ÖppnaDNSSEC

OpenDNSSEC är en verktygssvit för hantering av säkerheten för domännamn. Den kan direkt ladda en PKCS#11-modul och hantera nycklarna.

För att installera och konfigurera OpenDNSSEC kan du följa OpenDNSSEC Quick Start Guide. Du behöver inte installera SoftHSM, NetHSM PKCS#11-modulen kommer att användas istället.

Eftersom OpenDNSSEC behöver åtkomst för att hantera nycklarna och sedan använda dem, måste du konfigurera både administratörs- och operatörskontot i konfigurationsfilen för PKCS#11-modulen.

Du kan konfigurera OpenDNSSEC att läsa in modulen libnethsm_pkcs11.so genom att redigera filen /etc/opendnssec/conf.xml. Du måste lägga till följande rader:

<?xml version="1.0" encoding="UTF-8"?>

<Configuration>

...

    <RepositoryList>
          <Repository name="NetHSM">
                  <Module>/root/libnethsm_pkcs11.so</Module>
                  <PIN>opPassphrase</PIN>
                  <TokenLabel>LocalHSM</TokenLabel>
          </Repository>
    ...

    </RepositoryList>

...

</Configuration>

Ersätt /root/libnethsm_pkcs11.so med sökvägen till modulen libnethsm_pkcs11.so. Du måste matcha <TokenLabel> med den etikett du angav i konfigurationsfilen p11nethsm.conf. ` <PIN>` är operatörens PIN-kod, du kan antingen ange den i klartext i filen conf.xml eller använda ods-hsmutil login. OpenDNSSEC måste ha en PIN-kod angiven, annars vägrar den att starta.

Du måste också uppdatera <Repository> fälten i /etc/opendnssec/kasp.xml till NetHSM istället för standard SoftHSM :

<KASP>
      <Policy name="...">

            ...

            <Keys>

                  ...

                  <KSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </KSK>
                  <ZSK>
                          ...
                          <Repository>NetHSM</Repository>
                  </ZSK>
          </Keys>

          ...

      </Policy>

      ...

</KASP>