添加 HSM 服务器,配置 Security World 并将 Address Manager 加入到 Security World 后,下一步是在网络上的托管 BlueCat DNS 服务器上启用 HSM 支持。
以下流程介绍如何将全新的 BlueCat DNS 服务器添加到 Address Manager。如果已经有要用于 DNSSEC-HSM 的托管 DNS 服务器,则应从 Address Manager 控制中移除 DNS 服务器,从“编辑服务器”页面启用 HSM 支持,然后将 DNS 服务器返回到 Address Manager 控制。
- 在托管的 BlueCat DNS 服务器上启用 HSM 可允许 DNS 服务器加入 HSM Security World。如果 DNS 服务器不属于 Security World,则 DNS 部署将失败。
- 在托管 DNS 服务器上启用 HSM 并且它们已加入 HSM Security World 后,托管 DNS 服务器与至少一个 HSM 服务器之间的连接始终为必需。也就是说,在 DNS 服务器的所有正常操作期间,而不仅仅是 DNSSEC-HSM 区域签名期间,托管 DNS 服务器和 HSM 服务器之间的连接是必需的。这是为了确保 DNS 服务的正确运行。
- 如果启用了专用管理,HSM 将无法运行。在 Address Manager 中配置服务器之前,从 DNS/DHCP 服务器管理控制台禁用专用管理。
- 可以使用 xHA 配置 HSM,但具有某些限制。有关详情,请参阅可选:HSM 带 xHA。
- 如果使用远程文件系统将 Address Manager 和托管 DNS 服务器加入 Security World,则会为无验证配置 RFS,这是 DNSSEC 和 HSM 故障切换的首选状态。有验证的 RFS 同步会将验证设置为单个 HSM 服务器,这可能会阻止其他客户端加入 Security World。
注: 不要同时添加多个启用 HSM 的DNS/DHCP 服务器
BlueCat 建议客户在启用 HSM 的同时不要尝试在 Address Manager 控制下使用多个 DNS/DHCP 服务器。例如,来自多个浏览器选项卡或窗口,或来自多个并行工作的管理员用户(不一定来自同一工作站)。这样做会导致 DNS/DHCP 服务器 配置错误。
要在 DNS 服务器上启用 HSM:
在详情选项卡的通用部分中,将看到启用 HSM 支持:是 — 这确认已在托管 BlueCat DNS 服务器上启用了 HSM。此外,HSM 服务器部分列出了链接到托管 DNS 服务器的 HSM 服务器。
注: 断开连接的 HSM 服务器不会添加到 HSM 配置中
作为最佳实践,请验证是否已连接到 Address Manager 用户界面中列出的所有 HSM 服务器。要确认 HSM 服务器的连接状态,请执行以下操作:
- 以 root 身份通过 SSH 登录 Address Manager。
- 运行以下命令:
hsm-status.sh
Address Manager 应为每个 HSM 服务器返回“连接状态正常”。确保连接状态消息的数量与在 Address Manager 用户界面中配置的 HSM 服务器的数量相匹配。
如果 Address Manager 无法连接到 HSM 服务器,或者确认的连接数小于添加到 Address Manager 用户界面的 HSM 服务器数量,请参阅 故障排除。
在托管 DNS 服务器上启用 HSM 后,下一步是创建 DNSSEC-HSM 策略。