OpenDNSSEC¶
OpenDNSSEC on tööriistakomplekt domeeninimede turvalisuse haldamiseks. Sellega saab otse laadida PKCS#11 moodulit ja hallata võtmeid.
OpenDNSSECi paigaldamiseks ja seadistamiseks saate järgida OpenDNSSECi kiirjuhendit. Te ei pea paigaldama SoftHSM
, selle asemel kasutatakse NetHSM PKCS#11 moodulit.
Kuna OpenDNSSEC vajab juurdepääsu võtmete haldamiseks ja seejärel nende kasutamiseks, peate PKCS#11-mooduli konfiguratsioonifailis seadistama nii administraatori kui ka operaatori konto.
OpenDNSSECi saab konfigureerida nii, et see laadiks mooduli libnethsm_pkcs11.so, muutes faili /etc/opendnssec/conf.xml
. Peate lisama järgmised read:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Asendage /root/libnethsm_pkcs11.so
mooduli libnethsm_pkcs11.so teega. Sa pead sobitama <TokenLabel>
sildiga, mille oled määranud p11nethsm.conf
konfiguratsioonifailis. ` <PIN>` on operaatori PIN-kood, selle võib määrata kas lihtkirjana failis conf.xml
või kasutada ods-hsmutil login
. OpenDNSSEC peab olema PIN-koodiga varustatud, vastasel juhul keeldub ta käivitamast.
Samuti peate uuendama <Repository>
väljad /etc/opendnssec/kasp.xml
NetHSM
vaikimisi SoftHSM
asemel ` ` :
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>