<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><br class=""><div><br class=""><blockquote type="cite" class=""><div class="">On Jun 7, 2021, at 00:14, Mukul Shukla via nsd-users <<a href="mailto:nsd-users@lists.nlnetlabs.nl" class="">nsd-users@lists.nlnetlabs.nl</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div class="gmail_quote" style="caret-color: rgb(0, 0, 0); font-family: HelveticaNeue; font-size: 15px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;">Djbdns is not supporting the DNSSEC, inherently. Implementing it on NSD is also not a simple task.</div><div class="gmail_quote" style="caret-color: rgb(0, 0, 0); font-family: HelveticaNeue; font-size: 15px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;">So for my limited setup, would it be more appropriate to go for Knot or PowerDNS (BIND I am scared of)?</div><div class="gmail_quote" style="caret-color: rgb(0, 0, 0); font-family: HelveticaNeue; font-size: 15px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;">Maybe, even we can try a mix of NSD and Knot, what do you suggest?</div></div></blockquote></div><div class=""><br class=""></div><div class="">A common setup is to use one set of software for maintaining the zone data (and DNSSEC signing), but have the “external facing” (published in DNS) servers use something else (for example NSD). The external facing servers will do zone transfers from the “hidden” server used to maintain the data.</div><div class=""><br class=""></div><div class="">Another version of this is to maintain the data on server A, do zone transfer to server B which adds the DNSSEC signing and then (with zone transfers, typically) sends the data to server C-Z that are published in DNS.</div><div class=""><br class=""></div><div class="">For just two servers this might be needlessly complicated, but if you are new to DNSSEC and want to use NSD on the published name servers I think it might be simpler than using “offline” tools for signing and resigning the zone data.</div><div class=""><br class=""></div><div class="">I haven’t used PowerDNS’ DNSSEC signing for a while; but my experience in the past (many years ago) was very good.</div><div class=""><br class=""></div><div class=""><br class=""></div><div class="">Ask</div></body></html>