<div dir="ltr">Dears, I'm new to PowerDNS.<br>I'm using three virtual machines:<br>- One authoritative with mysql backend<br>- Two Secundaries with sqlite3 backend<br><br>I'm confused about DNSSEC config, could someone help me about it?<br><br>My primary has the following configuration<br><br>/etc/powerdns/pdns.conf<br><br>-----------------------------------------------<br>allow-axfr-ips=ONE SECONDARY IP HERE,OTHER SECONDARY IP HERE<br>disable-axfr=no<br>master=yes<br>include-dir=/etc/powerdns/pdns.d<br>launch=<br>security-poll-suffix=<br>setgid=pdns<br>setuid=pdns<br>-----------------------------------------------<br><br>/etc/powerdns/pdns.d/pdns.local.gmysql.conf<br><br>-----------------------------------------------<br># MySQL Configuration<br>#<br># Launch gmysql backend<br>launch+=gmysql<br><br># gmysql parameters<br>gmysql-host="PRIMARY IP"<br>gmysql-port=3306<br>gmysql-dbname=powerdns<br>gmysql-user=powerdns<br>gmysql-password=PASSWORD HERE<br>gmysql-dnssec=yes<br># gmysql-socket=<br>-----------------------------------------------<br><br>My Secondaries have the following configuration<br><br>/etc/powerdns/pdns.conf<br><br>-----------------------------------------------<br>slave=yes<br>slave-cycle-interval=60<br>include-dir=/etc/powerdns/pdns.d<br>launch=<br>security-poll-suffix=<br>setgid=pdns<br>setuid=pdns<br>-----------------------------------------------<br><br>/etc/powerdns/pdns.d/pdns.local.gsqlite.conf<br><br>-----------------------------------------------<br># SQLITE3 Configuration<br>#<br># Launch gmysql backend<br>launch+=gsqlite3<br><br># gsqlite3 parameters<br><br>gsqlite3-database=/var/lib/pdns/powerdns.db<br>setuid=pdns<br>setgid=pdns<br>gsqlite3-dnssec=yes<br>-----------------------------------------------<br><br>Well, I created a fake zone "<a href="http://strangeword.com">strangeword.com</a>" and tried to sign it. On my primary server I ran<br><br> pdnsutil secure-zone <a href="http://strangeworld.net">strangeworld.net</a><br><br> pdnsutil increase-serial <a href="http://strangeworld.net">strangeworld.net</a><br><br> pdns_control notify <a href="http://strangeworld.net">strangeworld.net</a><br><br>So, checking mysql on my primary server I get<br><br> MariaDB [powerdns]> select * from cryptokeys \G<br> *************************** 1. row ***************************<br>        id: 1<br> domain_id: 4<br>     flags: 257<br>    active: 1<br>   content: Private-key-format: v1.2<br> Algorithm: 13 (ECDSAP256SHA256)<br> PrivateKey: LlW87PE+4oj4lXwp+kIN/RoJHVO8NT9RQcZMO5ThkjI=<br><br> MariaDB [powerdns]> select name,type,content from records where domain_id=4;<br> +----------------------+------+--------------------------------------------------------------------------------------+<br> | name                 | type | content                                                                              |<br> +----------------------+------+--------------------------------------------------------------------------------------+<br> | <a href="http://strangeworld.net">strangeworld.net</a>     | NS   | <a href="http://ns1.zzzzzz.com">ns1.zzzzzz.com</a>                                                                       |<br> | <a href="http://strangeworld.net">strangeworld.net</a>     | NS   | <a href="http://ns2.zzzzzz.com">ns2.zzzzzz.com</a>                                                                       |<br> | <a href="http://strangeworld.net">strangeworld.net</a>     | A    | xx.xxx.xx.xxx                                                                        |<br> | <a href="http://www.strangeworld.net">www.strangeworld.net</a> | A    | xx.xxx.xx.xxy                                                                        |<br> | <a href="http://strangeworld.net">strangeworld.net</a>     | MX   | <a href="http://mail.strangeworld.net">mail.strangeworld.net</a>                                                                |<br> | <a href="http://strangeworld.net">strangeworld.net</a>     | SOA  | a.misconfigured.powerdns.server <a href="http://hostmaster.strangeworld.net">hostmaster.strangeworld.net</a> 7 10800 3600 604800 3600 |<br> +----------------------+------+--------------------------------------------------------------------------------------+<br><br><br>Running 'show-zone' on primary I get<br><br> pdnsutil show-zone <a href="http://strangeworld.net">strangeworld.net</a><br> Nov 22 14:04:29 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed<br> This is a Native zone<br> Metadata items: None<br> Zone has NSEC semantics<br> keys: <br> ID = 1 (CSK), flags = 257, tag = 556, algo = 13, bits = 256      Active ( ECDSAP256SHA256 ) <br> CSK DNSKEY = <a href="http://strangeworld.net">strangeworld.net</a>. IN DNSKEY 257 3 13 I4KX7NsPuLfW0CCjZWHx6hGKLwba4dmBWUyRvVaCgUB9vQ2WBY+Du6SpoImitN7zhoRodsnpUbROZ4MepB1MsA== ; ( ECDSAP256SHA256 )<br> DS = <a href="http://strangeworld.net">strangeworld.net</a>. IN DS 556 13 1 5b308fe4fc09b72322c2e49002d70e1dcfca97ca ; ( SHA1 digest )<br> DS = <a href="http://strangeworld.net">strangeworld.net</a>. IN DS 556 13 2 d939dbca936f22f9387ed9ec441731b87ba660193db6a83005cbd9f1fefe033f ; ( SHA256 digest )<br> DS = <a href="http://strangeworld.net">strangeworld.net</a>. IN DS 556 13 4 1a00fd39df432da09f04c6b51d902cc9d3fe1afffd769a56bf0a5af39d27738203ad23b78ceb0aa686b5a15c0185d17a ; ( SHA-384 digest )<br><br> pdnsutil list-zone <a href="http://strangeworld.net">strangeworld.net</a><br> Nov 22 13:52:18 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed<br> $ORIGIN .<br> <a href="http://strangeworld.net">strangeworld.net</a>       3600    IN      A       xx.xxx.xx.xxx<br> <a href="http://strangeworld.net">strangeworld.net</a>       3600    IN      MX      25 <a href="http://mail.strangeworld.net">mail.strangeworld.net</a>.<br> <a href="http://strangeworld.net">strangeworld.net</a>       3600    IN      NS      <a href="http://ns1.zzzzzz.com">ns1.zzzzzz.com</a>.<br> <a href="http://strangeworld.net">strangeworld.net</a>       3600    IN      NS      <a href="http://ns2.zzzzzz.com">ns2.zzzzzz.com</a>.<br> <a href="http://strangeworld.net">strangeworld.net</a>       3600    IN      SOA     a.misconfigured.powerdns.server <a href="http://hostmaster.strangeworld.net">hostmaster.strangeworld.net</a> 7 10800 3600 604800 3600<br> <a href="http://www.strangeworld.net">www.strangeworld.net</a>   3600    IN      A       xx.xxx.xx.xxy<br><br>Then, checking sqlite on my secondaries servers I get<br><br> sqlite> select * from domainmetadata;<br> id          domain_id   kind              content<br> ----------  ----------  ----------------  ----------<br> 2           4           PRESIGNED         1<br><br> sqlite> select name,type,content from records where domain_id=4;<br> name              type        content<br> ----------------  ----------  ------------------------------------------------------------------------------------<br> <a href="http://strangeworld.net">strangeworld.net</a>  SOA         a.misconfigured.powerdns.server <a href="http://hostmaster.strangeworld.net">hostmaster.strangeworld.net</a> 7 10800 3600 604800 3600<br> <a href="http://strangeworld.net">strangeworld.net</a>  RRSIG       SOA 13 2 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> Nin87WOJ4qb68JYcP2g<br> <a href="http://strangeworld.net">strangeworld.net</a>  DNSKEY      257 3 13 I4KX7NsPuLfW0CCjZWHx6hGKLwba4dmBWUyRvVaCgUB9vQ2WBY+Du6SpoImitN7zhoRodsnpUbR<br> <a href="http://strangeworld.net">strangeworld.net</a>  RRSIG       DNSKEY 13 2 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> VPz+sMQdo4uw8Fyo<br> <a href="http://strangeworld.net">strangeworld.net</a>  NS          <a href="http://ns1.zzzzzz.com">ns1.zzzzzz.com</a><br> <a href="http://strangeworld.net">strangeworld.net</a>  NS          <a href="http://ns2.zzzzzz.com">ns2.zzzzzz.com</a><br> <a href="http://strangeworld.net">strangeworld.net</a>  RRSIG       NS 13 2 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> B3Y3L5ovSYjXhowC7gwY<br> <a href="http://strangeworld.net">strangeworld.net</a>  A           xx.xxx.xx.xxx<br> <a href="http://strangeworld.net">strangeworld.net</a>  RRSIG       A 13 2 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> HQbqF7/qUthhVn/cy8GkU<br> <a href="http://strangeworld.net">strangeworld.net</a>  MX          <a href="http://mail.strangeworld.net">mail.strangeworld.net</a><br> <a href="http://strangeworld.net">strangeworld.net</a>  RRSIG       MX 13 2 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> IacMcLe4aBaV54/YStsc<br> www.strangeworld  A           xx.xxx.xx.xxy<br><br><br>And running 'show-zone' and 'list-zone' I get<br><br> pdnsutil show-zone <a href="http://strangeworld.net">strangeworld.net</a><br> Nov 22 14:07:22 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed<br> This is a Slave zone<br> Master: <a href="http://10.200.12.164:53">10.200.12.164:53</a> <br> Last time we got update from master: Mon 2021-11-22 12:00:04<br> SOA serial in database: 7<br> Refresh interval: 10800 seconds<br> Metadata items: <br>         PRESIGNED       1<br> Zone is presigned<br> Zone has NSEC semantics<br> keys: <br> KSK, tag = 556, algo = 13, bits = 256<br> DNSKEY = <a href="http://strangeworld.net">strangeworld.net</a>. IN DNSKEY 257 3 13 I4KX7NsPuLfW0CCjZWHx6hGKLwba4dmBWUyRvVaCgUB9vQ2WBY+Du6SpoImitN7zhoRodsnpUbROZ4MepB1MsA==; ( ECDSAP256SHA256 ) <br> DS = <a href="http://strangeworld.net">strangeworld.net</a>. IN DS 556 13 1 5b308fe4fc09b72322c2e49002d70e1dcfca97ca ; ( SHA1 digest )<br> DS = <a href="http://strangeworld.net">strangeworld.net</a>. IN DS 556 13 2 d939dbca936f22f9387ed9ec441731b87ba660193db6a83005cbd9f1fefe033f ; ( SHA256 digest )<br> DS = <a href="http://strangeworld.net">strangeworld.net</a>. IN DS 556 13 4 1a00fd39df432da09f04c6b51d902cc9d3fe1afffd769a56bf0a5af39d27738203ad23b78ceb0aa686b5a15c0185d17a ; ( SHA-384 digest )<br><br> pdnsutil list-zone <a href="http://strangeworld.net">strangeworld.net</a><br> Nov 22 14:07:56 [bindbackend] Done parsing domains, 0 rejected, 0 new, 0 removed<br> $ORIGIN .<br> <a href="http://strangeworld.net">strangeworld.net</a>     3600    IN      A       xx.xxx.xx.xxx<br> <a href="http://strangeworld.net">strangeworld.net</a>   3600    IN      DNSKEY  257 3 13 I4KX7NsPuLfW0CCjZWHx6hGKLwba4dmBWUyRvVaCgUB9vQ2WBY+Du6SpoImitN7zhoRodsnpUbROZ4MepB1MsA==<br> <a href="http://strangeworld.net">strangeworld.net</a>       3600    IN      MX      25 <a href="http://mail.strangeworld.net">mail.strangeworld.net</a>.<br> <a href="http://strangeworld.net">strangeworld.net</a>      3600    IN      NS      <a href="http://ns1.zzzzzz.com">ns1.zzzzzz.com</a>.<br> <a href="http://strangeworld.net">strangeworld.net</a>       3600    IN      NS      <a href="http://ns2.zzzzzz.com">ns2.zzzzzz.com</a>.<br> <a href="http://strangeworld.net">strangeworld.net</a>       3600    IN      RRSIG   SOA 13 2 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> Nin87WOJ4qb68JYcP2gay3NdoKlLZZn5Q9wuv1fBqjd3CesQJxl+K7fjAgwynOBVQdZjLDFRWgKsq9te0J59mw==<br> <a href="http://strangeworld.net">strangeworld.net</a>   3600    IN      RRSIG   DNSKEY 13 2 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> VPz+sMQdo4uw8Fyomz7kWR6PAMiVvAjQMcRHadr+foARMptGuCIRmgBvsr/hi8869HiS+NwtvymLNI4baoJmVg==<br> <a href="http://strangeworld.net">strangeworld.net</a>        3600    IN      RRSIG   NS 13 2 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> B3Y3L5ovSYjXhowC7gwYUOUb4EJBiF8MmG/igJK7CF57IWRqTWXYZRuWjSPGeUCQU9HESz2e+/B0fyPSlV3Iag==<br> <a href="http://strangeworld.net">strangeworld.net</a>    3600    IN      RRSIG   A 13 2 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> HQbqF7/qUthhVn/cy8GkUI/ztbBUSDsMKarQcSE6M22vd1IxdosVB5x4RUNc+MtfPbEjpSUWLM8rdOG9AOx1jA==<br> <a href="http://strangeworld.net">strangeworld.net</a>     3600    IN      RRSIG   MX 13 2 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> IacMcLe4aBaV54/YStscUjg6FMQ8Jhf0LjIydBYqErMLrte/g4x/l1l6eyxnJpCJrTobu5h94kWWq+CR94sJdw==<br> <a href="http://strangeworld.net">strangeworld.net</a>    3600    IN      RRSIG   NSEC 13 2 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> zCsAG7/qCpwzH4P+mW52tPyyjR3OHRuTxY5F93BrF2RzVbWtJuQR2HT1d2zi6kChrzEws1Y2Y9M3l11b1oAtxw==<br> <a href="http://strangeworld.net">strangeworld.net</a>  3600    IN      SOA     a.misconfigured.powerdns.server <a href="http://hostmaster.strangeworld.net">hostmaster.strangeworld.net</a> 7 10800 3600 604800 3600<br> <a href="http://www.strangeworld.net">www.strangeworld.net</a>     3600    IN      A       xx.xxx.xx.xxx<br> <a href="http://www.strangeworld.net">www.strangeworld.net</a>   3600    IN      RRSIG   A 13 3 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> HfO9WvFd7hmziVxclDzX8T5ANnK5uq718nC+AYpQaR6nnKi1DB/4pTpggVTyZLXZzoUUj+eIQqCOuQUqX8nGDg==<br> <a href="http://www.strangeworld.net">www.strangeworld.net</a>     3600    IN      RRSIG   NSEC 13 3 3600 20211202000000 20211111000000 556 <a href="http://strangeworld.net">strangeworld.net</a> C8BFzn+qEu7qxrLPGsUZRcokogvcaOtzPDlRxPREDHg233MYNg2sjXzvKBmKjsZOS+gn6kT1mbEtq4AiLkprVQ==<br><br>My question is: Why RRSIG registers are missing on my primary server?<br><br>Could someone help me?<br><br>Regards<br><br>Alexander Varejão</div>