<div dir="ltr">Good morning,<div><br></div><div>I have a test environment with ODS 1.4.6 and Keyper HSM where signing zones was working until I decided to remove all keys and start from scratch.</div><div>I removed all keys with "ods-hsmutil purge"\</div><div>reinitialized the HSM\</div><div>removed the single zone I used to sign\</div><div>reinitialized the database "ods-ksmutil setup"\</div><div>pregenerated new keys\</div><div>added a zone\</div><div>updated, restarted all services.</div><div>Everything seems to worked well, but the signer does not find one of the keys to sign the zone, more specifically the KSK. I went the above process few times, always ending with:</div><div><br></div><div><div>Dec 16 09:40:27 debugsigner002 ods-signerd: [hsm] unable to get key: key f81e4b2cb33eec780320b6ceeb6f6bb8 not found</div><div>Dec 16 09:40:27 debugsigner002 ods-signerd: [zone] unable to publish dnskeys for zone XXX: error creating dnskey</div><div>Dec 16 09:40:27 debugsigner002 ods-signerd: [tools] unable to read zone XXX: failed to publish dnskeys (General error)</div><div>Dec 16 09:40:27 debugsigner002 ods-signerd: [worker[4]] CRITICAL: failed to sign zone XXX: General error</div></div><div><br></div><div>The key exist in both HSM and database. ods-hsmutil lists it:</div><div><br></div><div><div>root@debugsigner002:~# ods-hsmutil list | grep f81e4b2cb33eec780320b6ceeb6f6bb8</div><div>Keyper                f81e4b2cb33eec780320b6ceeb6f6bb8  RSA/2048</div></div><div><br></div><div>ods-ksmutil shows it:</div><div><br></div><div><div>root@debugsigner002:~# ods-ksmutil key list -v</div><div>Keys:</div><div><div>Zone:                           Keytype:      State:    Date of next transition (to):  Size:   Algorithm:  CKA_ID:                           Repository:                       Keytag:</div><div>XXX                              KSK           active    2016-01-16 09:49:45 (retire)   2048    8           f81e4b2cb33eec780320b6ceeb6f6bb8  Keyper                            6061</div><div>XXX                              ZSK           active    2015-04-18 22:40:55 (retire)   1024    8           d2aa0ba9af0f41429d23ea387abb836a  Keyper</div></div></div><div><br></div><div>external tools - dnssec-keyfromlabel can use it.</div><div>No other errors in the log.</div><div><br></div><div>Any ideas what's wrong? Suggestions what else to try?</div><div>Thanks.</div><div><br></div><div>Emil</div><div><br></div><div><br></div><div><br></div></div>