<div dir="ltr"><div>Hi,</div><div><br></div><div>Ok, I got confused, no need for the keys on the slavs actually.<br><br>On the other hand, my slaves should generate the .signed, .signed.jnl and .jbk files of my zones, no? currently it is not my case, should I copy them from the master?<br><br>moreover, when I test a "dig A" I don't have the associated RRSIG when I do my "dig A" on a slave while on the master I do.<br><br></div><div>Regards,</div><div>Adrien<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le lun. 12 déc. 2022 à 12:59, Darren Ankney <<a href="mailto:darren.ankney@gmail.com">darren.ankney@gmail.com</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div><blockquote type="cite"><div><div dir="ltr"><div><br></div><div><br></div><div>the keys are generated on the master but not on the slaves.<br>so I don't understand how the slaves can read their zone file which ends in ".signed" because they don't have the keys ? (but it's work with dig, i see DS with the right ZSK)</div><div><br></div><div>Regards</div><div><br></div><div>Adrien<br></div><div><br></div></div></div></blockquote></div><br><div>Because the zone is signed with DNSSEC but not encrypted.  DNSSEC is only providing authentication of the source of the zone, not hiding the contents (<a href="https://www.rfc-editor.org/rfc/rfc4033" target="_blank">https://www.rfc-editor.org/rfc/rfc4033</a>).  For the primary -> secondary zone transfer, you should setup TSIG authentication if you haven’t already to ensure that only your secondary can perform a zone transfer (<a href="https://www.rfc-editor.org/rfc/rfc2931" target="_blank">https://www.rfc-editor.org/rfc/rfc2931</a> and <a href="https://bind9.readthedocs.io/en/v9_18_9/chapter7.html#tsig" target="_blank">https://bind9.readthedocs.io/en/v9_18_9/chapter7.html#tsig</a>).</div></div>-- <br>
Visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
ISC funds the development of this software with paid support subscriptions. Contact us at <a href="https://www.isc.org/contact/" rel="noreferrer" target="_blank">https://www.isc.org/contact/</a> for more information.<br>
<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br>
</blockquote></div>