<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Has anybody done this before and willing to share some tips/hints<br>
especially with regards to reusing the keys? If I'm not wrong, they<br>
are in PFX file format. I found<br>
<a href="https://wiki.opendnssec.org/display/DOCS/Migrating+to+OpenDNSSEC" target="_blank">https://wiki.opendnssec.org/display/DOCS/Migrating+to+OpenDNSSEC</a> but<br>
it explains how to convert BIND files.<br></blockquote><div><br></div><div>If you want to use the SoftHSM binaries to import the key into SoftHSM, then you need to convert the PFX file into a PKCS#8 file. Maybe something like this:</div><div><br></div><div>openssl pkcs12 -in file.p12 -nocerts -out key.pem</div><div>openssl pkcs8 -in key.pem -topk8 -out p8key.pem<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
We can also afford start fresh. In that case, is it recommended to<br>
reduce TTL prior to removal of DS records from the parent zone?<br></blockquote><div><br></div><div>If you can adjust the TTL of the DS records at the parent, then it is good to reduce the TTL so that it goes quicker when you decide to move from Windows 2008 to OpenDNSSEC. The same goes with the TTL within your own zone.</div><div><br></div><div>// Rickard</div></div></div></div>