<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 19, 2014 at 10:37 AM, SiĆ“n Lloyd <span dir="ltr"><<a href="mailto:sion@nominet.org.uk" target="_blank">sion@nominet.org.uk</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><snip><br>
<span class=""><br>
> Dec 18 14:22:19 debugsigner002 ods-enforcerd: Created key in repository<br>
> Keyper<br>
> Dec 18 14:22:19 debugsigner002 ods-enforcerd: Created ZSK size: 1024,<br>
> alg: 8 with id: 6833a76d1e0834504e43c1ae47b66646 in repository: Keyper<br>
> and database.<br>
<br>
</span><snip><br>
<span class=""><br>
> And my question is if there was a problem to create the keys in the HSM,<br>
> why are they created out of it? Isn't it better if the process just<br>
> stops? And where the keys actually exist if not in the repository? They<br>
> idea was to use ODS always with HSM.<br>
> Thanks.<br>
<br>
</span>So it looks like the enforcer believed that the keys were properly<br>
created in the HSM. But then when it comes time to use the keys (either<br>
"key list -v" or signing) they can not be found...<br>
<br>
Note that the HSM is the _only_ place that the keys can be created;<br>
there is no fall-back to softHSM or keys on disk. So what this message<br>
means is that the enforcers database is referring to keys that do not<br>
exist at all. (Or at least the system can not access them for some reason.)<br>
<br>
Do other tools show if the keys exist or not?<br></blockquote><div><br></div><div>I'm afraid we'll never know. I was using this zone for testing, when the problems occurred I added a new zone which was never defined in ODS, key generation and everything worked straight away and I decided to delete the <a href="http://w3c.org">w3c.org</a> zone (comment it in zonelist.xml) to keep the configuration and logs clean. Adding <a href="http://w3c.org">w3c.org</a> back made the keys properly generated and used for signing. I'll update if I'm able to reproduce the issue.</div><div>And thanks for the general information about the key generation.</div><div><br></div><div>Emil</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Sion<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Opendnssec-user mailing list<br>
<a href="mailto:Opendnssec-user@lists.opendnssec.org">Opendnssec-user@lists.opendnssec.org</a><br>
<a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user" target="_blank">https://lists.opendnssec.org/mailman/listinfo/opendnssec-user</a><br>
</div></div></blockquote></div></div></div>