Knoop DNS¶
Knot DNS is een open source gezaghebbende DNS-server die kan worden gebruikt voor DNSSEC. Om KnotDNS te gebruiken met de NetHSM moet de PKCS#11 module geïnstalleerd en geconfigureerd worden zoals hier beschreven.
Handmatige modus¶
In handmatige modus moeten de sleutels handmatig worden gegenereerd en beheerd.
Alleen de Operator gebruiker is nodig in het configuratiebestand van de PKCS#11 module. Het wachtwoord kan worden opgegeven met de pin-value
in de PKCS#11 URI in knot.conf.
Voeg de volgende regels toe aan het KnotDNS configuratiebestand /etc/knot/knot.conf
:
keystore:
- id: nethsm_keystore
backend: pkcs11
config: "pkcs11:token=localnethsm /usr/local/lib/libnethsm_pkcs11.so"
policy:
- id: manual_policy
keystore: nethsm_keystore
manual: on
zone:
- domain: example.com
storage: "/var/lib/knot"
file: "example.com.zone"
dnssec-signing: on
dnssec-policy: manual_policy
De token
waarde in de PKCS#11 URI is de label
van de p11nethsm.conf
. Pas het pad naar de libnethsm_pkcs11.so
aan als dat nodig is.
Voer de volgende commando’s uit om de sleutels te genereren:
nitropy nethsm \
--host "localhost:8443" --no-verify-tls \
--username "admin" \
generate-key \
--type "EC_P256" --mechanism "ECDSA_Signature" --length "256" --key-id "myKSK"
# knot's keymgr expects the binary key id in hex format
# myKSK in ascii-binary is 0x6d794b534b, e.g. echo -n "myKSK" | xxd -ps
keymgr "example.com" import-pkcs11 "6d794b534b" "algorithm=ECDSAP256SHA256" "ksk=yes"
nitropy nethsm \
--host "localhost:8443" --no-verify-tls \
--username "admin" \
generate-key \
--type "EC_P256" --mechanism "ECDSA_Signature" --length "256" --key-id "myZSK"
# myZSK in ascii-binary is 0x6d795a534b
keymgr "example.com" import-pkcs11 "6d795a534b" "algorithm=ECDSAP256SHA256"
Automatische modus¶
In automatische modus worden de sleutels gegenereerd door Knot DNS en opgeslagen in de NetHSM.
Een Administrator en een Operator gebruiker zijn nodig in de PKCS#11 moduleconfiguratie.
Voeg de volgende regels toe aan het Knot DNS configuratiebestand /etc/knot/knot.conf
:
keystore:
- id: nethsm_keystore
backend: pkcs11
config: "pkcs11:token=localnethsm /usr/local/lib/libnethsm_pkcs11.so"
#key-label: on
policy:
- id: auto_policy
keystore: nethsm_keystore
ksk-lifetime: 5m
zsk-lifetime: 2m
dnskey-ttl: 10s
zone-max-ttl: 15s
propagation-delay: 2s
zone:
- domain: example.com
storage: "/var/lib/knot"
file: "example.com.zone"
dnssec-signing: on
dnssec-policy: auto_policy
Het instellen van key-label
op on
verandert niets en de pkcs11 module negeert het gegeven label en retourneert altijd het hexadecimale sleutel id als label. Het beleid gebruikt zeer korte sleuteltijden en TTL’s voor testdoeleinden.