OpenDNSSEC#

OpenDNSSEC on tööriistakomplekt domeeninimede turvalisuse haldamiseks. Sellega saab otse laadida PKCS#11 moodulit ja hallata võtmeid.

OpenDNSSECi paigaldamiseks ja seadistamiseks saate järgida OpenDNSSECi kiirjuhendit. Te ei pea paigaldama SoftHSM, selle asemel kasutatakse NetHSM PKCS#11 moodulit.

Kuna OpenDNSSEC vajab juurdepääsu võtmete haldamiseks ja seejärel nende kasutamiseks, peate PKCS#11-mooduli konfiguratsioonifailis seadistama nii administraatori kui ka operaatori konto.

OpenDNSSECi saab konfigureerida nii, et see laadiks mooduli libnethsm_pkcs11.so, muutes faili /etc/opendnssec/conf.xml. Peate lisama järgmised read:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Asendage /root/libnethsm_pkcs11.so mooduli libnethsm_pkcs11.so teega. Sa pead sobitama <TokenLabel> sildiga, mille oled määranud p11nethsm.conf konfiguratsioonifailis. ` <PIN>` on operaatori PIN-kood, selle võib määrata kas lihtkirjana failis conf.xml või kasutada ods-hsmutil login. OpenDNSSEC peab olema PIN-koodiga varustatud, vastasel juhul keeldub ta käivitamast.

Samuti peate uuendama <Repository> väljad /etc/opendnssec/kasp.xml NetHSM vaikimisi SoftHSM asemel ` ` :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>