<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div dir="ltr"></div><div dir="ltr"><blockquote type="cite">On 28 Dec 2023, at 1:05 PM, Adrian Zaugg <lists.isc.org@mailgurgler.com> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><span>2023-12-27 23:51:24: zone myzone.ch/IN (signed): reconfiguring zone keys</span><br><span>2023-12-27 23:51:24: keymgr: retire DNSKEY myzone.ch/ECDSAP256SHA256/14076 </span><br><span>(KSK)</span><br><span>2023-12-27 23:51:24: keymgr: retire DNSKEY myzone.ch/ECDSAP256SHA256/3654 </span><br><span>(ZSK)</span><br><span>2023-12-27 23:51:24: keymgr: DNSKEY myzone.ch/ED25519/2336 (KSK) created for </span><br><span>policy mypolicy</span><br><span>2023-12-27 23:51:24: keymgr: DNSKEY myzone.ch/ED25519/35413 (ZSK) created for </span><br><span>policy mypolicy</span><br></div></blockquote><div><br></div>Your DNSSEC policy “mypolicy” specifies a different algorithm (ED25519) to what was previously in effect (ECDSAP256SHA256), which is why Bind generated new keys. If you want Bind to keep the old keys when transitioning to dnssec-policy you should <i>initially</i> specify the same algorithm in your policy.<div><br></div><div>My understanding is that <i>after</i> you’ve transitioned to using dnssec-policy you should be able to change the algorithm and Bind should do a graceful roll-over? Just make sure everything is “omnipresent” in your state files (in the keys directory) first.</div><div><br></div><div>Nick. </div></body></html>