OpenDNSSEC¶
OpenDNSSEC ist eine Tool-Suite zur Verwaltung der Sicherheit von Domain-Namen. Es kann direkt ein PKCS#11-Modul laden und die Schlüssel verwalten.
Um OpenDNSSEC zu installieren und einzurichten, können Sie dem OpenDNSSEC Quick Start Guide folgen. Sie brauchen SoftHSM nicht zu installieren, stattdessen wird das NetHSM PKCS#11 Modul verwendet.
Da OpenDNSSEC Zugriff benötigt, um die Schlüssel zu verwalten und dann zu verwenden, müssen Sie sowohl das Administrator- als auch das Operator-Konto in der Konfigurationsdatei des PKCS#11-Moduls konfigurieren.
Sie können OpenDNSSEC so konfigurieren, dass das Modul libnethsm_pkcs11.so geladen wird, indem Sie die Datei /etc/opendnssec/conf.xml bearbeiten. Sie müssen die folgenden Zeilen hinzufügen:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Ersetzen Sie /root/libnethsm_pkcs11.so durch den Pfad zum Modul libnethsm_pkcs11.so. Sie müssen die <TokenLabel> mit dem Label abgleichen, das Sie in der Konfigurationsdatei p11nethsm.conf gesetzt haben. Die <PIN> ist die Betreiber-PIN, Sie können sie entweder im Klartext in der conf.xml Datei setzen oder ods-hsmutil login verwenden. OpenDNSSEC braucht eine PIN, oder es wird sich weigern, zu starten.
Sie müssen auch die Felder <Repository> in /etc/opendnssec/kasp.xml auf NetHSM statt auf das Standardfeld SoftHSM aktualisieren:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>