OpenDNSSEC

OpenDNSSEC е набор от инструменти за управление на сигурността на имената на домейни. Той може директно да зарежда модул PKCS#11 и да управлява ключовете.

To install and setup OpenDNSSEC, you can follow the OpenDNSSEC Quick Start Guide. You don’t need to install SoftHSM, the NetHSM PKCS#11 module will be used instead.

Тъй като OpenDNSSEC се нуждае от достъп, за да управлява ключовете и след това да ги използва, ще трябва да конфигурирате администраторски и операторски акаунт в конфигурационния файл на модула PKCS#11.

Можете да конфигурирате OpenDNSSEC да зарежда модула libnethsm_pkcs11.so, като редактирате файла /etc/opendnssec/conf.xml. Ще трябва да добавите следните редове:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Заменете /root/libnethsm_pkcs11.so с пътя до модула libnethsm_pkcs11.so. Трябва да съответствате на <TokenLabel> с етикета, който сте задали в конфигурационния файл p11nethsm.conf. ` <PIN>` е ПИН кодът на оператора, можете да го зададете в обикновен текст във файла conf.xml или да използвате ods-hsmutil login. OpenDNSSEC трябва да има предоставен ПИН код, в противен случай ще откаже да се стартира.

Също така трябва да актуализирате полетата <Repository> в /etc/opendnssec/kasp.xml на NetHSM вместо на SoftHSM по подразбиране :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>