A bit more cleanup in the dnssec-keygen manual 1678/head
authorTony Finch <dot@dotat.at>
Wed, 13 Mar 2019 15:47:31 +0000 (15:47 +0000)
committerMark Andrews <marka@isc.org>
Thu, 14 Mar 2019 02:22:01 +0000 (13:22 +1100)
Remove another remnant of shared secret HMAC-MD5 support.

Explain that with currently recommended setups DNSKEY records are
inserted automatically, but you can still use $INCLUDE in other cases.

CHANGES
bin/dnssec/dnssec-keygen.docbook

diff --git a/CHANGES b/CHANGES
index 07f0c17..32cbd6e 100644 (file)
--- a/CHANGES
+++ b/CHANGES
@@ -1,3 +1,5 @@
+5186.  [cleanup]       More dnssec-keygen manual tidying. [GL !1678]
+
 5185.  [placeholder]
 
 5184.  [bug]           Missing unlocks in sdlz.c. [GL #936]
index a56ded9..8d157ad 100644 (file)
       key.
     </para>
     <para>
-      The <filename>.key</filename> file contains a DNS KEY record
-      that
-      can be inserted into a zone file (directly or with a $INCLUDE
-      statement).
+      The <filename>.key</filename> file contains a DNSKEY or KEY record.
+      When a zone is being signed by <command>named</command>
+      or <command>dnssec-signzone</command> <option>-S</option>, DNSKEY
+      records are included automatically. In other cases,
+      the <filename>.key</filename> file can be inserted into a zone file
+      manually or with a <userinput>$INCLUDE</userinput> statement.
     </para>
     <para>
       The <filename>.private</filename> file contains
       fields.  For obvious security reasons, this file does not have
       general read permission.
     </para>
-    <para>
-      Both <filename>.key</filename> and <filename>.private</filename>
-      files are generated for symmetric cryptography algorithms such as
-      HMAC-MD5, even though the public and private key are equivalent.
-    </para>
   </refsection>
 
   <refsection><info><title>EXAMPLE</title></info>