オープンDNSSEC¶
`OpenDNSSEC<https://www.opendnssec.org/>`__ ドメイン名のセキュリティを管理するためのツールスイートです。PKCS#11モジュールを直接ロードし、鍵を管理することができる。
OpenDNSSEC のインストールとセットアップは、`OpenDNSSEC クイックスタートガイド<https://wiki.opendnssec.org/display/DOCS20/Quick+start+guide>`__ に従ってください。SoftHSM
をインストールする必要はありません。代わりに NetHSM PKCS#11 モジュールが使用されます。
OpenDNSSEC は鍵を管理し、それを使用するためのアクセスを必要とするので、PKCS#11 モジュールの設定ファイルで管理者とオペレータの両方のアカウントを設定する必要があります。
/etc/opendnssec/conf.xml
ファイルを編集することで、libnethsm_pkcs11.so モジュールをロードするように OpenDNSSEC を設定することができます。以下の行を追加する必要があります:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
/root/libnethsm_pkcs11.so
をlibnethsm_pkcs11.soモジュールへのパスに置き換える。<TokenLabel>
は``p11nethsm.conf`` 設定ファイルで設定したラベルと一致させる必要がある。<PIN>
はオペレータの暗証番号で、conf.xml
ファイルにプレーンテキストで設定するか、ods-hsmutil login
を使用する。OpenDNSSEC は PIN がないと起動しません。
また、/etc/opendnssec/kasp.xml
の``<Repository>`` フィールドを、デフォルトの``SoftHSM`` ではなく、NetHSM
に更新する必要がある:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>