OpenDNSSEC

OpenDNSSEC je sada nástrojů pro správu zabezpečení doménových jmen. Dokáže přímo načíst modul PKCS#11 a spravovat klíče.

Instalaci a nastavení OpenDNSSEC můžete provést podle příručky OpenDNSSEC Quick Start Guide. Nemusíte instalovat SoftHSM, místo toho bude použit modul NetHSM PKCS#11.

Vzhledem k tomu, že OpenDNSSEC potřebuje přístup ke správě klíčů a jejich následnému použití, je třeba v konfiguračním souboru modulu PKCS#11 nakonfigurovat účet správce i operátora.

Modul libnethsm_pkcs11.so můžete pro OpenDNSSEC nakonfigurovat úpravou souboru /etc/opendnssec/conf.xml. Budete muset přidat následující řádky:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Nahraďte /root/libnethsm_pkcs11.so cestou k modulu libnethsm_pkcs11.so. Je třeba přiřadit <TokenLabel> ke štítku, který jste nastavili v konfiguračním souboru p11nethsm.conf. ` <PIN>` je PIN operátora, můžete jej buď nastavit v prostém textu v souboru conf.xml nebo použít ods-hsmutil login. OpenDNSSEC musí mít zadaný PIN, jinak se odmítne spustit.

Je také třeba aktualizovat pole <Repository> v /etc/opendnssec/kasp.xml na NetHSM místo výchozího SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>