OpenDNSSEC¶
OpenDNSSEC es un conjunto de herramientas para gestionar la seguridad de los nombres de dominio. Puede cargar directamente un módulo PKCS#11 y gestionar las claves.
Para instalar y configurar OpenDNSSEC, puede seguir la Guía de inicio rápido de OpenDNSSEC. No es necesario instalar SoftHSM
, en su lugar se utilizará el módulo PKCS#11 de NetHSM.
Como OpenDNSSEC necesita acceso para gestionar las claves y luego utilizarlas, tendrá que configurar tanto la cuenta de administrador como la de operador en el archivo de configuración del módulo PKCS#11.
Puede configurar OpenDNSSEC para que cargue el módulo libnethsm_pkcs11.so editando el archivo /etc/opendnssec/conf.xml
. Tendrás que añadir las siguientes líneas:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Sustituya /root/libnethsm_pkcs11.so
por la ruta al módulo libnethsm_pkcs11.so. Debe hacer coincidir <TokenLabel>
con la etiqueta que estableció en el archivo de configuración p11nethsm.conf
. ` <PIN>` es el PIN del operador, puede establecerlo en texto plano en el archivo conf.xml
o utilizar ods-hsmutil login
. OpenDNSSEC necesita que se le proporcione un pin o se negará a arrancar.
También debe actualizar los campos <Repository>
en /etc/opendnssec/kasp.xml
a NetHSM
en lugar de los predeterminados SoftHSM
:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>