<div dir="ltr">Hello,<div><br></div><div>I try to set up a testing environment in order to create some scripts for automated the roll over KSK.</div><div><br></div><div>############# question 1 #############</div><div>this is my policy :<br><span class="gmail-ui-provider gmail-a gmail-b gmail-c gmail-d gmail-e gmail-f gmail-g gmail-h gmail-i gmail-j gmail-k gmail-l gmail-m gmail-n gmail-o gmail-p gmail-q gmail-r gmail-s gmail-t gmail-u gmail-v gmail-w gmail-x gmail-y gmail-z gmail-ab gmail-ac gmail-ae gmail-af gmail-ag gmail-ah gmail-ai gmail-aj gmail-ak" dir="ltr"><p>dnssec-policy "test" {<br>
    keys {<br>
        ksk lifetime P3D algorithm ecdsa256 2048;<br>
        zsk lifetime P1D algorithm ecdsa256 2048;<br>
    };</p><p>    // Key timings<br>
    purge-keys P4D;</p><p>    // Signature timings<br>
    signatures-refresh  PT50M;<br>
    signatures-validity PT1H;<br>
    signatures-validity-dnskey PT1H;</p><p>    // Zone parameters<br>
    max-zone-ttl PT1H;<br>
    parent-ds-ttl PT1H;</p><p>};<br><br>I would like automaticly update new DS to my registar, to do it this my logic :<br></p><div style="color:rgb(212,212,212);background-color:rgb(30,30,30);font-family:Consolas,"Courier New",monospace;font-size:14px;line-height:19px;white-space:pre"><div>For each file en .state</div><div>    If is KSK with <span style="color:rgb(206,145,120)">"DSState: rumoured"</span> or <span style="color:rgb(206,145,120)">"DSState: hidden"</span></div><div>        If not in my registar (dig ds <my_zone> +dnssec +multiline)</div><div>            Publish on my Registar(api register)</div><div>            Notify Bind(bind rndc dnssec -checkds -key <ID> published <my_zone>)</div><br></div><p>Do y need to withdraw the old key too immediatly ? anything else to do ?</p><p>############# question 2 #############<br>If i want to unsigned a zone, i change my policy to "insecure" which is default but file like <my_zone>.signed still exist, Bind doesn't remove it ?</p><p>############# question 3 #############<br></p><p>In state file, when the remove date issue, can i just remove the key, anything else to do ?</p><p>Regards,<br>Adrien SIPASSEUTH</p><p><br></p></span></div></div>