BIND 9
BIND 9
BIND 9
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
CHAPTER 4. 高级DNS特征 4.11. PKCS #11 (CRYPTOKI) SUPPORT<br />
$ dnssec-keygen example.net<br />
这比一个HSM密钥提供更弱的安全性,但是由于安全的原因,HSM可能更慢或者使用不方便,保<br />
留HSM并将其用于更小频率的密钥签名操作可能更为有效。如果你想,区签名密钥可以轮转更为频繁,<br />
以补偿密钥安全性的降低。<br />
现在你可以对区签名了。(注意:如果不给dnssec-signzone使用-S选项,就需要将两个K*.key文件的<br />
内容添加到区的主文件中再签名。)<br />
$ dnssec-signzone -S example.net<br />
Enter PIN:<br />
Verifying the zone using the following algorithms:<br />
NSEC3RSASHA1.<br />
Zone signing complete:<br />
Algorithm: NSEC3RSASHA1: ZSKs: 1, KSKs: 1 active, 0 revoked, 0 stand-by<br />
example.net.signed<br />
4.11.5 在命令行指定引擎<br />
可以再named和所有<strong>BIND</strong>的dnssec-*工具中通过使用“-E ”命令行选项来指定OpenSSL引<br />
擎。如果<strong>BIND</strong> 9是使用–with-pkcs11选项构建的,这个选项缺省为“pkcs11”。通常是不需要指定引擎<br />
的,除非因为某种原因,你希望使用一个不同的OpenSSL引擎。<br />
如果你希望关闭使用“pkcs11”引擎— 因为调试目的,或者因为HSM不可用— 就将引擎设置为空串。<br />
例如:<br />
$ dnssec-signzone -E ’’ -S example.net<br />
这将导致dnssec-signzone运行在如同没有使用–with-pkcs11选项编译时的情况。<br />
4.11.6 以自动区重签的方式运行named<br />
如果你想要named使用HSM密钥动态重签区,和/或签名通过nsupdate插入的新记录,named必须能够<br />
访问HSM的PIN。可以通过将PIN放在openssl.cnf文件来达到(在上面的例子中,/opt/pkcs11/usr/<br />
ssl/openssl.cnf)。<br />
openssl.cnf文件的位置可以再运行named之前通过设置OPENSSL CONF 环境变量进行覆盖。<br />
openssl.cnf例子:<br />
openssl_conf = openssl_def<br />
[ openssl_def ]<br />
engines = engine_section<br />
[ engine_section ]<br />
pkcs11 = pkcs11_section<br />
[ pkcs11_section ]<br />
PIN = <br />
这也将允许dnssec-*工具无需PIN进入权限就能够访问HSM。(pkcs11-* 工具直接访问HSM,不经<br />
过OpenSSL,所以仍然需要一个PIN来使用它们。)<br />
38