OpenDNSSEC

OpenDNSSEC je súbor nástrojov na správu zabezpečenia názvov domén. Dokáže priamo načítať modul PKCS#11 a spravovať kľúče.

Ak chcete nainštalovať a nastaviť OpenDNSSEC, môžete postupovať podľa príručky OpenDNSSEC Quick Start Guide. Nemusíte inštalovať SoftHSM, namiesto toho sa použije modul NetHSM PKCS#11.

Keďže OpenDNSSEC potrebuje prístup na správu kľúčov a ich následné používanie, v konfiguračnom súbore modulu PKCS#11 je potrebné nakonfigurovať účet správcu aj operátora.

OpenDNSSEC môžete nakonfigurovať tak, aby načítal modul libnethsm_pkcs11.so úpravou súboru /etc/opendnssec/conf.xml. Budete musieť pridať nasledujúce riadky:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Nahraďte /root/libnethsm_pkcs11.so cestou k modulu libnethsm_pkcs11.so. Musíte porovnať <TokenLabel> so značkou, ktorú ste nastavili v konfiguračnom súbore p11nethsm.conf. ` <PIN>` je PIN kód operátora, môžete ho buď nastaviť v obyčajnom texte v súbore conf.xml alebo použiť ods-hsmutil login. OpenDNSSEC musí mať zadaný PIN, inak sa odmietne spustiť.

Musíte tiež aktualizovať polia <Repository> v /etc/opendnssec/kasp.xml na NetHSM namiesto predvolených SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>