OpenDNSSEC¶
OpenDNSSEC egy eszközcsomag a domain nevek biztonságának kezelésére. Közvetlenül be tud tölteni egy PKCS#11 modult és kezelni tudja a kulcsokat.
Az OpenDNSSEC telepítéséhez és beállításához kövesse a OpenDNSSEC Quick Start Guide. Nem kell telepítenie a SoftHSM
, helyette a NetHSM PKCS#11 modult fogja használni.
Mivel az OpenDNSSEC-nek hozzáférésre van szüksége a kulcsok kezeléséhez, majd használatához, a PKCS#11 modul konfigurációs fájljában mind a rendszergazdai, mind az üzemeltetői fiókot be kell állítania.
A /etc/opendnssec/conf.xml
fájl szerkesztésével beállíthatja, hogy az OpenDNSSEC betöltse a libnethsm_pkcs11.so modult. A következő sorokat kell hozzáadni:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
A /root/libnethsm_pkcs11.so
helyett a libnethsm_pkcs11.so modul elérési útvonalát kell megadni. A <TokenLabel>
a p11nethsm.conf
konfigurációs fájlban beállított címkével kell egyeznie. A <PIN>
az operátor PIN-kódja, ezt vagy egyszerű szövegben állíthatod be a conf.xml
fájlban, vagy használhatod a ods-hsmutil login
fájlt. Az OpenDNSSEC-nek szüksége van egy PIN-kódra, különben nem fog elindulni.
A /etc/opendnssec/kasp.xml
NetHSM
mezőkben a <Repository>
mezőt is frissítenie kell a SoftHSM
helyett a ` ` mezőre:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>