OpenDNSSEC

OpenDNSSEC è una suite di strumenti per la gestione della sicurezza dei nomi di dominio. Può caricare direttamente un modulo PKCS#11 e gestire le chiavi.

Per installare e configurare OpenDNSSEC, si può seguire la Guida rapida di OpenDNSSEC. Non è necessario installare SoftHSM, verrà invece utilizzato il modulo NetHSM PKCS#11.

Poiché OpenDNSSEC ha bisogno di accedere alla gestione delle chiavi e al loro utilizzo, è necessario configurare sia l’account di amministratore che quello di operatore nel file di configurazione del modulo PKCS#11.

È possibile configurare OpenDNSSEC per caricare il modulo libnethsm_pkcs11.so modificando il file /etc/opendnssec/conf.xml. È necessario aggiungere le seguenti righe:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Sostituire /root/libnethsm_pkcs11.so con il percorso del modulo libnethsm_pkcs11.so. È necessario far corrispondere <TokenLabel> con l’etichetta impostata nel file di configurazione p11nethsm.conf. ` <PIN>` è il PIN dell’operatore; è possibile impostarlo in testo semplice nel file conf.xml o utilizzare ods-hsmutil login. OpenDNSSEC deve disporre di un PIN, altrimenti si rifiuterà di avviarsi.

È inoltre necessario aggiornare i campi <Repository> in /etc/opendnssec/kasp.xml a NetHSM invece del valore predefinito SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>