OpenDNSSEC

OpenDNSSEC je nabor orodij za upravljanje varnosti domenskih imen. Neposredno lahko naloži modul PKCS#11 in upravlja ključe.

Za namestitev in nastavitev OpenDNSSEC lahko sledite Kratek priročnik za začetek uporabe OpenDNSSEC. Ni vam treba namestiti SoftHSM, namesto tega bo uporabljen modul NetHSM PKCS#11.

Ker OpenDNSSEC potrebuje dostop za upravljanje ključev in njihovo uporabo, morate v konfiguracijski datoteki modula PKCS#11 konfigurirati administratorski in operaterski račun.

OpenDNSSEC lahko nastavite tako, da naloži modul libnethsm_pkcs11.so z urejanjem datoteke /etc/opendnssec/conf.xml. Dodati boste morali naslednje vrstice:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Zamenjajte /root/libnethsm_pkcs11.so s potjo do modula libnethsm_pkcs11.so. ` <TokenLabel>` morate uskladiti z oznako, ki ste jo nastavili v konfiguracijski datoteki p11nethsm.conf. ` <PIN>` je operaterski PIN, ki ga lahko nastavite v navadnem besedilu v datoteki conf.xml ali pa uporabite ods-hsmutil login. OpenDNSSEC mora imeti zagotovljen PIN, sicer se ne bo hotel zagnati.

Prav tako morate posodobiti polja <Repository> v /etc/opendnssec/kasp.xml na NetHSM namesto privzetih SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>