OpenDNSSEC

OpenDNSSEC представляет собой набор инструментов для управления безопасностью доменных имен. Он может напрямую загружать модуль PKCS#11 и управлять ключами.

Для установки и настройки OpenDNSSEC можно воспользоваться руководством OpenDNSSEC Quick Start Guide. Устанавливать SoftHSM не нужно, вместо него будет использоваться модуль NetHSM PKCS#11.

Поскольку OpenDNSSEC необходим доступ для управления ключами и их последующего использования, в файле конфигурации модуля PKCS#11 необходимо настроить учетные записи администратора и оператора.

Настроить OpenDNSSEC на загрузку модуля libnethsm_pkcs11.so можно, отредактировав файл /etc/opendnssec/conf.xml. Вам необходимо добавить следующие строки:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Замените /root/libnethsm_pkcs11.so на путь к модулю libnethsm_pkcs11.so. Необходимо сопоставить <TokenLabel> с меткой, заданной в конфигурационном файле p11nethsm.conf. ` <PIN>` - это PIN-код оператора, его можно задать в виде обычного текста в файле conf.xml или использовать ods-hsmutil login. OpenDNSSEC должен иметь указанный PIN-код, иначе он откажется запускаться.

Также необходимо обновить поля <Repository> в /etc/opendnssec/kasp.xml на NetHSM вместо стандартных SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>