OpenDNSSEC¶
OpenDNSSEC yra įrankių rinkinys, skirtas domenų vardų saugumui valdyti. Jis gali tiesiogiai įkelti PKCS#11 modulį ir valdyti raktus.
Norėdami įdiegti ir nustatyti „OpenDNSSEC“, galite vadovautis „OpenDNSSEC“ greitosios pradžios vadovu. Jums nereikia diegti SoftHSM
, vietoj jo bus naudojamas NetHSM PKCS#11 modulis.
Kadangi „OpenDNSSEC“ reikia prieigos raktams tvarkyti ir jiems naudoti, PKCS#11 modulio konfigūracijos faile reikia sukonfigūruoti administratoriaus ir operatoriaus paskyras.
Galite sukonfigūruoti OpenDNSSEC taip, kad jis įkeltų libnethsm_pkcs11.so modulį, redaguodami /etc/opendnssec/conf.xml
failą. Turėsite pridėti šias eilutes:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Pakeiskite /root/libnethsm_pkcs11.so
keliu į libnethsm_pkcs11.so modulį. Reikia suderinti <TokenLabel>
su p11nethsm.conf
konfigūracijos faile nustatyta etikete. ` <PIN>` yra operatoriaus PIN kodas, jį galite nustatyti atviru tekstu conf.xml
faile arba naudoti ods-hsmutil login
. OpenDNSSEC turi būti nurodytas PIN kodas, kitaip jis atsisakys įsijungti.
Taip pat reikia atnaujinti <Repository>
laukus /etc/opendnssec/kasp.xml
į NetHSM
vietoj numatytųjų SoftHSM
:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>