<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Arial" size="2">
<div>-----BEGIN PGP SIGNED MESSAGE-----</div>
<div>Hash: SHA256</div>
<div> </div>
<div>> We are encountering a problem with the manual KSK rollover process.</div>
<div>> Before initiating the rollover, we have two KSK keys: one active and</div>
<div>> one</div>
<div>> standby key in a READY state. So, everything should be ready for the</div>
<div>> rollover. Now, when we initiate the KSK rollover with the ods-ksmutil</div>
<div>> command, the following happens:</div>
<div> </div>
<div> </div>
<div>> 1. The signer generates a new standby key that enters a PUBLISHED state</div>
<div>> 2. The new standby KSK is added to the zone DNSKEY RRset</div>
<div> </div>
<div>We do this because still want to have a standby key after this rollover.</div>
<div> </div>
<div>> 3. The DNSKEY RRset is still signed with (and only with) the old active</div>
<div>> KSK</div>
<div> </div>
<div>We use the so called "Pre-Publication Method" and not "Double-Signature Method"</div>
<div> </div>
<div>> 4. The new standby KSK becomes READY after a while</div>
<div>> 5. Finally we have three KSKs, one active and two standby KSKs in READY</div>
<div>> state. The DNSKEY RRset is still signed with (and only with) the old</div>
<div>> active KSK.</div>
<div> </div>
<div>This is also as expected. The command that you haven't given to the system is the ksk-roll.</div>
<div> </div>
<div>> So, except adding a new standby KSK to the DNSKEY RRset, nothing really</div>
<div>> seems to happen. As far as I understand, the DNSKEY RRset should be</div>
<div>> signed with both the old active and old standby KSK immediately after</div>
<div>> giving the rollover command, because we already had a standby KSK in</div>
<div>> READY state before giving the rollover command? Further, the retirement</div>
<div>> timers of the old KSK should probably start after giving the</div>
<div>> "ds-seen" (or "ksk-roll") command? But, before having the double</div>
<div>> signatures we are unable to publish the new DS and give the "ds-seen"</div>
<div>> command in the first place, right?</div>
<div>> </div>
<div>> Are we perhaps missing something or is this a bug in the signer or in</div>
<div>> the enforcer? We are using 1.0.0rc1-trunk.</div>
<div> </div>
<div>You first initiate the rollover by giving the command "ods-ksmutil key rollover --zone <Name of zone> --keytype KSK". This will start the "Pre-Publication" process. But since you have a standby key, you do not need to wait until the new key gets ready
(your standby key is already ready).</div>
<div> </div>
<div>You now need to publish your DS record. "ods-ksmutil key export --zone <Name of zone> --keystate ready --ds". Use the keytag from the DS record and finalize the rollover once you have seen your DS record in the parent zone. "ods-ksmutil key ksk-roll --zone
<Name of zone> --keytag <Keytag>"</div>
<div> </div>
<div>Only use the ksk-roll-command for the key that you intend to roll over to, because this command will retire the currently active KSK.</div>
<div> </div>
<div>// Rickard</div>
<div> </div>
<div>-----BEGIN PGP SIGNATURE-----</div>
<div>Version: 9.8.3 (Build 4028)</div>
<div>Charset: utf-8</div>
<div> </div>
<div>wsBVAwUBSx4KA+CjgaNTdVjaAQhfWwf+P50zOQ3U/1yAwwtzk+1DCpeZfPf1Tkvh</div>
<div>JZZj+3zYU5ZhVrBEuNI1AedL3294M+IpFZX6dX9FNk9H0nShjFDhxuvaJdvByd19</div>
<div>Wkhx0DZuy54yEbreo8U4MtfCkVHTVj3sSSXAuipupzEKTqq34DmW/ngyHF/sSt0Q</div>
<div>I4Wm/UL3zErXgHaS2iv8oHgIEupMiSYKcbdIb7H21UDN7FSwG4pyG9k8Rfckj5qK</div>
<div>Y8Y7vkg8vLa6lSi39z8qGP7rgaoDZhr8UqRWdjBK22CKJvF9NFcWOm8cmekFcRHp</div>
<div>wIjgqrMKBl/jebGO0SZq0KIXenkAQ963GrOVNJhZktGrdyz4nrLkew==</div>
<div>=Qr4M</div>
<div>-----END PGP SIGNATURE-----</div>
<div> </div>
<div> </div>
</font>
</body>
</html>