<html><head><meta http-equiv="content-type" content="text/html; charset=us-ascii"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;"><meta http-equiv="content-type" content="text/html; charset=us-ascii"><div style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;">Hi Xan,<div><br></div><div>The weekly changes are not key rollovers, they are RRSIG updates/resignings. These are done on the fly (in online mode), and not stored in the database. </div><div><br></div><div>The backend only contains the ZSK/KSK/CSK, which will only change if you issue a command to roll them. Even if you would issue the change command on both servers, the new keys would be stored in the unique database if you have just 1 backend database, so both would use the new key (there might be short-term caching issues). Personally, I would only configure 1 of the PowerDNS servers to have write access to the backend DB, the other ones would just have SELECT privileges on the db.</div><div><br></div><div>Cheers,</div><div><br></div><div>Frank</div><div><br></div><div><br><div><br><blockquote type="cite"><div>On 22 Aug 2023, at 14:25, Xan Charbonnet <xan@charbonnet.com> wrote:</div><br class="Apple-interchange-newline"><div><meta charset="UTF-8"><span style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;">Thank you, Frank.</span><br style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><br style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><span style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;">I am aiming to do online signing, but my concern is the weekly key rollover.  Wouldn't both PowerDNS instances attempt to perform key rollover on the same database at the same time?  Do they not step on each other's toes?</span><br style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><br style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><span style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;">-Xan</span><br style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><br style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><br style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><br style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><span style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none; float: none; display: inline !important;">On 8/22/23 07:03, Frank Louwers via Pdns-users wrote:</span><br style="caret-color: rgb(0, 0, 0); font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;"><blockquote type="cite" style="font-family: Graphik-Medium; font-size: 14px; font-style: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;">Hi Xan,<br>It depends which DNSSEC you choose. If you would pick "Online Signing" for instance (great unless you have very busy servers with lots of domains), the "keying data" is stored in the database as well, so both servers would use the same data to sign the zone, resulting in consistent signatures (as long as your MariaDB replication isn't broken).<br>See<span class="Apple-converted-space"> </span><a href="https://doc.powerdns.com/authoritative/dnssec/modes-of-operation.html#online-signing">https://doc.powerdns.com/authoritative/dnssec/modes-of-operation.html#online-signing</a><<a href="https://doc.powerdns.com/authoritative/dnssec/modes-of-operation.html#online-signing">https://doc.powerdns.com/authoritative/dnssec/modes-of-operation.html#online-signing</a>> for more info and other ways of turning on DNSSEC on PowerDNS.<br>Frank<br>Frank Louwers<br>PowerDNS Certified Consultant @ Kiwazo.be<br><blockquote type="cite">On 21 Aug 2023, at 17:03, Xan Charbonnet via Pdns-users <pdns-users@mailman.powerdns.com> wrote:<br><br>Hello everyone,<br><br>We've been successfully using PowerDNS for some time, and are looking into enabling DNSSEC.<br><br>If two PowerDNS authoritative servers are set up for native replication, sharing a single MariaDB backend where the database is replicated using MariaDB's replication, how would DNSSEC be enabled?  If I just turn it on, wouldn't the two servers step on each other's toes when it came time to do a key rollover?  Or is that not a problem?<br><br>Thanks in advance.<br>_______________________________________________<br>Pdns-users mailing list<br>Pdns-users@mailman.powerdns.com<br>https://mailman.powerdns.com/mailman/listinfo/pdns-users<br></blockquote>_______________________________________________<br>Pdns-users mailing list<br><a href="mailto:Pdns-users@mailman.powerdns.com">Pdns-users@mailman.powerdns.com</a><br><a href="https://mailman.powerdns.com/mailman/listinfo/pdns-users">https://mailman.powerdns.com/mailman/listinfo/pdns-users</a></blockquote></div></blockquote></div><br></div></div></body></html>