<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/xhtml; charset=utf-8">
<style>
div.markdown { white-space: normal; }
body { font-family: sans-serif; }
h1 { font-size: 1.4em; }
h2 { font-size: 1.2em; }
h3 { font-size: 1.1em; }
pre { margin-left: 15px; margin-right: 15px; padding: 5px; background-color: #F7F7F7; border-radius: 5px 5px 5px 5px; overflow-x: auto; max-width: 90vw; }
code { margin: 0; padding: 0 0.4em; border-radius: 3px; background-color: #F7F7F7; }
pre > code { padding: 0px; }
math[display="inline"] > mrow { padding:5px; }
div.footnotes li p { margin: 0.2em 0; }
</style>
</head>
<body>
<div class="markdown">
<p dir="auto">Hi.</p>
<p dir="auto">Clue needed, please.</p>
<p dir="auto">I’ve managed to migrate a number of zones from cron-driven signing<br />
using homegrown scripts to automatic management by named, while<br />
retaining the respective original KSK for each.</p>
<p dir="auto">Following migration, ZSK:s have been replaced as might be expected,<br />
since the keys were shorter than is nowadays recommended.<br />
The old ZSK files are still lingering in the key-directory.</p>
<p dir="auto">I’m seeing that fresh CDS and CDNSKEY are being generated, and<br />
wonder why, as the CDS RDATA matches the parent CD RDATA. I’ve<br />
deleted these using nsupdate, only to find them re-inserted<br />
some time later.</p>
<p dir="auto">Could it be significant that the parent DS TTL differs from that<br />
of the local CDS?</p>
<p dir="auto">One of the zones involved is foo.ie.</p>
<p dir="auto">The server is running BIND 9.16.27-Ubuntu, installed from ppa:isc/bind.</p>
<p dir="auto">Here below is the relevant dnssec-policy configuration fragment.</p>
<pre><code>dnssec-policy persistent {
    // This policy attempts to match or accommodate what zonefactory did
    // and gives keys unrestricted lifetime
    dnskey-ttl 3600;
    keys {
        ksk lifetime unlimited algorithm rsasha256;
        zsk lifetime unlimited algorithm rsasha256;
    };
    max-zone-ttl 3600;
    parent-ds-ttl 86400;
    parent-propagation-delay 48h;
    publish-safety 7d;
    retire-safety 7d;
    signatures-refresh 5d;
    signatures-validity 30d;
    signatures-validity-dnskey 30d;
    zone-propagation-delay 2h;
};
</code></pre>
<p dir="auto">Thanks in anticipation.</p>
<p dir="auto">Niall</p>

</div>
</body>
</html>