<div dir="ltr">We do the monitoring and do not rely solely on OpenDNSSEC to manage the signed zones anyway.<div><br></div><div>But two things are still making me crazy. One is how ODS manages to create a signed zone when the unsigned zone is missing. I also remove the <zone>.backup2 file, but the signed zone is still created and it contains real data.</div><div><br></div><div>The second issue is with the signer not respecting the Resign value. I have a machine where the resign interval was initially set to 12 hours, then changed to 0 seconds and then to two days, in each case updating the kasp database and even restarting both signer and enforcer services, it keeps resigning the zone twice a day. Once a day the signing process is triggered by a cronjob, exactly 12 hours later it happens by itself. And the signconf file created by the enforcer clearly states "<Resign>PT172800S</Resign>"</div><div><br></div><div>Any idea what I'm missing?</div><div><br></div><div>@Antti We have a resigning cycle of 24 hours, so I decided setting the resign value to 2 days is a good option because with the cronjob running every day that limit should never be reached. Unfortunately I'm still missing something.</div><div><br></div><div>Thanks.</div><div><br></div><div>Emil</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 18, 2015 at 12:34 PM, Yuri Schaeffer <span dir="ltr"><<a href="mailto:yuri@nlnetlabs.nl" target="_blank">yuri@nlnetlabs.nl</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
Hi Antti,<br>
<span class=""><br>
> I don't see this as a strange approach. In many environments the<br>
> zone data is periodically transferred from a provisioning system<br>
> to OpenDNSSEC signer and then the signing process is triggered by<br>
> issuing "ods-signer sign <zone>" after receiving the unsigned<br>
> zone.<br>
><br>
> We are also using this approach and we have configured the Resign<br>
> interval to P10Y.<br>
<br>
</span>Rainbows and unicorns.<br>
<br>
Until you zone content one day didn't change for "validity-jitter"<br>
time and signatures start to expire because the signer is not allowed<br>
to do regular maintenance.<br>
<br>
I'm saying, you can do it. But make sure to monitor your unicorns.<br>
<br>
//Yuri<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1<br>
<br>
iEYEARECAAYFAlUJVKMACgkQI3PTR4mhaviQIQCgz4tylfd6N/CGmGUL/LSBLPho<br>
vk8An0BCNt9gKKarQcMDs5YaF+xL5mn1<br>
=XrK5<br>
-----END PGP SIGNATURE-----<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Opendnssec-user mailing list<br>
<a href="mailto:Opendnssec-user@lists.opendnssec.org">Opendnssec-user@lists.opendnssec.org</a><br>
<a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user" target="_blank">https://lists.opendnssec.org/mailman/listinfo/opendnssec-user</a><br>
</div></div></blockquote></div><br></div>