OpenDNSSEC¶
OpenDNSSEC je sada nástrojů pro správu zabezpečení doménových jmen. Dokáže přímo načíst modul PKCS#11 a spravovat klíče.
Instalaci a nastavení OpenDNSSEC můžete provést podle příručky OpenDNSSEC Quick Start Guide. Nemusíte instalovat SoftHSM
, místo toho bude použit modul NetHSM PKCS#11.
Vzhledem k tomu, že OpenDNSSEC potřebuje přístup ke správě klíčů a jejich následnému použití, je třeba v konfiguračním souboru modulu PKCS#11 nakonfigurovat účet správce i operátora.
Modul libnethsm_pkcs11.so můžete pro OpenDNSSEC nakonfigurovat úpravou souboru /etc/opendnssec/conf.xml
. Budete muset přidat následující řádky:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Nahraďte /root/libnethsm_pkcs11.so
cestou k modulu libnethsm_pkcs11.so. Je třeba přiřadit <TokenLabel>
ke štítku, který jste nastavili v konfiguračním souboru p11nethsm.conf
. ` <PIN>` je PIN operátora, můžete jej buď nastavit v prostém textu v souboru conf.xml
nebo použít ods-hsmutil login
. OpenDNSSEC musí mít zadaný PIN, jinak se odmítne spustit.
Je také třeba aktualizovat pole <Repository>
v /etc/opendnssec/kasp.xml
na NetHSM
místo výchozího SoftHSM
:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>