OpenDNSSEC

OpenDNSSEC on työkalupaketti verkkotunnusten turvallisuuden hallintaan. Se voi ladata suoraan PKCS#11-moduulin ja hallita avaimia.

Voit asentaa ja ottaa OpenDNSSECin käyttöön noudattamalla OpenDNSSEC Quick Start Guide. Sinun ei tarvitse asentaa SoftHSM, sen sijaan käytetään NetHSM PKCS#11 -moduulia.

Koska OpenDNSSEC tarvitsee käyttöoikeudet avainten hallintaan ja niiden käyttöön, sinun on määritettävä sekä järjestelmänvalvojan että käyttäjän tili PKCS#11-moduulin konfigurointitiedostossa.

Voit määrittää OpenDNSSEC:n lataamaan libnethsm_pkcs11.so-moduulin muokkaamalla /etc/opendnssec/conf.xml-tiedostoa. Sinun on lisättävä seuraavat rivit:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Korvaa /root/libnethsm_pkcs11.so moduulin libnethsm_pkcs11.so polulla. Sinun on sovitettava <TokenLabel> p11nethsm.conf -määritystiedostossa asettamaasi merkintään. ` <PIN>` on operaattorin PIN-koodi, jonka voit asettaa joko tekstinä tiedostossa conf.xml tai käyttää ods-hsmutil login. OpenDNSSEC:lle on annettava PIN-koodi, tai se ei suostu käynnistymään.

Sinun on myös päivitettävä <Repository> -kentät osoitteessa /etc/opendnssec/kasp.xml muotoon NetHSM oletusarvon SoftHSM sijasta:

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>