<div dir="ltr">hi,<br><br>I have tried the DNSSEC sign testing according the document,<br><a href="https://kb.isc.org/docs/bind-9-pkcs11">https://kb.isc.org/docs/bind-9-pkcs11</a><br>(and section 5.5 of the Bv9ARM of version 9.18.16)<br><br>I have two questions about it,<br><br>1. since I use HSM(now is softhsm) to store the DNSSEC key, does it more <br>insecure to convert the key(s) from HSM to .private file with dnssec-keyfromlabel ?<br><br>2. when I configure KASP policy, I notice that bind will generate new key(s)<br>each time it need, but there is no new object in softhsm generated. Could bind<br>of this version roll the objects in HSM/softhsm ?<br><br>Thanks in advanced.<br><br>Best Regards,<br>SUN Guonian<br><br>And my environment is,<br>bind-9.18.16<br>opensc-0.42<br>softhsm-2.6.1<br>openssl-1.1.1k from system<br>RockyLinux 8<br></div>