OpenDNSSEC¶
OpenDNSSEC este o suită de instrumente pentru gestionarea securității numelor de domenii. Acesta poate încărca direct un modul PKCS#11 și poate gestiona cheile.
Pentru a instala și configura OpenDNSSEC, puteți urma OpenDNSSEC Quick Start Guide. Nu este necesar să instalați SoftHSM, modulul NetHSM PKCS#11 va fi utilizat în locul acestuia.
Deoarece OpenDNSSEC are nevoie de acces pentru a gestiona cheile și apoi pentru a le utiliza, va trebui să configurați atât contul de administrator, cât și cel de operator în fișierul de configurare a modulului PKCS#11.
Puteți configura OpenDNSSEC pentru a încărca modulul libnethsm_pkcs11.so prin editarea fișierului /etc/opendnssec/conf.xml. Va trebui să adăugați următoarele linii:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Înlocuiți /root/libnethsm_pkcs11.so cu calea către modulul libnethsm_pkcs11.so. Trebuie să potriviți <TokenLabel> cu eticheta pe care ați setat-o în fișierul de configurare p11nethsm.conf. ` <PIN>` este PIN-ul operatorului, îl puteți seta în text simplu în fișierul conf.xml sau puteți utiliza ods-hsmutil login. OpenDNSSEC trebuie să aibă un PIN furnizat, altfel va refuza să pornească.
De asemenea, trebuie să actualizați câmpurile <Repository> din /etc/opendnssec/kasp.xml la NetHSM în loc de cele implicite SoftHSM :
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>