OpenDNSSEC#
OpenDNSSEC е набор от инструменти за управление на сигурността на имената на домейни. Той може директно да зарежда модул PKCS#11 и да управлява ключовете.
За да инсталирате и настроите OpenDNSSEC, можете да следвате Ръководство за бързо стартиране на OpenDNSSEC. Не е необходимо да инсталирате SoftHSM
, вместо него ще се използва модулът NetHSM PKCS#11.
Тъй като OpenDNSSEC се нуждае от достъп, за да управлява ключовете и след това да ги използва, ще трябва да конфигурирате администраторски и операторски акаунт в конфигурационния файл на модула PKCS#11.
Можете да конфигурирате OpenDNSSEC да зарежда модула libnethsm_pkcs11.so, като редактирате файла /etc/opendnssec/conf.xml
. Ще трябва да добавите следните редове:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Заменете /root/libnethsm_pkcs11.so
с пътя до модула libnethsm_pkcs11.so. Трябва да съответствате на <TokenLabel>
с етикета, който сте задали в конфигурационния файл p11nethsm.conf
. ` <PIN>` е ПИН кодът на оператора, можете да го зададете в обикновен текст във файла conf.xml
или да използвате ods-hsmutil login
. OpenDNSSEC трябва да има предоставен ПИН код, в противен случай ще откаже да се стартира.
Също така трябва да актуализирате полетата <Repository>
в /etc/opendnssec/kasp.xml
на NetHSM
вместо на SoftHSM
по подразбиране :
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>