OpenDNSSEC¶
OpenDNSSEC ist eine Tool-Suite zur Verwaltung der Sicherheit von Domain-Namen. Es kann direkt ein PKCS#11-Modul laden und die Schlüssel verwalten.
Um OpenDNSSEC zu installieren und einzurichten, können Sie dem OpenDNSSEC Quick Start Guide folgen. Sie brauchen SoftHSM
nicht zu installieren, stattdessen wird das NetHSM PKCS#11 Modul verwendet.
Da OpenDNSSEC Zugriff benötigt, um die Schlüssel zu verwalten und dann zu verwenden, müssen Sie sowohl das Administrator- als auch das Operator-Konto in der Konfigurationsdatei des PKCS#11-Moduls konfigurieren.
Sie können OpenDNSSEC so konfigurieren, dass das Modul libnethsm_pkcs11.so geladen wird, indem Sie die Datei /etc/opendnssec/conf.xml
bearbeiten. Sie müssen die folgenden Zeilen hinzufügen:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Ersetzen Sie /root/libnethsm_pkcs11.so
durch den Pfad zum Modul libnethsm_pkcs11.so. Sie müssen die <TokenLabel>
mit dem Label abgleichen, das Sie in der Konfigurationsdatei p11nethsm.conf
gesetzt haben. Die <PIN>
ist die Betreiber-PIN, Sie können sie entweder im Klartext in der conf.xml
Datei setzen oder ods-hsmutil login
verwenden. OpenDNSSEC braucht eine PIN, oder es wird sich weigern, zu starten.
Sie müssen auch die Felder <Repository>
in /etc/opendnssec/kasp.xml
auf NetHSM
statt auf das Standardfeld SoftHSM
aktualisieren:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>