HSM サーバの追加、Security World の構成、および Security World への Address Manager の参加が完了したら、次の手順ではネットワーク上の管理対象の BlueCat DNS サーバで HSM サポートを有効にします。
- 管理対象の BlueCat DNS サーバの HSM を有効にすると、DNS サーバを HSM Security World に参加させることができます。DNS サーバが Security World の一部ではない場合、DNS のデプロイメントは失敗します。
- 管理対象の DNS サーバで HSM を有効にして、HSM Security World に参加すると、管理対象の DNS サーバと 1 つ以上の HSM サーバの間の接続が常に必要になります。つまり、管理対象の DNS サーバと HSM サーバの間の接続は、DNSSEC-HSM ゾーン署名だけでなく、DNS サーバのあらゆる通常操作で必要になります。これにより、DNS サービスが正常に動作するようになります。
- 専用管理が有効にされている場合、HSM は機能しません。Address Manager でサーバを構成する前に、DNS/DHCP サーバ管理コンソールから専用管理を無効にします。
- xHA で HSM を構成できますが、一定の制限があります。詳しくは、「オプション:xHA を使用した HSM」を参照してください。
- リモート ファイル システムを使用して Address Manager および管理対象の DNS サーバを Security World に参加させた場合、RFS は「認証なし」で構成されます。これは、DNSSEC および HSM のフェールオーバーには望ましい状態です。「認証」を使用した RFS の同期では、認証が単一の HSM サーバに設定され、他のクライアントが Security World に参加することが妨げられる場合があります。
BlueCat では、HSM を有効にしている場合、同時に複数の DNS/DHCP サーバを Address Manager 管理下に置かないようお客様に推奨します。例えば、複数のブラウザ タブやウィンドウから、または並行して作業している複数の admin ユーザからの操作です (必ずしも同じワークステーションからとは限りません)。このように操作すると、DNS/DHCP サーバが不適切な構成になる場合があります。
DNS サーバで HSM を有効にするには:
[詳細] タブの [一般] セクションには、[HSM サポートの有効化] が表示されます。はい: 管理対象の DNS サーバで HSM が有効になっていることを確認します。また、[HSM サーバ] セクションには、管理対象の DNS サーバにリンクされている HSM サーバがリストされます。
- SSH を使用して root として Address Manager にログインします。
- 次のコマンドを実行します。
hsm-status.sh
Address Manager は、各 HSM サーバに対して [接続状態 OK] を返す必要があります。接続ステータス メッセージの数が Address Manager ユーザ インターフェイスで構成した HSM サーバの数と一致していることを確認します。
Address Manager が HSM サーバに接続できない場合、または確認された接続が Address Manager ユーザ インターフェイスに追加された HSM サーバの数より少ない場合は、「Troubleshooting」を参照してください。
管理対象の DNS サーバで HSM を有効にしたら、次の手順では DNSSEC-HSM ポリシーを作成します。