<div dir="ltr">Thank you very much Jerry and Matthijs for the fast reply. All clear.<div><br></div><div>Best Regards,</div><div>ena </div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Feb 13, 2014 at 2:52 PM, Matthijs Mekking <span dir="ltr"><<a href="mailto:matthijs@nlnetlabs.nl" target="_blank">matthijs@nlnetlabs.nl</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Emil,<br>
<div class="im"><br>
On 02/13/2014 01:14 PM, Emil Natan wrote:<br>
> Hello everybody,<br>
><br>
> opendnssec version 1.4.3<br>
><br>
> I have KASP policy which set the SOA serial configuration to "keep"<br>
> (<Serial>keep</Serial>). I rise manually the serial number for the zone<br>
> to be signed, but when the signer runs, it does not detect the serial<br>
> number change and logs:<br>
><br>
> Feb 13 13:13:45 catwoman ods-signerd: [namedb] zone <a href="http://test.org" target="_blank">test.org</a><br>
</div>> <<a href="http://test.org" target="_blank">http://test.org</a>> cannot keep SOA SERIAL from input zone  <a href="tel:%282012070503" value="+12012070503">(2012070503</a>):<br>
<div class="im">> previous output SOA SERIAL is <a href="tel:2012070503" value="+12012070503">2012070503</a><br>
> Feb 13 13:13:45 catwoman ods-signerd: [zone] unable to update zone<br>
</div>> <a href="http://test.org" target="_blank">test.org</a> <<a href="http://test.org" target="_blank">http://test.org</a>> soa serial: Conflict detected<br>
<div class="im">> Feb 13 13:13:45 catwoman ods-signerd: [zone] If this is the result of a<br>
> key rollover, please increment the serial in the unsigned zone <a href="http://test.org" target="_blank">test.org</a><br>
</div>> <<a href="http://test.org" target="_blank">http://test.org</a>><br>
<div class="im">> Feb 13 13:13:45 catwoman ods-signerd: [worker[4]] unable to sign zone<br>
</div>> <a href="http://test.org" target="_blank">test.org</a> <<a href="http://test.org" target="_blank">http://test.org</a>>: failed to increment serial<br>
<div class="im">> Feb 13 13:13:45 catwoman ods-signerd: [worker[4]] CRITICAL: failed to<br>
</div>> sign zone <a href="http://test.org" target="_blank">test.org</a> <<a href="http://test.org" target="_blank">http://test.org</a>>: Conflict detected<br>
<div class="im">> Feb 13 13:13:45 catwoman ods-signerd: [worker[4]] backoff task [sign]<br>
</div>> for zone <a href="http://test.org" target="_blank">test.org</a> <<a href="http://test.org" target="_blank">http://test.org</a>> with 60 seconds<br>
<div class="im">><br>
> At that time the unsigned zone has serial - <a href="tel:2012070504" value="+12012070504">2012070504</a> and the zone<br>
> signed at the previous run has serial - <a href="tel:2012070503" value="+12012070503">2012070503</a>.<br>
<br>
</div>Correct: The signer will not read the unsigned zone unless specifically<br>
told to. In this case, the signer received an update from the enforcer<br>
(perhaps a key rollover or a salt change), but the "keep" value tells<br>
the signer not to maintain the serial by itself.<br>
<br>
In other words, you really have to run ods-signer sign <zone> to bump<br>
the serial if you use "keep".<br>
<div class="im"><br>
> I was able to reproduce the issue with the "lab" KASP policy, just<br>
> changing the <Serial> parameter to "keep".<br>
><br>
</div>> Running manually "ods-signer sign <a href="http://test.org" target="_blank">test.org</a> <<a href="http://test.org" target="_blank">http://test.org</a>>" detects<br>
<div class="im">> the increased serial number and the zone is resigned correctly.<br>
><br>
> Can someone please try to reproduce the issue and let me know if it's a<br>
> bug or misconfiguration at my side. Thanks.<br>
<br>
</div>It's a feature :)<br>
<br>
Best regards,<br>
  Matthijs<br>
<br>
><br>
> ena<br>
><br>
><br>
> _______________________________________________<br>
> Opendnssec-user mailing list<br>
> <a href="mailto:Opendnssec-user@lists.opendnssec.org">Opendnssec-user@lists.opendnssec.org</a><br>
> <a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user" target="_blank">https://lists.opendnssec.org/mailman/listinfo/opendnssec-user</a><br>
><br>
<br>
</blockquote></div><br></div>