<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 24, 2014 at 5:35 PM, Tom Hendrikx <span dir="ltr"><<a href="mailto:tom@whyscream.net" target="_blank">tom@whyscream.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="">On 02/24/2014 03:49 PM, Emil Natan wrote:<br>

> Hello,<br>
><br>
> I apologize in advance in case I'm missing something obvious.<br>
> Here is the problem. I have ODS running managing 3 zones. I started with<br>
> these 3 zones and did not added more zones until now. Now I add new zone<br>
</div>> <a href="http://test.org" target="_blank">test.org</a> <<a href="http://test.org" target="_blank">http://test.org</a>>, I tried both ways using "ods-ksmutil zone<br>
<div class="">> add" command and editing the zonelist file manually, in both cases I<br>
> finish with zonelist containing the new zone. Then I run "ods-ksmutil<br>
> update all" which shows no errors.<br>
><br>
>   zonelist filename set to /usr/local/ods/etc/opendnssec/zonelist.xml.<br>
> kasp filename set to /usr/local/ods/etc/opendnssec/kasp.xml.<br>
> Repository Keyper found<br>
> No Maximum Capacity set.<br>
> RequireBackup set.<br>
> INFO: The XML in /usr/local/ods/etc/opendnssec/conf.xml is valid<br>
> INFO: The XML in /usr/local/ods/etc/opendnssec/zonelist.xml is valid<br>
> INFO: The XML in /usr/local/ods/etc/opendnssec/kasp.xml is valid<br>
><br>
> In the log file I see:<br>
><br>
</div>> Feb 24 16:26:17 catwoman ods-enforcerd: Zone <a href="http://test.org" target="_blank">test.org</a> <<a href="http://test.org" target="_blank">http://test.org</a>><br>
<div class="">> found.<br>
> Feb 24 16:26:17 catwoman ods-enforcerd: Policy for <a href="http://test.org" target="_blank">test.org</a><br>
</div>> <<a href="http://test.org" target="_blank">http://test.org</a>> set to lab.<br>
<div class="">> Feb 24 16:26:17 catwoman ods-enforcerd: Config will be output to<br>
> /usr/local/ods/var/opendnssec/signconf/test.org.xml.<br>
> Feb 24 16:26:17 catwoman ods-enforcerd: Not enough keys to satisfy zsk<br>
</div>> policy for zone: <a href="http://test.org" target="_blank">test.org</a> <<a href="http://test.org" target="_blank">http://test.org</a>><br>
<div class="">> Feb 24 16:26:17 catwoman ods-enforcerd: ods-enforcerd will create some<br>
> more keys on its next run<br>
> Feb 24 16:26:17 catwoman ods-enforcerd: Error allocating zsks to zone<br>
</div>> <a href="http://test.org" target="_blank">test.org</a> <<a href="http://test.org" target="_blank">http://test.org</a>><br>
<div class="">> Feb 24 16:26:17 catwoman ods-enforcerd: Disconnecting from Database...<br>
> Feb 24 16:26:17 catwoman ods-enforcerd: Sleeping for 20864 seconds.<br>
><br>
> Restart of the ods-enforcerd does not help and it logs exactly the same<br>
> lines. test.org.xml is also not written under signconf and the<br>
> permissions on that directory seem fine.<br>
> I'm running ODS 1.4.<br>
<br>
</div>The ZSK policy indicates probably that you have backups required for<br>
keys (the output from 'ods-ksmutil update all' also suggests this).<br>
After adding a new zone, the new keys needs to be generated, then backed<br>
up, and only then you can sign a zone with it.<br>
<br>
If you run a daily backup job that does the backups (like I have),<br>
you'll need to wait up to 24 hours before the new zone is actually signed.<br>  </blockquote></div></div><div class="gmail_extra"><br></div><div class="gmail_extra">Thank you for your reply.</div><div class="gmail_extra">
I do not see keys generated for that zone (ods-ksmutil key list --verbose). I used "ods-ksmutil backup done" to mark all existing keys as backed up and then restarted the enforcer and still new keys for the new zone are not generated and the same messages are logged. I also do not understand why I have to wait, I presume there is a way to force the enforcer to create the keys for the new zone now.</div>
<div class="gmail_extra"><br></div><div class="gmail_extra">ena</div></div>