OpenDNSSEC¶
OpenDNSSEC je súbor nástrojov na správu zabezpečenia názvov domén. Dokáže priamo načítať modul PKCS#11 a spravovať kľúče.
Ak chcete nainštalovať a nastaviť OpenDNSSEC, môžete postupovať podľa príručky OpenDNSSEC Quick Start Guide. Nemusíte inštalovať SoftHSM
, namiesto toho sa použije modul NetHSM PKCS#11.
Keďže OpenDNSSEC potrebuje prístup na správu kľúčov a ich následné používanie, v konfiguračnom súbore modulu PKCS#11 je potrebné nakonfigurovať účet správcu aj operátora.
OpenDNSSEC môžete nakonfigurovať tak, aby načítal modul libnethsm_pkcs11.so úpravou súboru /etc/opendnssec/conf.xml
. Budete musieť pridať nasledujúce riadky:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Nahraďte /root/libnethsm_pkcs11.so
cestou k modulu libnethsm_pkcs11.so. Musíte porovnať <TokenLabel>
so značkou, ktorú ste nastavili v konfiguračnom súbore p11nethsm.conf
. ` <PIN>` je PIN kód operátora, môžete ho buď nastaviť v obyčajnom texte v súbore conf.xml
alebo použiť ods-hsmutil login
. OpenDNSSEC musí mať zadaný PIN, inak sa odmietne spustiť.
Musíte tiež aktualizovať polia <Repository>
v /etc/opendnssec/kasp.xml
na NetHSM
namiesto predvolených SoftHSM
:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>