Backup-HSMs sind ein wesentlicher Bestandteil Ihres Schlüsselspeicher-Ökosystems. Sie können zum Speichern von Backups Ihrer kryptografischen Schlüssel verwendet werden, die auf netzwerkgebundenen HSMs gespeichert sind. Dieses Dokument führt Sie durch die Einrichtung Luna 7 Sicherungs-HSM.
Um ein Luna 7 Backup einzurichten HSM Für die Sicherung von vorhandenem kryptografischem Material haben Sie zwei Möglichkeiten: Sie können sich direkt an die USB-Schnittstelle eines Netzwerks anschließen HSM Gerät, oder Sie können eine Verbindung zu einem USB-Anschluss am Luna 7-Client herstellen. Sie benötigen die Passwörter und/oder PED-Schlüssel, die den Partitionen (einschließlich der Admin-Partition) und der Domäne zugeordnet sind, um eine Sicherung jeglicher Art durchzuführen. Halten Sie diese Materialien also bereit, einschließlich Ihres PED, falls Sie einen haben.
Kinderbasierte HSMs
Ped-basierte HSMs verwenden ein Quorum von Ped-Schlüsseln zum Schutz kryptografischer Daten. Sie nutzen außerdem PIN-Eingabegeräte (PEDs), um lokale oder Remote-Verwaltungsfunktionen zu ermöglichen. Sie benötigen Ihre vorhandenen Domänenschlüssel (rot) und Crypto Officer-Schlüssel (schwarz).
Sie benötigen neue oder vorhandene Security Officer-Schlüssel (blau). Wenn Ihr Backup remote durchgeführt wird, benötigen Sie die orangefarbenen Schlüssel aus Ihrem bestehenden Netzwerk. HSM. Wir empfehlen nicht die Wiederverwendung von Remote Ped Vector (orange) Schlüsseln zwischen Ihrem vorhandenen Netzwerk-HSM und Backup HSMDies liegt daran, dass netzwerkgebundene HSM-RPV-Schlüssel zwar vom SO leicht ersetzt werden können, der Verlust des Backup-HSM-RPV-Schlüssels jedoch dem Verlust aller gespeicherten kryptografischen Daten entspricht.
Sicherung über den USB-Anschluss des Geräts
- Zuerst müssen Sie das Backup-HSM aus dem sicheren Transportmodus entfernen. Verbinden Sie sich dazu mit einer Client-Workstation, auf der LunaCM läuft, und führen Sie die folgenden Schritte in LunaCM aus.
lunacm:> Steckplatz gesetzt -slot
Hinweis: Verwenden Sie die Slot-ID der Admin-Partition
lunacm:> stm recover -randomuserstring
Hinweis: Suchen Sie nach einer E-Mail von Thales, um die Zeichenfolge zu erhalten
- Schließen Sie Ihr Backup-HSM und PED an andere USB-Anschlüsse des Geräts als den USB-Anschluss der PCIE-Karte an. Weitere Informationen finden Sie unten.
- Verbinden Sie eine Workstation mit dem seriellen USB-Kabel mit dem oben blau markierten seriellen COM-Port. Starten Sie nach der Verbindung eine Putty-Sitzung mit dem Verbindungstyp „Seriell“ über den entsprechenden COM-Port. Die korrekte COM-Portnummer finden Sie im Geräte-Manager.
- Verwenden Sie den folgenden Befehl in Putty (im Folgenden als „lunash“ bezeichnet) und halten Sie die zurückgegebene Seriennummer des Backup-HSM bereit.
lunash:> Token-Sicherungsliste
- Stellen Sie als Nächstes mit dem folgenden Befehl eine Verbindung zwischen der lokalen Remote-PED-Serverinstanz der Appliance und dem Remote-PED her.
lunash:> hsm ped connect -ip 127.0.0.1 -serial
- LunaSH stellt Ihnen vor der Initialisierung eines orangefarbenen RPV-Schlüssels ein Einmalpasswort zur Verfügung, um eine sichere Verbindung herzustellen. Geben Sie dieses Passwort auf dem PED ein, bevor Sie mit der Erstellung eines RPV-Schlüssels (orangefarben) fortfahren. Bitte erstellen Sie mehrere orangefarbene Schlüssel, da diese auf Backup-HSMs nicht einfach erstellt werden können. Dies unterscheidet sich von netzwerkgebundenen HSMs!
lunash:> hsm ped vector init -serial
- Initialisieren Sie das Backup-HSM mit dem folgenden Befehl. Beachten Sie, dass Sie die Domänenschlüssel (rot) Ihres vorhandenen HSM wiederverwenden MÜSSEN, da sonst das Klonen nicht funktioniert. Der Einfachheit halber ist auch die Wiederverwendung der SO-Schlüssel (blau) möglich.
lunash:> Token-Backup-Init-Label -Seriell
- Wenn FIPS-Konformität erforderlich ist und bereits auf dem vorhandenen, an das Netzwerk angeschlossenen HSM eingerichtet ist, lesen Sie zunächst den Abschnitt zur FIPS-Konformität hier, bevor Sie fortfahren.
- Verwenden Sie den folgenden Befehl in LunaSH, um eine Liste aller vorhandenen Anwendungspartitionen anzuzeigen. Notieren Sie sich die Partitionen, die Sie klonen möchten.
lunash:> Partitionsliste
Hinweis: Partitionsnamen zum Klonen aufzeichnen
- Verwenden Sie den folgenden Befehl, um die Partition zum ersten Mal auf das Backup-HSM zu klonen
lunash:>Partitionssicherung -Partition -Seriell
- Fügen Sie mithilfe des PED die neuen oder wiederverwendeten SO-PED-Schlüssel (blau) für die Partition ein, um die Sicherungspartition zu initialisieren.
- Geben Sie mithilfe des PED den/die Partitions-SO-PED-Schlüssel (blau) ein, den/die Sie gerade für die Sicherungspartition erstellt haben, um sich anzumelden.
- Fügen Sie mithilfe des PED den/die neuen oder wiederverwendeten Crypto Officer (schwarz) PED-Schlüssel ein, um die CO-Rolle auf der Sicherungspartition zu initialisieren.
- Geben Sie mithilfe des PED den/die neuen oder wiederverwendeten Domänen-PED-Schlüssel (rot) für die Quellpartition ein, um die Domäne auf dem Backup zu initialisieren.
- Geben Sie mithilfe des PED den/die Crypto Officer (schwarzen) PED-Schlüssel ein, den/die Sie gerade für die Sicherungspartition erstellt haben, um sich anzumelden.
Konfigurieren der FIPS-Konformität des Luna 7-Backup-HSM
- Melden Sie sich in LunaCM als Backup-HSM an
lunacm:> Rolle Login -Name so
- Verwenden Sie als Nächstes diesen Befehl, um die FIPS-Konformitätsrichtlinie festzulegen
lunacm:> hsm changehsmpolicy -policy 55 -value 1
lunacm:> hsm showinfo
Wiederherstellung über den USB-Anschluss der Appliance
- Schließen Sie Ihr Backup-HSM und PED an andere USB-Anschlüsse des Geräts als den USB-Anschluss der PCIE-Karte an. Siehe unten als Referenz
- Verbinden Sie eine Workstation mit dem seriellen USB-Kabel mit dem oben blau markierten seriellen COM-Port. Starten Sie nach der Verbindung eine Putty-Sitzung mit dem Verbindungstyp „Seriell“ über den entsprechenden COM-Port. Die korrekte COM-Portnummer finden Sie im Geräte-Manager.
- Verwenden Sie den folgenden Befehl in Putty (im Folgenden als Lunash bezeichnet) und halten Sie die zurückgegebene Backup-HSM-Seriennummer bereit
lunash:> Token-Sicherungsliste
- Zeigen Sie die Liste der Anwendungspartitionen an. Notieren Sie sich die Partition, auf der Sie die Wiederherstellung durchführen.
lunash:> Partitionsliste
- Zeigt eine Liste der vorhandenen Backups auf dem Backup-HSM an. Nicht die Partition, von der Sie wiederherstellen möchten
lunash:> Token-Backup-Partitionsliste -serial
- Stellen Sie die Partition mit dem folgenden Befehl wieder her. Verwenden Sie add, um nur neuen Inhalt hinzuzufügen, oder replace, um den gesamten Inhalt der Partition zu ersetzen.
lunash:> Partition wiederherstellen -partition -tokenpar -Seriell {-hinzufügen | -ersetzen}
- Wenn die Zielpartition bereits aktiviert wurde, benötigen Sie lediglich das Challenge-Geheimnis des Crypto Officers. Andernfalls folgen Sie den folgenden Anweisungen mit den Schlüsseln ped und ped.
- Geben Sie mithilfe des Peds den RPV (orangefarbenen Schlüssel) für das Ziel-HSM ein, um die Remote-Verbindung herzustellen
- Mit dem Ped den Crypto Officer (schwarzer Schlüssel) für die Zielpartition einstecken
- Stecken Sie mit dem Ped das RPV (orangefarbener Schlüssel) für das Backup-HSM ein.
- Trennen Sie den Ped mit dem Befehl
lunash:> hsm ped disconnect -serial
Passwortbasierte HSMs
Kennwortbasierte HSMs schützen kryptografische Daten mit einer Reihe von Kennwörtern, die den verschiedenen Benutzerrollen auf dem HSM entsprechen. Der SO für das HSM verwaltet die Richtlinien und die Sicherheit des HSM. Die Domänenzeichenfolge wird zum Klonen verwendet und muss übereinstimmen, um von einer Backup-Partition auf eine Partition zu klonen oder für HSMs in einer HA-Gruppe. Der Crypto Officer verwaltet kryptografische Daten innerhalb einer Partition.
Sicherung über den USB-Anschluss des Geräts
- Zuerst müssen Sie das Backup-HSM aus dem sicheren Transportmodus entfernen. Verbinden Sie sich dazu mit einer Client-Workstation, auf der LunaCM läuft, und führen Sie die folgenden Schritte in LunaCM aus.
lunacm:> Steckplatz gesetzt -slot
Hinweis: Verwenden Sie die Slot-ID der Admin-Partition
lunacm:> stm recover -randomuserstring
Hinweis: Suchen Sie nach einer E-Mail von Thales, um die Zeichenfolge zu erhalten
- Schließen Sie Ihr Backup-HSM an andere USB-Anschlüsse des Geräts als den USB-Anschluss der PCIE-Karte an. Weitere Informationen finden Sie unten.
- Verbinden Sie eine Workstation mit dem seriellen USB-Kabel mit dem oben blau markierten seriellen COM-Port. Starten Sie nach der Verbindung eine Putty-Sitzung mit dem Verbindungstyp „Seriell“ über den entsprechenden COM-Port. Die korrekte COM-Portnummer finden Sie im Geräte-Manager.
- Verwenden Sie den folgenden Befehl in Putty (im Folgenden als Lunash bezeichnet) und halten Sie die zurückgegebene Backup-HSM-Seriennummer bereit
lunash:> Token-Sicherungsliste
- Initialisieren Sie das Backup-HSM mit dem folgenden Befehl.
lunash:> Token-Backup-Init-Label -Seriell
- Wenn FIPS-Konformität erforderlich ist und bereits auf dem vorhandenen, an das Netzwerk angeschlossenen HSM eingerichtet ist, lesen Sie zunächst den Abschnitt zur FIPS-Konformität hier, bevor Sie fortfahren.
- Verwenden Sie den folgenden Befehl in LunaSH, um eine Liste aller vorhandenen Anwendungspartitionen anzuzeigen. Notieren Sie sich die Partitionen, die Sie klonen möchten
lunash:> Partitionsliste
- Verwenden Sie den folgenden Befehl, um die Partition zum ersten Mal auf das Backup-HSM zu klonen
lunash:>Partitionssicherung -Partition -Seriell
- Geben Sie das Crypto Officer-Passwort für die Quellpartition ein
- Geben Sie das SO-Passwort für das Backup-HSM ein
- Geben Sie die Domänenzeichenfolge für die neue Partition an. Diese Zeichenfolge sollte mit Ihrer vorhandenen Domänenzeichenfolge übereinstimmen, um in Zukunft eine Sicherung durchführen zu können.
- Melden Sie sich in LunaCM als Backup-HSM an
lunacm:> Rolle Login -Name so
- Verwenden Sie als Nächstes diesen Befehl, um die FIPS-Konformitätsrichtlinie festzulegen
lunacm:> hsm changehsmpolicy -policy 55 -value 1
lunacm:> hsm showinfo
- Schließen Sie Ihr Backup-HSM an andere USB-Anschlüsse des Geräts als den USB-Anschluss der PCIE-Karte an. Weitere Informationen finden Sie unten.
- Verbinden Sie eine Workstation mit dem seriellen USB-Kabel mit dem oben blau markierten seriellen COM-Port. Starten Sie nach der Verbindung eine Putty-Sitzung mit dem Verbindungstyp „Seriell“ über den entsprechenden COM-Port. Die korrekte COM-Portnummer finden Sie im Geräte-Manager.
- Verwenden Sie den folgenden Befehl in Putty (im Folgenden als Lunash bezeichnet) und halten Sie die zurückgegebene Backup-HSM-Seriennummer bereit
lunash:> Token-Sicherungsliste
- Zeigen Sie die Liste der Anwendungspartitionen an. Notieren Sie sich die Partition, auf der Sie wiederherstellen
lunash:> Partitionsliste
- Zeigt eine Liste der vorhandenen Backups auf dem Backup-HSM an. Nicht die Partition, von der Sie wiederherstellen möchten
lunash:> Token-Backup-Partitionsliste -serial
- Stellen Sie die Partition mit dem folgenden Befehl wieder her. Verwenden Sie add, um nur neuen Inhalt hinzuzufügen, oder replace, um den gesamten Inhalt der Partition zu ersetzen.
lunash:> Partition wiederherstellen -partition -tokenpar -Seriell {-hinzufügen | -ersetzen}
- Geben Sie in dieser Reihenfolge Folgendes ein: das Crypto Officer-Passwort für die Zielpartition. Das Crypto Officer-Passwort für die Sicherungspartition.
Konfigurieren der FIPS-Konformität des Luna 7-Backup-HSM
Wiederherstellung über den USB-Anschluss der Appliance
Fazit
Backup-HSMs sorgen dafür, dass Sie bei Hardwareausfällen und Naturkatastrophenschäden beruhigt sind. Backup-HSMs können auch zum Speichern kryptografischer Daten für den Transport verwendet werden. Unabhängig von Ihrem Anwendungsfall sollte die Verwendung Ihres Backup-HSMs mit diesen Anweisungen effizient und einfach sein.
Backup-HSMs sind ein wichtiges Tool für die Zuverlässigkeit und Wiederherstellung Ihrer kryptografischen Daten. Befolgen Sie die Anweisungen, um Daten von Ihrem vorhandenen Luna 7-Netzwerk-HSM auf einem Luna 7-Backup-HSM zu sichern oder Daten mithilfe der auf einem Backup-HSM gespeicherten Daten auf einem Netzwerk-HSM wiederherzustellen.
