<div dir="ltr">Thanks Yuri,<div><br></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
</span>OpenDNSSEC tries to keep signatures in the zone as long as they are<br>
valid. Only when a signature expires and thus needs a resign, the<br>
signature is generated with the new ZSK.<br>
<br>
You'll notice that some signatures are generated with the new ZSK and<br>
some with the old ZSK. The signature validity is configurable in the<br>
KASP. During that time both ZSKs have their DNSKEY record published in<br>
the zone.<br>
<span class=""><br></span></blockquote><div><br></div><div>My understanding was, it create new signatures with the new key once the keys is rolled.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
> I guess if we clear the ods and run signer again it will work, but<br>
> wondering why it does not happen automatically?<br>
<br>
</span>It would work, but it is probably not what you want.<br></blockquote><div><br></div><div>Yeah, probably not a good idea. Might be useful in emergency roll over though.</div><div><br></div><div>--</div><div>arun</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Regards,<br>
Yuri<br>
<br>
<br>______________________________<wbr>_________________<br>
Opendnssec-user mailing list<br>
<a href="mailto:Opendnssec-user@lists.opendnssec.org">Opendnssec-user@lists.<wbr>opendnssec.org</a><br>
<a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user" rel="noreferrer" target="_blank">https://lists.opendnssec.org/<wbr>mailman/listinfo/opendnssec-<wbr>user</a><br>
<br></blockquote></div><br></div></div>