オープンDNSSEC

`OpenDNSSEC<https://www.opendnssec.org/>`__ ドメイン名のセキュリティを管理するためのツールスイートです。PKCS#11モジュールを直接ロードし、鍵を管理することができる。

OpenDNSSEC のインストールとセットアップは、`OpenDNSSEC クイックスタートガイド<https://wiki.opendnssec.org/display/DOCS20/Quick+start+guide>`__ に従ってください。SoftHSM をインストールする必要はありません。代わりに NetHSM PKCS#11 モジュールが使用されます。

OpenDNSSEC は鍵を管理し、それを使用するためのアクセスを必要とするので、PKCS#11 モジュールの設定ファイルで管理者とオペレータの両方のアカウントを設定する必要があります。

/etc/opendnssec/conf.xml ファイルを編集することで、libnethsm_pkcs11.so モジュールをロードするように OpenDNSSEC を設定することができます。以下の行を追加する必要があります:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

/root/libnethsm_pkcs11.so をlibnethsm_pkcs11.soモジュールへのパスに置き換える。<TokenLabel> は``p11nethsm.conf`` 設定ファイルで設定したラベルと一致させる必要がある。<PIN> はオペレータの暗証番号で、conf.xml ファイルにプレーンテキストで設定するか、ods-hsmutil login を使用する。OpenDNSSEC は PIN がないと起動しません。

また、/etc/opendnssec/kasp.xml の``<Repository>`` フィールドを、デフォルトの``SoftHSM`` ではなく、NetHSM に更新する必要がある:

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>