OpenDNSSEC

OpenDNSSEC ist eine Tool-Suite zur Verwaltung der Sicherheit von Domain-Namen. Es kann direkt ein PKCS#11-Modul laden und die Schlüssel verwalten.

To install and setup OpenDNSSEC, you can follow the OpenDNSSEC Quick Start Guide. You don’t need to install SoftHSM, the NetHSM PKCS#11 module will be used instead.

Da OpenDNSSEC Zugriff benötigt, um die Schlüssel zu verwalten und dann zu verwenden, müssen Sie sowohl das Administrator- als auch das Operator-Konto in der Konfigurationsdatei des PKCS#11-Moduls konfigurieren.

Sie können OpenDNSSEC so konfigurieren, dass das Modul libnethsm_pkcs11.so geladen wird, indem Sie die Datei /etc/opendnssec/conf.xml bearbeiten. Sie müssen die folgenden Zeilen hinzufügen:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Ersetzen Sie /root/libnethsm_pkcs11.so durch den Pfad zum Modul libnethsm_pkcs11.so. Sie müssen die <TokenLabel> mit dem Label abgleichen, das Sie in der Konfigurationsdatei p11nethsm.conf gesetzt haben. Die <PIN> ist die Betreiber-PIN, Sie können sie entweder im Klartext in der conf.xml Datei setzen oder ods-hsmutil login verwenden. OpenDNSSEC braucht eine PIN, oder es wird sich weigern, zu starten.

Sie müssen auch die Felder <Repository> in /etc/opendnssec/kasp.xml auf NetHSM statt auf das Standardfeld SoftHSM aktualisieren:

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>