DNSSEC-HSM は、BlueCat サーバではなくサードパーティの HSM サーバに、暗号化された鍵を生成、署名、および格納することによって、より高いレベルのセキュリティを付加しています。HSM アプライアンスは、厳しいセキュリティ標準に適合するように製造されており、改ざんを検知し、改ざんから保護する機能を持つ筐体が使用されています。
Address Manager ユーザ インターフェイスでゾーンが署名済みになっている場合、Address Manager は HSM サーバに対して鍵の生成を要求します。HSM サーバは鍵を生成し、それを内部に格納します。HSM サーバは操作の結果 (成功) を Address Manager に返し、署名済みゾーンで公開される新規生成された鍵の公開部分を含め、HSM データベース内にある秘密鍵のポインタとなるキー ブロブを DNSKEY (Address Manager からの最初の要求により、KSK もしくは ZSK) として送信します。
鍵の公開部分は、鍵がアクティブである限り Address Manager データベースに格納され、完全 DNS デプロイメントの一部として毎回 DNS/DHCP サーバに送信されます。フル DNS デプロイメントは、それぞれ DNSKEY とともに、DNS サービスがその鍵を使用して必要な操作すべて (初期ゾーン署名、署名再生成、レコード追加、NSEC/NSEC3 チェーンの再構築) を実行する目的で、HSM を呼び出す際に使用するキー ブロブを送信します。
- Address Manager が HSM Security World に参加して、RFS/Security World
ファイルと同期します。
Security World を構成するには、RFS を使用するか、Security World ファイルを Address Manager にアップロードすることを選択できます。HSM Security World への Address Manager の参加は、HSM の初期構成セットアップ時にのみ行われます。RFS の同期は「認証なし」で構成されます。これは、DNSSEC および HSM のフェールオーバーには望ましい状態です。
- Address Manager が HSM サーバに鍵を生成するように要求します。
- デプロイメントのため、HSM サーバが鍵 (Address Manager からのもとの要求により、ZSK もしくは KSK) および暗号化された鍵データ (キー ブロブ) を Address Manager に送信します。公開鍵が Address Manager データベースに格納され、バックアップされます。秘密鍵は HSM サーバに格納されたままです。
- DNS サーバが HSM Security World に参加して Security World ファイルを解凍します。管理されている DNS サーバは、DNS サーバ上での HSM のサポートが有効になり次第、HSM Security World に参加します。
- Address Manager がプライマリ ゾーン データおよびキー ブロブを管理対象の DNS サーバにデプロイします。
- DNS サーバはゾーン データとキー ブロブを、ゾーン署名のために HSM サーバに送信します。
- HSM サーバはゾーン署名を実行して、署名済みレコードを DNS サーバに返します。
- DNS サーバがデプロイメント ステータスを Address Manager に送信します。