OpenDNSSEC¶
OpenDNSSEC je nabor orodij za upravljanje varnosti domenskih imen. Neposredno lahko naloži modul PKCS#11 in upravlja ključe.
Za namestitev in nastavitev OpenDNSSEC lahko sledite Kratek priročnik za začetek uporabe OpenDNSSEC. Ni vam treba namestiti SoftHSM
, namesto tega bo uporabljen modul NetHSM PKCS#11.
Ker OpenDNSSEC potrebuje dostop za upravljanje ključev in njihovo uporabo, morate v konfiguracijski datoteki modula PKCS#11 konfigurirati administratorski in operaterski račun.
OpenDNSSEC lahko nastavite tako, da naloži modul libnethsm_pkcs11.so z urejanjem datoteke /etc/opendnssec/conf.xml
. Dodati boste morali naslednje vrstice:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Zamenjajte /root/libnethsm_pkcs11.so
s potjo do modula libnethsm_pkcs11.so. ` <TokenLabel>` morate uskladiti z oznako, ki ste jo nastavili v konfiguracijski datoteki p11nethsm.conf
. ` <PIN>` je operaterski PIN, ki ga lahko nastavite v navadnem besedilu v datoteki conf.xml
ali pa uporabite ods-hsmutil login
. OpenDNSSEC mora imeti zagotovljen PIN, sicer se ne bo hotel zagnati.
Prav tako morate posodobiti polja <Repository>
v /etc/opendnssec/kasp.xml
na NetHSM
namesto privzetih SoftHSM
:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>