OpenDNSSEC

OpenDNSSEC yra įrankių rinkinys, skirtas domenų vardų saugumui valdyti. Jis gali tiesiogiai įkelti PKCS#11 modulį ir valdyti raktus.

Norėdami įdiegti ir nustatyti „OpenDNSSEC“, galite vadovautis „OpenDNSSEC“ greitosios pradžios vadovu. Jums nereikia diegti SoftHSM, vietoj jo bus naudojamas NetHSM PKCS#11 modulis.

Kadangi „OpenDNSSEC“ reikia prieigos raktams tvarkyti ir jiems naudoti, PKCS#11 modulio konfigūracijos faile reikia sukonfigūruoti administratoriaus ir operatoriaus paskyras.

Galite sukonfigūruoti OpenDNSSEC taip, kad jis įkeltų libnethsm_pkcs11.so modulį, redaguodami /etc/opendnssec/conf.xml failą. Turėsite pridėti šias eilutes:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Pakeiskite /root/libnethsm_pkcs11.so keliu į libnethsm_pkcs11.so modulį. Reikia suderinti <TokenLabel> su p11nethsm.conf konfigūracijos faile nustatyta etikete. ` <PIN>` yra operatoriaus PIN kodas, jį galite nustatyti atviru tekstu conf.xml faile arba naudoti ods-hsmutil login. OpenDNSSEC turi būti nurodytas PIN kodas, kitaip jis atsisakys įsijungti.

Taip pat reikia atnaujinti <Repository> laukus /etc/opendnssec/kasp.xml į NetHSM vietoj numatytųjų SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>