OpenDNSSEC¶
OpenDNSSEC ir rīku komplekts domēna vārdu drošības pārvaldībai. Tas var tieši ielādēt PKCS#11 moduli un pārvaldīt atslēgas.
Lai instalētu un iestatītu OpenDNSSEC, varat sekot OpenDNSSEC ātrās palaišanas rokasgrāmatā. Jums nav nepieciešams instalēt SoftHSM
, tā vietā tiks izmantots NetHSM PKCS#11 modulis.
Tā kā OpenDNSSEC ir nepieciešama piekļuve, lai pārvaldītu atslēgas un pēc tam tās izmantotu, PKCS#11 moduļa konfigurācijas failā ir jākonfigurē gan administratora, gan operatora konts.
Jūs varat konfigurēt OpenDNSSEC, lai ielādētu libnethsm_pkcs11.so moduli, rediģējot /etc/opendnssec/conf.xml
failu. Jums būs jāpievieno šādas rindas:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Aizstājiet /root/libnethsm_pkcs11.so
ar ceļu līdz modulim libnethsm_pkcs11.so. Jums jāsaskaņo <TokenLabel>
ar p11nethsm.conf
konfigurācijas failā iestatīto marķējumu. ` <PIN>` ir operatora PIN kods, to var iestatīt vai nu atklātā tekstā conf.xml
failā, vai arī izmantot ods-hsmutil login
. OpenDNSSEC ir jānodrošina PIN kods, pretējā gadījumā tas atteiksies sākt darbību.
Jums arī jāatjaunina <Repository>
lauki /etc/opendnssec/kasp.xml
uz NetHSM
, nevis uz noklusējuma SoftHSM
:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>