Knot DNS#
Knot DNS egy nyílt forráskódú, hiteles DNS-kiszolgáló, amely DNSSEC-hez használható. A KnotDNS NetHSM-mel való használatához telepítse és konfigurálja a PKCS#11 modult a itt leírtak szerint.
Kézi üzemmód#
Kézi üzemmódban a kulcsokat manuálisan kell létrehozni és kezelni.
A PKCS#11 modul konfigurációs fájljában csak az Operator felhasználóra van szükség. A jelszó a pin-value segítségével adható meg a PKCS#11 URI a knot.conf állományban.
Adja hozzá a következő sorokat a KnotDNS konfigurációs fájlhoz /etc/knot/knot.conf:
keystore:
- id: nethsm_keystore
backend: pkcs11
config: "pkcs11:token=localnethsm /usr/local/lib/libnethsm_pkcs11.so"
policy:
- id: manual_policy
keystore: nethsm_keystore
manual: on
zone:
- domain: example.com
storage: "/var/lib/knot"
file: "example.com.zone"
dnssec-signing: on
dnssec-policy: manual_policy
A token érték a PKCS#11 URI-ban a label a p11nethsm.conf értékéből származik. A libnethsm_pkcs11.so elérési útvonalát szükség szerint állítsa be.
A kulcsok létrehozásához futtassa a következő parancsokat:
nitropy nethsm \
--host "localhost:8443" --no-verify-tls \
--username "admin" \
generate-key \
--type "EC_P256" --mechanism "ECDSA_Signature" --length "256" --key-id "myKSK"
# knot's keymgr expects the binary key id in hex format
# myKSK in ascii-binary is 0x6d794b534b, e.g. echo -n "myKSK" | xxd -ps
keymgr "example.com" import-pkcs11 "6d794b534b" "algorithm=ECDSAP256SHA256" "ksk=yes"
nitropy nethsm \
--host "localhost:8443" --no-verify-tls \
--username "admin" \
generate-key \
--type "EC_P256" --mechanism "ECDSA_Signature" --length "256" --key-id "myZSK"
# myZSK in ascii-binary is 0x6d795a534b
keymgr "example.com" import-pkcs11 "6d795a534b" "algorithm=ECDSAP256SHA256"
Automatikus üzemmód#
Automatikus üzemmódban a kulcsokat a Knot DNS generálja és tárolja a NetHSM-ben.
A PKCS#11 modul konfigurációjában egy rendszergazda és egy operátor felhasználóra van szükség.
Adja hozzá a következő sorokat a Knot DNS konfigurációs fájlhoz /etc/knot/knot.conf:
keystore:
- id: nethsm_keystore
backend: pkcs11
config: "pkcs11:token=localnethsm /usr/local/lib/libnethsm_pkcs11.so"
#key-label: on
policy:
- id: auto_policy
keystore: nethsm_keystore
ksk-lifetime: 5m
zsk-lifetime: 2m
dnskey-ttl: 10s
zone-max-ttl: 15s
propagation-delay: 2s
zone:
- domain: example.com
storage: "/var/lib/knot"
file: "example.com.zone"
dnssec-signing: on
dnssec-policy: auto_policy
A key-label on beállítása nem változtat semmit, és a pkcs11 modul figyelmen kívül hagyja a megadott címkét, és mindig a hexadecimális kulcs azonosítóját adja vissza címkeként. A házirend tesztelési célokból nagyon rövid kulcséletidőt és TTL-t használ.