ÖppnaDNSSEC¶
OpenDNSSEC är en verktygssvit för hantering av säkerheten för domännamn. Den kan direkt ladda en PKCS#11-modul och hantera nycklarna.
För att installera och konfigurera OpenDNSSEC kan du följa OpenDNSSEC Quick Start Guide. Du behöver inte installera SoftHSM
, NetHSM PKCS#11-modulen kommer att användas istället.
Eftersom OpenDNSSEC behöver åtkomst för att hantera nycklarna och sedan använda dem, måste du konfigurera både administratörs- och operatörskontot i konfigurationsfilen för PKCS#11-modulen.
Du kan konfigurera OpenDNSSEC att läsa in modulen libnethsm_pkcs11.so genom att redigera filen /etc/opendnssec/conf.xml
. Du måste lägga till följande rader:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
...
<RepositoryList>
<Repository name="NetHSM">
<Module>/root/libnethsm_pkcs11.so</Module>
<PIN>opPassphrase</PIN>
<TokenLabel>LocalHSM</TokenLabel>
</Repository>
...
</RepositoryList>
...
</Configuration>
Ersätt /root/libnethsm_pkcs11.so
med sökvägen till modulen libnethsm_pkcs11.so. Du måste matcha <TokenLabel>
med den etikett du angav i konfigurationsfilen p11nethsm.conf
. ` <PIN>` är operatörens PIN-kod, du kan antingen ange den i klartext i filen conf.xml
eller använda ods-hsmutil login
. OpenDNSSEC måste ha en PIN-kod angiven, annars vägrar den att starta.
Du måste också uppdatera <Repository>
fälten i /etc/opendnssec/kasp.xml
till NetHSM
istället för standard SoftHSM
:
<KASP>
<Policy name="...">
...
<Keys>
...
<KSK>
...
<Repository>NetHSM</Repository>
</KSK>
<ZSK>
...
<Repository>NetHSM</Repository>
</ZSK>
</Keys>
...
</Policy>
...
</KASP>