OpenDNSSEC

OpenDNSSEC ir rīku komplekts domēna vārdu drošības pārvaldībai. Tas var tieši ielādēt PKCS#11 moduli un pārvaldīt atslēgas.

Lai instalētu un iestatītu OpenDNSSEC, varat sekot OpenDNSSEC ātrās palaišanas rokasgrāmatā. Jums nav nepieciešams instalēt SoftHSM, tā vietā tiks izmantots NetHSM PKCS#11 modulis.

Tā kā OpenDNSSEC ir nepieciešama piekļuve, lai pārvaldītu atslēgas un pēc tam tās izmantotu, PKCS#11 moduļa konfigurācijas failā ir jākonfigurē gan administratora, gan operatora konts.

Jūs varat konfigurēt OpenDNSSEC, lai ielādētu libnethsm_pkcs11.so moduli, rediģējot /etc/opendnssec/conf.xml failu. Jums būs jāpievieno šādas rindas:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Aizstājiet /root/libnethsm_pkcs11.so ar ceļu līdz modulim libnethsm_pkcs11.so. Jums jāsaskaņo <TokenLabel> ar p11nethsm.conf konfigurācijas failā iestatīto marķējumu. ` <PIN>` ir operatora PIN kods, to var iestatīt vai nu atklātā tekstā conf.xml failā, vai arī izmantot ods-hsmutil login. OpenDNSSEC ir jānodrošina PIN kods, pretējā gadījumā tas atteiksies sākt darbību.

Jums arī jāatjaunina <Repository> lauki /etc/opendnssec/kasp.xml uz NetHSM, nevis uz noklusējuma SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>