OpenDNSSEC

OpenDNSSEC is een gereedschapssuite voor het beheren van de beveiliging van domeinnamen. Het kan direct een PKCS#11 module laden en de sleutels beheren.

To install and setup OpenDNSSEC, you can follow the OpenDNSSEC Quick Start Guide. You don’t need to install SoftHSM, the NetHSM PKCS#11 module will be used instead.

Aangezien OpenDNSSEC toegang nodig heeft om de sleutels te beheren en ze vervolgens te gebruiken, moet u zowel de administrator als de operator account configureren in het configuratiebestand van de PKCS#11 module.

Je kunt OpenDNSSEC configureren om de libnethsm_pkcs11.so module te laden door het /etc/opendnssec/conf.xml bestand te bewerken. Je moet de volgende regels toevoegen:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Vervang /root/libnethsm_pkcs11.so door het pad naar de libnethsm_pkcs11.so module. De <TokenLabel> moet overeenkomen met het label dat je hebt ingesteld in het p11nethsm.conf configuratiebestand. De <PIN> is de operator PIN, je kunt deze in platte tekst instellen in het conf.xml bestand of ods-hsmutil login gebruiken. OpenDNSSEC heeft een pin nodig, anders weigert het om op te starten.

Je moet ook de velden <Repository> in /etc/opendnssec/kasp.xml bijwerken naar NetHSM in plaats van de standaard SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>