OpenDNSSEC¶
OpenDNSSEC is een gereedschapssuite voor het beheren van de beveiliging van domeinnamen. Het kan direct een PKCS#11 module laden en de sleutels beheren.
To install and setup OpenDNSSEC, you can follow the OpenDNSSEC Quick Start Guide. You don’t need to install SoftHSM
, the NetHSM PKCS#11 module will be used instead.
Aangezien OpenDNSSEC toegang nodig heeft om de sleutels te beheren en ze vervolgens te gebruiken, moet u zowel de administrator als de operator account configureren in het configuratiebestand van de PKCS#11 module.
Je kunt OpenDNSSEC configureren om de libnethsm_pkcs11.so module te laden door het /etc/opendnssec/conf.xml
bestand te bewerken. Je moet de volgende regels toevoegen:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Vervang /root/libnethsm_pkcs11.so
door het pad naar de libnethsm_pkcs11.so module. De <TokenLabel>
moet overeenkomen met het label dat je hebt ingesteld in het p11nethsm.conf
configuratiebestand. De <PIN>
is de operator PIN, je kunt deze in platte tekst instellen in het conf.xml
bestand of ods-hsmutil login
gebruiken. OpenDNSSEC heeft een pin nodig, anders weigert het om op te starten.
Je moet ook de velden <Repository>
in /etc/opendnssec/kasp.xml
bijwerken naar NetHSM
in plaats van de standaard SoftHSM
:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>