OpenDNSSEC

OpenDNSSEC es un conjunto de herramientas para gestionar la seguridad de los nombres de dominio. Puede cargar directamente un módulo PKCS#11 y gestionar las claves.

To install and setup OpenDNSSEC, you can follow the OpenDNSSEC Quick Start Guide. You don’t need to install SoftHSM, the NetHSM PKCS#11 module will be used instead.

Como OpenDNSSEC necesita acceso para gestionar las claves y luego utilizarlas, tendrá que configurar tanto la cuenta de administrador como la de operador en el archivo de configuración del módulo PKCS#11.

Puede configurar OpenDNSSEC para que cargue el módulo libnethsm_pkcs11.so editando el archivo /etc/opendnssec/conf.xml. Tendrás que añadir las siguientes líneas:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Sustituya /root/libnethsm_pkcs11.so por la ruta al módulo libnethsm_pkcs11.so. Debe hacer coincidir <TokenLabel> con la etiqueta que estableció en el archivo de configuración p11nethsm.conf. ` <PIN>` es el PIN del operador, puede establecerlo en texto plano en el archivo conf.xml o utilizar ods-hsmutil login. OpenDNSSEC necesita que se le proporcione un pin o se negará a arrancar.

También debe actualizar los campos <Repository> en /etc/opendnssec/kasp.xml a NetHSM en lugar de los predeterminados SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>