OpenDNSSEC

OpenDNSSEC to pakiet narzędzi do zarządzania bezpieczeństwem nazw domen. Może bezpośrednio załadować moduł PKCS#11 i zarządzać kluczami.

Aby zainstalować i skonfigurować OpenDNSSEC, można postępować zgodnie z OpenDNSSEC Quick Start Guide. Nie trzeba instalować SoftHSM, zamiast tego zostanie użyty moduł NetHSM PKCS#11.

Ponieważ OpenDNSSEC potrzebuje dostępu do zarządzania kluczami, a następnie ich używania, konieczne będzie skonfigurowanie konta administratora i operatora w pliku konfiguracyjnym modułu PKCS#11.

Możesz skonfigurować OpenDNSSEC do ładowania modułu libnethsm_pkcs11.so poprzez edycję pliku /etc/opendnssec/conf.xml. Będziesz musiał dodać następujące linie:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Zastąp /root/libnethsm_pkcs11.so ścieżką do modułu libnethsm_pkcs11.so. Musisz dopasować <TokenLabel> do etykiety ustawionej w pliku konfiguracyjnym p11nethsm.conf. ` <PIN>` jest kodem PIN operatora, można go ustawić w postaci zwykłego tekstu w pliku conf.xml lub użyć ods-hsmutil login. OpenDNSSEC musi mieć podany pin, w przeciwnym razie odmówi uruchomienia.

Należy również zaktualizować pola <Repository> w /etc/opendnssec/kasp.xml do NetHSM zamiast domyślnego SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>