OpenDNSSEC#
OpenDNSSEC is een gereedschapssuite voor het beheren van de beveiliging van domeinnamen. Het kan direct een PKCS#11 module laden en de sleutels beheren.
Om OpenDNSSEC te installeren en in te stellen, kun je de OpenDNSSEC Quick Start Guide volgen. Je hoeft SoftHSM
niet te installeren, in plaats daarvan wordt de NetHSM PKCS#11 module gebruikt.
Aangezien OpenDNSSEC toegang nodig heeft om de sleutels te beheren en ze vervolgens te gebruiken, moet u zowel de administrator als de operator account configureren in het configuratiebestand van de PKCS#11 module.
Je kunt OpenDNSSEC configureren om de libnethsm_pkcs11.so module te laden door het /etc/opendnssec/conf.xml
bestand te bewerken. Je moet de volgende regels toevoegen:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Vervang /root/libnethsm_pkcs11.so
door het pad naar de libnethsm_pkcs11.so module. De <TokenLabel>
moet overeenkomen met het label dat je hebt ingesteld in het p11nethsm.conf
configuratiebestand. De <PIN>
is de operator PIN, je kunt deze in platte tekst instellen in het conf.xml
bestand of ods-hsmutil login
gebruiken. OpenDNSSEC heeft een pin nodig, anders weigert het om op te starten.
Je moet ook de velden <Repository>
in /etc/opendnssec/kasp.xml
bijwerken naar NetHSM
in plaats van de standaard SoftHSM
:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>