OpenDNSSEC

OpenDNSSEC é um conjunto de ferramentas para gerir a segurança de nomes de domínio. Pode carregar diretamente um módulo PKCS#11 e gerir as chaves.

Para instalar e configurar o OpenDNSSEC, pode seguir o OpenDNSSEC Quick Start Guide. Não precisa de instalar SoftHSM, o módulo NetHSM PKCS#11 será utilizado em vez disso.

Como o OpenDNSSEC necessita de acesso para gerir as chaves e depois utilizá-las, será necessário configurar a conta de administrador e de operador no ficheiro de configuração do módulo PKCS#11.

Pode configurar o OpenDNSSEC para carregar o módulo libnethsm_pkcs11.so editando o ficheiro /etc/opendnssec/conf.xml. Será necessário adicionar as seguintes linhas:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

A versão mais recente do Fedora 38 deve funcionar sem problemas após a instalação. As versões actualizadas do Fedora podem ter configurações conflituosas e devem ser verificadas conforme abaixo. Foi reportado que o Fedora Silverblue tem problemas com o GnuPG e smartcards. As instruções abaixo aplicam-se apenas às edições `Fedora Workstation<x id=»302»></x> e <x id=»308»></x>Fedora Server<x id=»322»></x>.

Também é necessário atualizar os campos <Repository> em /etc/opendnssec/kasp.xml para NetHSM em vez da predefinição SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>