OpenDNSSEC

OpenDNSSEC egy eszközcsomag a domain nevek biztonságának kezelésére. Közvetlenül be tud tölteni egy PKCS#11 modult és kezelni tudja a kulcsokat.

Az OpenDNSSEC telepítéséhez és beállításához kövesse a OpenDNSSEC Quick Start Guide. Nem kell telepítenie a SoftHSM, helyette a NetHSM PKCS#11 modult fogja használni.

Mivel az OpenDNSSEC-nek hozzáférésre van szüksége a kulcsok kezeléséhez, majd használatához, a PKCS#11 modul konfigurációs fájljában mind a rendszergazdai, mind az üzemeltetői fiókot be kell állítania.

A /etc/opendnssec/conf.xml fájl szerkesztésével beállíthatja, hogy az OpenDNSSEC betöltse a libnethsm_pkcs11.so modult. A következő sorokat kell hozzáadni:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

A /root/libnethsm_pkcs11.so helyett a libnethsm_pkcs11.so modul elérési útvonalát kell megadni. A <TokenLabel> a p11nethsm.conf konfigurációs fájlban beállított címkével kell egyeznie. A <PIN> az operátor PIN-kódja, ezt vagy egyszerű szövegben állíthatod be a conf.xml fájlban, vagy használhatod a ods-hsmutil login fájlt. Az OpenDNSSEC-nek szüksége van egy PIN-kódra, különben nem fog elindulni.

A /etc/opendnssec/kasp.xml NetHSM mezőkben a <Repository> mezőt is frissítenie kell a SoftHSM helyett a ` ` mezőre:

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>