OpenDNSSEC

OpenDNSSEC is een gereedschapssuite voor het beheren van de beveiliging van domeinnamen. Het kan direct een PKCS#11 module laden en de sleutels beheren.

Om OpenDNSSEC te installeren en in te stellen, kun je de OpenDNSSEC Quick Start Guide volgen. Je hoeft SoftHSM niet te installeren, in plaats daarvan wordt de NetHSM PKCS#11 module gebruikt.

Aangezien OpenDNSSEC toegang nodig heeft om de sleutels te beheren en ze vervolgens te gebruiken, moet u zowel de administrator als de operator account configureren in het configuratiebestand van de PKCS#11 module.

Je kunt OpenDNSSEC configureren om de libnethsm_pkcs11.so module te laden door het /etc/opendnssec/conf.xml bestand te bewerken. Je moet de volgende regels toevoegen:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Vervang /root/libnethsm_pkcs11.so door het pad naar de libnethsm_pkcs11.so module. De <TokenLabel> moet overeenkomen met het label dat je hebt ingesteld in het p11nethsm.conf configuratiebestand. De <PIN> is de operator PIN, je kunt deze in platte tekst instellen in het conf.xml bestand of ods-hsmutil login gebruiken. OpenDNSSEC heeft een pin nodig, anders weigert het om op te starten.

Je moet ook de velden <Repository> in /etc/opendnssec/kasp.xml bijwerken naar NetHSM in plaats van de standaard SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>