OpenDNSSEC#
OpenDNSSEC είναι μια σουίτα εργαλείων για τη διαχείριση της ασφάλειας των ονομάτων τομέα. Μπορεί να φορτώσει απευθείας μια ενότητα PKCS#11 και να διαχειριστεί τα κλειδιά.
Για να εγκαταστήσετε και να ρυθμίσετε το OpenDNSSEC, μπορείτε να ακολουθήσετε το OpenDNSSEC Quick Start Guide. Δεν χρειάζεται να εγκαταστήσετε το SoftHSM, αντί αυτού θα χρησιμοποιηθεί η ενότητα NetHSM PKCS#11.
Καθώς το OpenDNSSEC χρειάζεται πρόσβαση για να διαχειρίζεται τα κλειδιά και στη συνέχεια να τα χρησιμοποιεί, θα πρέπει να ρυθμίσετε τόσο το λογαριασμό διαχειριστή όσο και το λογαριασμό χειριστή στο αρχείο ρυθμίσεων της ενότητας PKCS#11.
Μπορείτε να ρυθμίσετε το OpenDNSSEC ώστε να φορτώνει την ενότητα libnethsm_pkcs11.so, τροποποιώντας το αρχείο /etc/opendnssec/conf.xml. Θα πρέπει να προσθέσετε τις ακόλουθες γραμμές:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Αντικαταστήστε το /root/libnethsm_pkcs11.so με τη διαδρομή προς τη μονάδα libnethsm_pkcs11.so. Πρέπει να αντιστοιχίσετε το <TokenLabel> με την ετικέτα που ορίσατε στο αρχείο ρυθμίσεων p11nethsm.conf. Το <PIN> είναι το PIN του χειριστή, μπορείτε είτε να το ορίσετε σε απλό κείμενο στο αρχείο conf.xml είτε να χρησιμοποιήσετε το ods-hsmutil login. Το OpenDNSSEC πρέπει να έχει ένα pin, αλλιώς θα αρνηθεί να ξεκινήσει.
Πρέπει επίσης να ενημερώσετε τα πεδία <Repository> στο /etc/opendnssec/kasp.xml σε NetHSM αντί για το προεπιλεγμένο SoftHSM :
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>