OpenDNSSEC¶
OpenDNSSEC è una suite di strumenti per la gestione della sicurezza dei nomi di dominio. Può caricare direttamente un modulo PKCS#11 e gestire le chiavi.
Per installare e configurare OpenDNSSEC, si può seguire la Guida rapida di OpenDNSSEC. Non è necessario installare SoftHSM
, verrà invece utilizzato il modulo NetHSM PKCS#11.
Poiché OpenDNSSEC ha bisogno di accedere alla gestione delle chiavi e al loro utilizzo, è necessario configurare sia l’account di amministratore che quello di operatore nel file di configurazione del modulo PKCS#11.
È possibile configurare OpenDNSSEC per caricare il modulo libnethsm_pkcs11.so modificando il file /etc/opendnssec/conf.xml
. È necessario aggiungere le seguenti righe:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Sostituire /root/libnethsm_pkcs11.so
con il percorso del modulo libnethsm_pkcs11.so. È necessario far corrispondere <TokenLabel>
con l’etichetta impostata nel file di configurazione p11nethsm.conf
. ` <PIN>` è il PIN dell’operatore; è possibile impostarlo in testo semplice nel file conf.xml
o utilizzare ods-hsmutil login
. OpenDNSSEC deve disporre di un PIN, altrimenti si rifiuterà di avviarsi.
È inoltre necessario aggiornare i campi <Repository>
in /etc/opendnssec/kasp.xml
a NetHSM
invece del valore predefinito SoftHSM
:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>