OpenDNSSEC¶
OpenDNSSEC on työkalupaketti verkkotunnusten turvallisuuden hallintaan. Se voi ladata suoraan PKCS#11-moduulin ja hallita avaimia.
Voit asentaa ja ottaa OpenDNSSECin käyttöön noudattamalla OpenDNSSEC Quick Start Guide. Sinun ei tarvitse asentaa SoftHSM
, sen sijaan käytetään NetHSM PKCS#11 -moduulia.
Koska OpenDNSSEC tarvitsee käyttöoikeudet avainten hallintaan ja niiden käyttöön, sinun on määritettävä sekä järjestelmänvalvojan että käyttäjän tili PKCS#11-moduulin konfigurointitiedostossa.
Voit määrittää OpenDNSSEC:n lataamaan libnethsm_pkcs11.so-moduulin muokkaamalla /etc/opendnssec/conf.xml
-tiedostoa. Sinun on lisättävä seuraavat rivit:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Korvaa /root/libnethsm_pkcs11.so
moduulin libnethsm_pkcs11.so polulla. Sinun on sovitettava <TokenLabel>
p11nethsm.conf
-määritystiedostossa asettamaasi merkintään. ` <PIN>` on operaattorin PIN-koodi, jonka voit asettaa joko tekstinä tiedostossa conf.xml
tai käyttää ods-hsmutil login
. OpenDNSSEC:lle on annettava PIN-koodi, tai se ei suostu käynnistymään.
Sinun on myös päivitettävä <Repository>
-kentät osoitteessa /etc/opendnssec/kasp.xml
muotoon NetHSM
oletusarvon SoftHSM
sijasta:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>