<div dir="ltr"><div dir="ltr"><br></div><div>That's helpful.  Very similar to what I found a minute ago on<br><a href="https://blog.apnic.net/2019/05/23/how-to-deploying-dnssec-with-bind-and-ubuntu-server/">https://blog.apnic.net/2019/05/23/how-to-deploying-dnssec-with-bind-and-ubuntu-server/</a><br></div><div><br></div><div>with their example:<br><pre style="box-sizing:inherit;font-family:Menlo,Monaco,Consolas,"Courier New",monospace;font-size:14.4px;margin-top:0px;margin-bottom:24px;border-radius:0px;background-color:rgb(242,242,242);padding:10.667px 16px;overflow:auto;line-height:1.5;color:rgb(64,64,64)">dig @localhost dnskey <a href="http://irrashai.net">irrashai.net</a> | dnssec-dsfromkey -f – <a href="http://irrashai.net">irrashai.net</a></pre></div><div>I've done this for my domain and both of my DS keys are showing up.  Tried the dnssec-dsfromkey<br>with the .key file as well and that sanity check passed.  I think I'm set up all right,</div><div>I'll need to check again with the domain registrar.</div><div><br></div><div>Thanks for the assistance.</div><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, May 16, 2022 at 11:15 AM Daniel Stirnimann <<a href="mailto:daniel.stirnimann@switch.ch">daniel.stirnimann@switch.ch</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">If you have the public key file you can do:<br>
<br>
dnssec-dsfromkey Kexample.com.+013+55640.key<br>
<a href="http://example.com" rel="noreferrer" target="_blank">example.com</a>. IN DS 55640 13 2<br>
CF681BA4D66B41912B4DC525ADFC948218EC3DBA724F266D25BD1702BE8A8BA9<br>
<br>
Or you can query the auth nameserver like this:<br>
<br>
dig @localhost <a href="http://example.com" rel="noreferrer" target="_blank">example.com</a>. DNSKEY | egrep "IN\sDNSKEY\s257" |<br>
dnssec-dsfromkey -f - <a href="http://example.com" rel="noreferrer" target="_blank">example.com</a>.<br>
<br>
Daniel<br>
<br>
<br>
On 16.05.22 16:01, frank picabia wrote:<br>
> Let's put it another way:<br>
> <br>
> Using tools like host or dig, can I look up my DS without it talking to<br>
> the domain registrar?<br>
> <br>
> If it is always getting from the domain registrar, I can't see how to<br>
> check the DS is set up all right purely within bind.<br>
> <br>
> <br>
> On Mon, May 16, 2022 at 10:16 AM Anand Buddhdev <<a href="mailto:anandb@ripe.net" target="_blank">anandb@ripe.net</a><br>
> <mailto:<a href="mailto:anandb@ripe.net" target="_blank">anandb@ripe.net</a>>> wrote:<br>
> <br>
>     On 16/05/2022 15:07, frank picabia wrote:<br>
> <br>
>     Hi Frank,<br>
> <br>
>     > I have <a href="http://dsset-example.com" rel="noreferrer" target="_blank">dsset-example.com</a> <<a href="http://dsset-example.com" rel="noreferrer" target="_blank">http://dsset-example.com</a>> showing two DS<br>
>     keys with algorithm 8.<br>
>     > I included both .key files in my DNS.  Only digest 1 comes back<br>
>     > in a dig query.<br>
>     ><br>
>     > I use dnssec-signzone tool to sign the zone file.<br>
>     ><br>
>     > The domain registrar says there is a problem with the digest 2 value.<br>
>     > It's copied directly from the dsset file.<br>
>     ><br>
>     > Not sure about the chicken and the egg in this case.  When I do a<br>
>     dig, is<br>
>     > it really<br>
>     > just getting the value back from the domain registrar?<br>
>     ><br>
>     > Any suggestions on how to ensure my digest 2 DS value is set up right?<br>
> <br>
>     We cannot help you if we cannot see the DS records or know which domain<br>
>     they are for.<br>
> <br>
>     Anand<br>
> <br>
> <br>
</blockquote></div></div>