OpenDNSSEC¶
OpenDNSSEC ist eine Tool-Suite zur Verwaltung der Sicherheit von Domain-Namen. Es kann direkt ein PKCS#11-Modul laden und die Schlüssel verwalten.
To install and setup OpenDNSSEC, you can follow the OpenDNSSEC Quick Start Guide. You don’t need to install SoftHSM, the NetHSM PKCS#11 module will be used instead.
Da OpenDNSSEC Zugriff benötigt, um die Schlüssel zu verwalten und dann zu verwenden, müssen Sie sowohl das Administrator- als auch das Operator-Konto in der Konfigurationsdatei des PKCS#11-Moduls konfigurieren.
Sie können OpenDNSSEC so konfigurieren, dass das Modul libnethsm_pkcs11.so geladen wird, indem Sie die Datei /etc/opendnssec/conf.xml bearbeiten. Sie müssen die folgenden Zeilen hinzufügen:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Ersetzen Sie /root/libnethsm_pkcs11.so durch den Pfad zum Modul libnethsm_pkcs11.so. Sie müssen die <TokenLabel> mit dem Label abgleichen, das Sie in der Konfigurationsdatei p11nethsm.conf gesetzt haben. Die <PIN> ist die Betreiber-PIN, Sie können sie entweder im Klartext in der conf.xml Datei setzen oder ods-hsmutil login verwenden. OpenDNSSEC braucht eine PIN, oder es wird sich weigern, zu starten.
Sie müssen auch die Felder <Repository> in /etc/opendnssec/kasp.xml auf NetHSM statt auf das Standardfeld SoftHSM aktualisieren:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>