OpenDNSSEC¶
OpenDNSSEC er en værktøjssuite til styring af sikkerheden for domænenavne. Den kan indlæse et PKCS#11-modul direkte og administrere nøglerne.
For at installere og konfigurere OpenDNSSEC, kan du følge OpenDNSSEC Quick Start Guide. Du behøver ikke at installere SoftHSM
, NetHSM PKCS#11-modulet vil blive brugt i stedet.
Da OpenDNSSEC har brug for adgang til at administrere nøglerne og derefter bruge dem, skal du konfigurere både administrator- og operatørkontoen i PKCS#11-modulets konfigurationsfil.
Du kan konfigurere OpenDNSSEC til at indlæse libnethsm_pkcs11.so-modulet ved at redigere filen /etc/opendnssec/conf.xml
. Du bliver nødt til at tilføje følgende linjer:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Erstat /root/libnethsm_pkcs11.so
med stien til libnethsm_pkcs11.so-modulet. Du skal matche <TokenLabel>
med den label, du har angivet i konfigurationsfilen p11nethsm.conf
. ` <PIN>` er operatørens PIN-kode, du kan enten angive den i almindelig tekst i filen conf.xml
eller bruge ods-hsmutil login
. OpenDNSSEC skal have en pinkode, ellers vil den nægte at starte.
Du skal også opdatere <Repository>
felterne i /etc/opendnssec/kasp.xml
til NetHSM
i stedet for standard SoftHSM
:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>