Nodo DNS¶
Knot DNS è un server DNS autoritario open source che può essere utilizzato per il DNSSEC. Per utilizzare KnotDNS con NetHSM, installare e configurare il modulo PKCS#11 come descritto qui.
Modalità manuale¶
In modalità manuale le chiavi devono essere generate e gestite manualmente.
Nel file di configurazione del modulo PKCS#11 è necessario solo l’utente Operator. La password può essere specificata usando pin-value
nell’URI PKCS#11 ` <https://www.rfc-editor.org/rfc/rfc7512>`__ in knot.conf.
Aggiungere le seguenti righe al file di configurazione di KnotDNS /etc/knot/knot.conf
:
keystore:
- id: nethsm_keystore
backend: pkcs11
config: "pkcs11:token=localnethsm /usr/local/lib/libnethsm_pkcs11.so"
policy:
- id: manual_policy
keystore: nethsm_keystore
manual: on
zone:
- domain: example.com
storage: "/var/lib/knot"
file: "example.com.zone"
dnssec-signing: on
dnssec-policy: manual_policy
Il valore token
nell’URI PKCS#11 è il valore label
dal valore p11nethsm.conf
. Regolare il percorso di libnethsm_pkcs11.so
come necessario.
Per generare le chiavi, eseguire i seguenti comandi:
nitropy nethsm \
--host "localhost:8443" --no-verify-tls \
--username "admin" \
generate-key \
--type "EC_P256" --mechanism "ECDSA_Signature" --length "256" --key-id "myKSK"
# knot's keymgr expects the binary key id in hex format
# myKSK in ascii-binary is 0x6d794b534b, e.g. echo -n "myKSK" | xxd -ps
keymgr "example.com" import-pkcs11 "6d794b534b" "algorithm=ECDSAP256SHA256" "ksk=yes"
nitropy nethsm \
--host "localhost:8443" --no-verify-tls \
--username "admin" \
generate-key \
--type "EC_P256" --mechanism "ECDSA_Signature" --length "256" --key-id "myZSK"
# myZSK in ascii-binary is 0x6d795a534b
keymgr "example.com" import-pkcs11 "6d795a534b" "algorithm=ECDSAP256SHA256"
Modalità automatica¶
In modalità automatica le chiavi sono generate da Knot DNS e memorizzate nel NetHSM.
Nella configurazione del modulo PKCS#11 sono necessari un utente Amministratore e un utente Operatore.
Aggiungere le seguenti righe al file di configurazione del Knot DNS /etc/knot/knot.conf
:
keystore:
- id: nethsm_keystore
backend: pkcs11
config: "pkcs11:token=localnethsm /usr/local/lib/libnethsm_pkcs11.so"
#key-label: on
policy:
- id: auto_policy
keystore: nethsm_keystore
ksk-lifetime: 5m
zsk-lifetime: 2m
dnskey-ttl: 10s
zone-max-ttl: 15s
propagation-delay: 2s
zone:
- domain: example.com
storage: "/var/lib/knot"
file: "example.com.zone"
dnssec-signing: on
dnssec-policy: auto_policy
Impostando key-label
a on
non cambia nulla e il modulo pkcs11 ignora l’etichetta data e restituisce sempre l’id della chiave esadecimale come etichetta. La politica utilizza tempi di vita delle chiavi e TTL molto brevi a scopo di test.