Add new behavior to the ARM

author Matthijs Mekking <matthijs@isc.org>

Fri, 11 Oct 2024 12:38:55 +0000 (14:38 +0200)

committer Matthijs Mekking <matthijs@isc.org>

Fri, 11 Oct 2024 15:42:01 +0000 (17:42 +0200)
author Matthijs Mekking <matthijs@isc.org>
Fri, 11 Oct 2024 12:38:55 +0000 (14:38 +0200)
committer Matthijs Mekking <matthijs@isc.org>
Fri, 11 Oct 2024 15:42:01 +0000 (17:42 +0200)
diff --git a/doc/arm/reference.rst b/doc/arm/reference.rst

index 119c8686fa088ce9c634cc50e03bb3c1131c1e21..52983835d9e61d3315dc1c7b19956e0f70ea93cd 100644 (file)
--- a/doc/arm/reference.rst
+++ b/doc/arm/reference.rst
@@ -6213,6 +6213,14 @@ zone is generated even if they have the same policy.  If multiple views
  are configured with different versions of the same zone, each separate
  version uses the same set of signing keys.
  
+If the expected key files that were previously observed have gone missing or
+are inaccessible, key management is halted. This will prevent rollovers
+from being started if there is a temporary file access issue. If his problem
+is permanent it will eventually lead to expired signatures in your zone.
+Note that if the key files are missing or inaccessible during :iscman:`named`
+startup, BIND 9 will try to generate new keys according to the DNSSEC policy,
+because it has no cached information about existing keys yet.
+
  The :any:`dnssec-policy` statement requires dynamic DNS to be set up, or
  :any:`inline-signing` to be enabled (which is the default for DNSSEC zones).
author	Matthijs Mekking <matthijs@isc.org>
	Fri, 11 Oct 2024 12:38:55 +0000 (14:38 +0200)
committer	Matthijs Mekking <matthijs@isc.org>
	Fri, 11 Oct 2024 15:42:01 +0000 (17:42 +0200)