Nœud DNS

Knot DNS est un serveur DNS autoritaire open source qui peut être utilisé pour le DNSSEC. Pour utiliser KnotDNS avec le NetHSM, veuillez installer et configurer le module PKCS#11 comme décrit ici.

Mode manuel

En mode manuel, les clés doivent être générées et gérées manuellement.

Seul l’utilisateur Operator est nécessaire dans le fichier de configuration du module PKCS#11. Le mot de passe peut être spécifié à l’aide de pin-value dans PKCS#11 URI dans knot.conf.

Ajoutez les lignes suivantes au fichier de configuration de KnotDNS /etc/knot/knot.conf :

keystore:
  - id: nethsm_keystore
    backend: pkcs11
    config: "pkcs11:token=localnethsm /usr/local/lib/libnethsm_pkcs11.so"

policy:
  - id: manual_policy
    keystore: nethsm_keystore
    manual: on

zone:
  - domain: example.com
    storage: "/var/lib/knot"
    file: "example.com.zone"
    dnssec-signing: on
    dnssec-policy: manual_policy

La valeur token dans l’URI PKCS#11 est la valeur label de p11nethsm.conf. Ajustez le chemin d’accès à libnethsm_pkcs11.so si nécessaire.

Pour générer les clés, exécutez les commandes suivantes :

nitropy nethsm \
  --host "localhost:8443" --no-verify-tls \
  --username "admin" \
  generate-key \
    --type "EC_P256" --mechanism "ECDSA_Signature" --length "256" --key-id "myKSK"
# knot's keymgr expects the binary key id in hex format
# myKSK in ascii-binary is 0x6d794b534b, e.g. echo -n "myKSK" | xxd -ps
keymgr "example.com" import-pkcs11 "6d794b534b" "algorithm=ECDSAP256SHA256" "ksk=yes"

nitropy nethsm \
  --host "localhost:8443" --no-verify-tls \
  --username "admin" \
  generate-key \
    --type "EC_P256" --mechanism "ECDSA_Signature" --length "256" --key-id "myZSK"
# myZSK in ascii-binary is 0x6d795a534b
keymgr "example.com" import-pkcs11 "6d795a534b" "algorithm=ECDSAP256SHA256"

Mode automatique

En mode automatique, les clés sont générées par Knot DNS et stockées dans le NetHSM.

Un administrateur et un opérateur sont nécessaires dans la configuration du module PKCS#11.

Ajoutez les lignes suivantes au fichier de configuration DNS du nœud /etc/knot/knot.conf :

keystore:
  - id: nethsm_keystore
    backend: pkcs11
    config: "pkcs11:token=localnethsm /usr/local/lib/libnethsm_pkcs11.so"
    #key-label: on

policy:
  - id: auto_policy
    keystore: nethsm_keystore
    ksk-lifetime: 5m
    zsk-lifetime: 2m
    dnskey-ttl: 10s
    zone-max-ttl: 15s
    propagation-delay: 2s

zone:
  - domain: example.com
    storage: "/var/lib/knot"
    file: "example.com.zone"
    dnssec-signing: on
    dnssec-policy: auto_policy

Définir key-label à on ne change rien et le module pkcs11 ignore l’étiquette donnée et renvoie toujours l’identifiant hexadécimal de la clé en tant qu’étiquette. La politique utilise des durées de vie des clés et des TTL très courtes à des fins de test.