
<div dir="ltr">Hi,<div><br></div><div>I have tested Safenet's Luna SA (the network appliance and not the card) a year ago. It did not work using the openssl patch provided with BIND, but at the end with some assistance from the Safenet's engineers and a proprietary engine provided by them we made it work. I presume it'll work also with the PCI card because the appliance is generally the same card in a box. I had very similar issues, the pkcs11-* commands worked and the dnssec-* ones did not.<br>

</div><div>I had no issues with the HSMs from Utimaco, AEP and ARX.</div><div><br></div><div>ena</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Feb 14, 2014 at 9:43 PM, Sergio Ramirez <span dir="ltr"><<a href="mailto:sramirez@seciu.edu.uy" target="_blank">sramirez@seciu.edu.uy</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>

<br>

We want to sign zones with bind using an HSM Luna PCI Safenet card.<br>

<br>

The command 'dnssec- keyfromlabel' fails:<br>

<br>

# /usr/local/sbin/dnssec-keyfromlabel -v 9 -E LunaCA3 -a RSASHA1 -l KSK1-testdnssec -f KSK testdnssec.<br>

dnssec-keyfromlabel: warning: ENGINE_load_private_key failed<br>

dnssec-keyfromlabel: info: error:2609707D:engine routines:ENGINE_load_public_key:no load function:eng_pkey.c:155:<br>

dnssec-keyfromlabel: info: error:2609607D:engine routines:ENGINE_load_private_key:no load function:eng_pkey.c:119:<br>

dnssec-keyfromlabel: fatal: failed to get key testdnssec/RSASHA1: not found<br>

<br>

It was installed on Debian 4 Linux 2.6.18-6-686 server with:<br>

  - openssl-1.0.0e<br>

  - patch provided by vendor of the HSM (openssl-lunaca3-patch-1.0.0e.tar.gz)<br>

  - bind 9.9.2 -P1<br>

<br>

** The commands pkcs11-keygen, pkcs11-list and ohter pkcs11-* distributed<br>

with bind, are working OK. **<br>

<br>

The key 'KSK1-testdnssec' was generated with pkcs11-keygen command.<br>

<br>

We would like to know if anyone are using this HSM or similar.<br>

<br>

Furthermore we would like to get some guidance to solve this problem.<br>

<br>

Thanks in advance.<br>

--<br>

Sergio Ramírez<br>

<br>

<br>

<br>

_______________________________________________<br>

Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>

<br>

bind-users mailing list<br>

<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>

<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a></blockquote></div><br></div>