contrib/bind9/README.pkcs11

   1
   2                         BIND-9 PKCS#11 support
   3
   4 Prerequisite
   5
   6 The PKCS#11 support needs a PKCS#11 OpenSSL engine based on the Solaris one,
   7 released the 2007-11-21 for OpenSSL 0.9.8g, with a bug fix (call to free)
   8 and some improvements, including user friendly PIN management.
   9
  10 Compilation
  11
  12 "configure --with-pkcs11 ..."
  13
  14 PKCS#11 Libraries
  15
  16 Tested with Solaris one with a SCA board and with openCryptoki with the
  17 software token.
  18
  19 OpenSSL Engines
  20
  21 With PKCS#11 support the PKCS#11 engine is statically loaded but at its
  22 initialization it dynamically loads the PKCS#11 objects.
  23 Even the pre commands are therefore unused they are defined with:
  24  SO_PATH:
  25    define: PKCS11_SO_PATH
  26    default: /usr/local/lib/engines/engine_pkcs11.so
  27  MODULE_PATH:
  28    define: PKCS11_MODULE_PATH
  29    default: /usr/lib/libpkcs11.so
  30 Without PKCS#11 support, a specific OpenSSL engine can be still used
  31 by defining ENGINE_ID at compile time.
  32
  33 PKCS#11 tools
  34
  35 The contrib/pkcs11-keygen directory contains a set of experimental tools
  36 to handle keys stored in a Hardware Security Module at the benefit of BIND.
  37
  38 The patch for OpenSSL 0.9.8g is in this directory. Read its README.pkcs11
  39 for the way to use it (these are the original notes so with the original
  40 path, etc. Define OPENCRYPTOKI to use it with openCryptoki.)
  41
  42 PIN management
  43
  44 With the just fixed PKCS#11 OpenSSL engine, the PIN should be entered
  45 each time it is required. With the improved engine, the PIN should be
  46 entered the first time it is required or can be configured in the
  47 OpenSSL configuration file (aka. openssl.cnf) by adding in it:
  48  - at the beginning:
  49         openssl_conf = openssl_def
  50  - at any place these sections:
  51         [ openssl_def ]
  52         engines = engine_section
  53         [ engine_section ]
  54         pkcs11 = pkcs11_section
  55         [ pkcs11_section ]
  56         PIN = put__your__pin__value__here
  57
  58 Note
  59
  60 Some names here are registered trademarks, at least Solaris is a trademark
  61 of Sun Microsystems Inc...