Nó DNS#
Knot DNS é um servidor DNS autoritativo de código aberto que pode ser utilizado para DNSSEC. Para utilizar o KnotDNS com o NetHSM, é necessário instalar e configurar o módulo PKCS#11 conforme descrito aqui ` <./pkcs11-setup.html>` __.
Manual Mode#
No modo manual, as chaves têm de ser geradas e geridas manualmente.
Apenas o utilizador Operator é necessário no ficheiro de configuração do módulo PKCS#11. A palavra-passe pode ser especificada utilizando pin-value
no PKCS#11 URI em knot.conf.
Adicione as seguintes linhas ao ficheiro de configuração do KnotDNS /etc/knot/knot.conf
:
keystore:
- id: nethsm_keystore
backend: pkcs11
config: "pkcs11:token=localnethsm /usr/local/lib/libnethsm_pkcs11.so"
policy:
- id: manual_policy
keystore: nethsm_keystore
manual: on
zone:
- domain: example.com
storage: "/var/lib/knot"
file: "example.com.zone"
dnssec-signing: on
dnssec-policy: manual_policy
O valor token
no URI PKCS#11 é o label
do p11nethsm.conf
. Ajuste o caminho para libnethsm_pkcs11.so
conforme necessário.
To generate the keys run the following commands:
nitropy nethsm \
--host "localhost:8443" --no-verify-tls \
--username "admin" \
generate-key \
--type "EC_P256" --mechanism "ECDSA_Signature" --length "256" --key-id "myKSK"
# knot's keymgr expects the binary key id in hex format
# myKSK in ascii-binary is 0x6d794b534b, e.g. echo -n "myKSK" | xxd -ps
keymgr "example.com" import-pkcs11 "6d794b534b" "algorithm=ECDSAP256SHA256" "ksk=yes"
nitropy nethsm \
--host "localhost:8443" --no-verify-tls \
--username "admin" \
generate-key \
--type "EC_P256" --mechanism "ECDSA_Signature" --length "256" --key-id "myZSK"
# myZSK in ascii-binary is 0x6d795a534b
keymgr "example.com" import-pkcs11 "6d795a534b" "algorithm=ECDSAP256SHA256"
Modo automático#
No modo automático, as chaves são geradas pelo Knot DNS e armazenadas no NetHSM.
Flathub / Flatpak
<x id=»0»></x>`<x id=»2»></x><x id=»41»></x>`
keystore:
- id: nethsm_keystore
backend: pkcs11
config: "pkcs11:token=localnethsm /usr/local/lib/libnethsm_pkcs11.so"
#key-label: on
policy:
- id: auto_policy
keystore: nethsm_keystore
ksk-lifetime: 5m
zsk-lifetime: 2m
dnskey-ttl: 10s
zone-max-ttl: 15s
propagation-delay: 2s
zone:
- domain: example.com
storage: "/var/lib/knot"
file: "example.com.zone"
dnssec-signing: on
dnssec-policy: auto_policy
A definição de key-label
para on
não altera nada e o módulo pkcs11 ignora a etiqueta fornecida e devolve sempre a identificação hexadecimal da chave como etiqueta. A política usa tempos de vida de chave muito curtos e TTLs para fins de teste.