-serif">version: BIND 9.16.19</font><br><font face="arial, helvetica, sans-serif">OS: CentOS 8 Stream + packages from copr.</font><br><br><font face="arial, helvetica, sans-serif">named.conf:</font><br><font face="monospace">dnssec-policy "pepa" {<br>        keys {<br>                csk key-directory lifetime unlimited algorithm 13;<br>    };<br><br>  // Key timings<br>        dnskey-ttl PT1H;<br>      publish-safety PT1H;<br>  retire-safety PT1H;<br>   purge-keys P1D;<br><br>     // Signature timings<br>  signatures-refresh P5D;<br>       signatures-validity P14D;<br>     signatures-validity-dnskey P14D;<br>      <br>      // Zone parameters<br>    max-zone-ttl PT1H;<br>    zone-propagation-delay PT5M;<br>  parent-ds-ttl PT1H;<br>   parent-propagation-delay PT1H;<br>        nsec3param iterations 1 optout false salt-length 16;<br>};<br><br>zone "<a href="http://irmorava.cz">irmorava.cz</a>" {<br>     type master;<br>  file "master/irmorava.cz.zone";<br>     allow-update { none; };<br>       key-directory "keys/<a href="http://irmorava.cz">irmorava.cz</a>";<br>    dnssec-policy pepa;<br>   notify yes;<br>   allow-transfer { pepa_abc; };<br>};</font><br><br><br><font face="arial, helvetica, sans-serif">dig <a href="http://irmorava.cz">irmorava.cz</a> @<a href="http://127.0.0.1">127.0.0.1</a> DNSKEY +short +norec</font><br><font face="monospace">257 3 13 Xsfq5rEgoE+iT+cvq0OZz43MiLiRLeH8SUAEIprn0/J3PNZSYVlCeNuF 5lfNo6uM0TeApujDhmQ1FPNINKxa2Q==<br></font><br><br><font face="arial, helvetica, sans-serif">rndc dnssec -status <a href="http://irmorava.cz">irmorava.cz</a></font><br><font face="monospace">dnssec-policy: pepa<br>current time:  Thu Aug 12 08:38:40 2021<br><br>key: 22788 (ECDSAP256SHA256), CSK<br>  published:      yes - since Wed Aug 11 10:20:00 2021<br>  key signing:    yes - since Wed Aug 11 10:20:00 2021<br>  zone signing:   yes - since Wed Aug 11 12:25:00 2021<br><br>  No rollover scheduled<br>  - goal:           omnipresent<br>  - dnskey:         omnipresent<br>  - ds:             hidden<br>  - zone rrsig:     rumoured<br>  - key rrsig:      omnipresent<br><br>key: 44055 (ECDSAP256SHA256), CSK<br>  published:      no<br>  key signing:    no<br>  zone signing:   no<br><br>  Key has been removed from the zone<br>  - goal:           hidden<br>  - dnskey:         hidden<br>  - ds:             hidden<br>  - zone rrsig:     unretentive<br>  - key rrsig:      hidden<br><br>key: 35549 (ECDSAP256SHA256), CSK<br>  published:      no<br>  key signing:    no<br>  zone signing:   no<br><br>  Key has been removed from the zone<br>  - goal:           hidden<br>  - dnskey:         hidden<br>  - ds:             hidden<br>  - zone rrsig:     hidden<br>  - key rrsig:      hidden<br></font><br><br><br><font face="arial, helvetica, sans-serif">/var/named/keys/<a href="http://irmorava.cz/Kirmorava.cz.+013+22788.state">irmorava.cz/Kirmorava.cz.+013+22788.state</a>:</font><br><font face="monospace">; This is the state of key 22788, for <a href="http://irmorava.cz">irmorava.cz</a>.<br>Algorithm: 13<br>Length: 256<br>Lifetime: 0<br>Predecessor: 44055<br>KSK: yes<br>ZSK: yes<br>Generated: 20210811082000 (Wed Aug 11 10:20:00 2021)<br>Published: 20210811082000 (Wed Aug 11 10:20:00 2021)<br>Active: 20210811102500 (Wed Aug 11 12:25:00 2021)<br>DSPublish: 20210811131037 (Wed Aug 11 15:10:37 2021)<br>DSRemoved: 20210811131020 (Wed Aug 11 15:10:20 2021)<br><b>PublishCDS: 20210811135045 (Wed Aug 11 15:50:45 2021)<br></b>DNSKEYChange: 20210811102500 (Wed Aug 11 12:25:00 2021)<br>ZRRSIGChange: 20210811082000 (Wed Aug 11 10:20:00 2021)<br>KRRSIGChange: 20210811102500 (Wed Aug 11 12:25:00 2021)<br>DSChange: 20210811082000 (Wed Aug 11 10:20:00 2021)<br>DNSKEYState: omnipresent<br>ZRRSIGState: rumoured<br>KRRSIGState: omnipresent<br>DSState: hidden<br>GoalState: omnipresent</font><br><br><br><font face="arial, helvetica, sans-serif">As you can see, I rolled over 2 more keys, but the desired records were not published. Yesterday I tried manually 'dnssec-settime -P sync now Kirmorava.cz.+013+22788.key'. I have waited as I read here </font><a href="https://lists.isc.org/pipermail/bind-users/2020-April/102903.html">https://lists.isc.org/pipermail/bind-users/2020-April/102903.html</a> but still no luck.<br><br><font face="arial, helvetica, sans-serif">I am </font>sure I<font face="arial, helvetica, sans-serif"> am missing something stupidly simple. Could someone please give me any hint? Or are 'parental-agents' required to be configured? Does not seem right way to me.</font><br><br><font face="arial, helvetica, sans-serif">Josef</font><br></div></div>