OpenDNSSEC

OpenDNSSEC est une suite d’outils pour gérer la sécurité des noms de domaine. Il peut charger directement un module PKCS#11 et gérer les clés.

Pour installer et configurer OpenDNSSEC, vous pouvez suivre le OpenDNSSEC Quick Start Guide. Vous n’avez pas besoin d’installer SoftHSM, le module NetHSM PKCS#11 sera utilisé à la place.

Comme OpenDNSSEC a besoin d’un accès pour gérer les clés et les utiliser, vous devrez configurer les comptes administrateur et opérateur dans le fichier de configuration du module PKCS#11.

Vous pouvez configurer OpenDNSSEC pour qu’il charge le module libnethsm_pkcs11.so en éditant le fichier /etc/opendnssec/conf.xml. Vous devrez ajouter les lignes suivantes :

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Remplacez /root/libnethsm_pkcs11.so par le chemin vers le module libnethsm_pkcs11.so. Vous devez faire correspondre <TokenLabel> avec l’étiquette que vous avez définie dans le fichier de configuration p11nethsm.conf. Le <PIN> est le PIN de l’opérateur, vous pouvez soit le définir en texte clair dans le fichier conf.xml ou utiliser ods-hsmutil login. OpenDNSSEC doit disposer d’un code PIN, sinon il refusera de démarrer.

Vous devez également mettre à jour les champs <Repository> dans /etc/opendnssec/kasp.xml en NetHSM au lieu des champs par défaut SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>