OpenDNSSEC

OpenDNSSEC er en værktøjssuite til styring af sikkerheden for domænenavne. Den kan indlæse et PKCS#11-modul direkte og administrere nøglerne.

For at installere og konfigurere OpenDNSSEC, kan du følge OpenDNSSEC Quick Start Guide. Du behøver ikke at installere SoftHSM, NetHSM PKCS#11-modulet vil blive brugt i stedet.

Da OpenDNSSEC har brug for adgang til at administrere nøglerne og derefter bruge dem, skal du konfigurere både administrator- og operatørkontoen i PKCS#11-modulets konfigurationsfil.

Du kan konfigurere OpenDNSSEC til at indlæse libnethsm_pkcs11.so-modulet ved at redigere filen /etc/opendnssec/conf.xml. Du bliver nødt til at tilføje følgende linjer:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Erstat /root/libnethsm_pkcs11.so med stien til libnethsm_pkcs11.so-modulet. Du skal matche <TokenLabel> med den label, du har angivet i konfigurationsfilen p11nethsm.conf. ` <PIN>` er operatørens PIN-kode, du kan enten angive den i almindelig tekst i filen conf.xml eller bruge ods-hsmutil login. OpenDNSSEC skal have en pinkode, ellers vil den nægte at starte.

Du skal også opdatere <Repository> felterne i /etc/opendnssec/kasp.xml til NetHSM i stedet for standard SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>