Wie integriert man ein Thales-Hardware-Sicherheitsmodul und einen CipherTrust Manager: Vor Ort?

Bei der Arbeit mit verschiedenen Sicherheitsprodukten stößt man auf viele Geräte, die Hardware-Sicherheitsmodule oder HSMs. HSMs sind Geräte zur sicheren Speicherung von Verschlüsselungsschlüsseln für Anwendungen oder Benutzer. Das Thales Luna HSM kann vor Ort, in der Cloud oder als On-Demand-Gerät erworben werden. Wir konzentrieren uns jedoch auf die On-Demand-Version.

Eine weitere Option für das Thales Luna HSM ist eine PED-authentifizierte Version im Vergleich zur passwortauthentifizierten Version. Das PED-authentifizierte Hardware-Sicherheitsmodul verwendet ein PED-Gerät mit beschrifteten Schlüsseln für die Rollen innerhalb des HSM, wobei die PINs den PED-Schlüsseln entsprechen. Dadurch wird eine Rollentrennung zwischen den verschiedenen Rollen auf dem HSM erreicht. Die passwortauthentifizierte Version erfordert lediglich die Eingabe eines Passworts; ein PED-Gerät ist nicht erforderlich. Diese Anleitung gilt für beide HSM-Typen.  

Der CipherTrust Manager von Thales fungiert als zentrales Schlüsselverwaltungsgerät und ermöglicht Benutzern das Generieren, Verwalten, Löschen, Exportieren und Importieren von Verschlüsselungsschlüsseln für Client- und Anwendungsanwendungen. Parallel zum CipherTrust Manager (CM) kann ein HSM installiert werden, das die vom CM verwendeten Schlüssel speichert.

Dem CM stehen die gleichen Optionen wie dem Luna HSM zur Verfügung. Handelt es sich jedoch um ein PED-authentifiziertes HSM, muss auch der CM PED-authentifiziert sein. Dieselbe Regel gilt für passwortauthentifizierte HSMs. Bevor wir mit den Integrationsschritten beginnen, müssen einige Schritte vor der Integration besprochen werden.  

Schritte vor der Integration 

Vor der Integration eines HSM und CM müssen einige Schritte im Prozess durchgeführt werden. Die wichtigste Aufgabe, die im Vorfeld erledigt werden muss, besteht darin, sicherzustellen, dass sowohl das HSM als auch das CM vollständig konfiguriert wurden. Dazu gehören die Netzwerkkonfiguration, die SSH-Konfiguration und die Einrichtung des NTP-Servers.

Bei der Integration eines Hardware-Sicherheitsmoduls und eines CipherTrust Managers müssen diese denselben NTP-Server (Network Time Protocol) verwenden, damit die Uhrzeiten beider Geräte identisch sind. Darüber hinaus muss das HSM vom CM über das Netzwerk erreichbar sein. Dies bedeutet, dass sich CM und HSM im selben Subnetz befinden müssen, damit das Pingen und der Zugriff auf das HSM vom CM aus erfolgen können.

Darüber hinaus ist der Fernzugriff auf HSM und CM wichtig, da der Aufenthalt in einem Rechenzentrum mit CM und HSM überwältigend sein kann. Daher ist der Fernzugriff auf die Geräte unerlässlich. Wir werden in diesem Handbuch nicht auf die Konfiguration von HSM und CM eingehen, da dies ein langwieriger und aufwändiger Prozess ist, den Sie erreichen können www.encryptionconsulting.com für Unterstützung. Stattdessen konzentrieren wir uns auf die wichtigsten Schritte im Prozess der Integration eines Hardware-Sicherheitsmoduls und eines CipherTrust Managers.

Voraussetzungen

Bei der Durchführung dieser Integrationsschritte sollten Sie zunächst sicherstellen, dass verschiedene Elemente vorhanden sind und ordnungsgemäß funktionieren. Stellen Sie zunächst sicher, dass der CM das HSM erreichen kann. Dies kann in mehreren Schritten erfolgen. Am einfachsten ist es jedoch, per SSH auf den CM zuzugreifen und die IP-Adresse des HSM anzupingen. So stellen Sie sicher, dass die Kommunikation zwischen HSM und CM reibungslos funktioniert.

Ein weiterer Schritt besteht darin, sicherzustellen, dass beide Geräte auf die neueste Software- und Firmware-Version aktualisiert sind. Dadurch wird sichergestellt, dass alle erforderlichen Sicherheitspatches implementiert werden. Ein letzter Schritt besteht darin, sicherzustellen, dass der NTP-Server mit beiden Geräten ordnungsgemäß funktioniert. Ohne ordnungsgemäß funktionierende NTP-Server schlägt die Integration der beiden Geräte fehl.  

Schritte zur HSM-Integration 

Um mit der Integration von HSM und CM zu beginnen, müssen zunächst Zertifikate erstellt werden. Dies kann über den mit dem HSM verwendeten Lunaclient erfolgen. Diese Software wird vom Thales Knowledge Center heruntergeladen, wenn Sie sich über das Kundensupport-Portal anmelden. Sobald der Lunaclient heruntergeladen ist, müssen Sie den folgenden Befehl ausführen: 

cd „C:\Programme\Safenet\lunaclient“ 

Von hier aus können Sie den Befehl ausführen vtl createcert -n . Dadurch werden ein Zertifikat und ein privater Schlüssel im C:\Programme\Safenet\lunaclient\cert\client Verzeichnis. Aus dem gleichen lunaclient-Verzeichnis, der Befehl pscp.exe admin@ :server.pem server_ .pem sollte für jedes zu integrierende HSM ausgeführt werden.

Dadurch werden die Serverzertifikate jedes HSM an die lunaclient Verzeichnis unter dem Namen Server_ .pem. Wir geben nur deshalb einen anderen Namen als server.pem an, weil bei der Integration mehrerer HSMs die alten server.pem-Zertifikate durch die neuen importierten ersetzt würden. Nachdem Sie nun alle diese Informationen haben, müssen wir die Partitionsbezeichnung und die Partitionsseriennummer der mit dem CM verknüpften Partitionen abrufen. Dies geschieht durch SSH in das HSM über den Befehl ssh-Administrator@ .

Nach der Anmeldung kann der Befehl par list ausgeführt werden, um alle verschiedenen Partitionen auf dem HSM, die Seriennummern und die Partitionsbezeichnungen anzuzeigen. Sobald diese notiert sind, besteht der letzte Schritt darin, den CM über das von uns erstellte Zertifikat zum Client des HSM zu machen. Dies kann durch die Übertragung der Zertifikatsdatei vom Client-Gerät auf das HSM mit dem folgenden Befehl aus dem lunaclient Verzeichnis:  

pscp.exe ./cert/client/ .pem admin@

Nachdem sich das Client-Zertifikat nun auf dem HSM befindet, muss der Client mit dem Befehl Client-Register -n -H . Nachdem der Client nun erfolgreich registriert wurde, muss dem Client über den Befehl

Client-Assignpartition -c -P .

Diese Schritte sollten für jedes zu integrierende HSM durchgeführt werden.  

CM-Integrationsschritte 

Nachdem der CM als Client des HSM eingerichtet wurde, müssen wir diese Dateien direkt mit dem CM verbinden. Dazu müssen wir uns über eine der bei der Netzwerkkonfiguration eingerichteten IP-Adressen bei der GUI des CipherTrust Managers anmelden. Sobald wir auf die Webseite gehen https://<IP of the CM>, Wir können uns anmelden und gehen zu Administratoreinstellungen > HSM Tab.

Von hier aus folgen wir den Anweisungen. Wir benötigen die HSM-IP-Adresse, das HSM-Serverzertifikat, das Client-Zertifikat und den Schlüssel, die Partitionsbezeichnung und die Partitionsseriennummer. Für die Zertifikate müssen Sie den Inhalt dieser Dateien öffnen, kopieren und in die GUI einfügen. Zusätzlich muss das Crypto Officer-Passwort für die Partition angegeben werden.  

Sobald diese bereitgestellt sind, fragt die GUI, ob Sie die Schlüssel in der Partition in der gesamten Umgebung replizieren möchten. Wählen Sie diese Option mit „Ja“, da die Daten in den Partitionen sonst verloren gehen. Anschließend startet der CM sich und seine Dienste neu und stellt so sicher, dass er eine ordnungsgemäße Verbindung zum HSM herstellen kann.

Nach dem Neustart können Sie sich wieder in die GUI einloggen und sehen, dass das HSM nun integriert ist. Von hier aus können Sie weitere HSMs zur Integration hinzufügen. Sie benötigen lediglich das Partitionskennwort, die Seriennummer, die Bezeichnung, die HSM-IP und das HSM-Serverzertifikat. Jetzt haben Sie alle Ihre HSMs erfolgreich in Ihren Cipher Trust Manager integriert! 

Bekannte Probleme und Problemumgehungen 

Problem: HSM-Siegel nicht über die CM-GUI erreichbar. 

Lösung: Wenn beim Verbindungsversuch mit der GUI eine Fehlermeldung angezeigt wird, dass das HSM-Siegel nicht abgerufen werden kann, liegt wahrscheinlich ein Problem mit Ihrem Client-Zertifikat vor. Es gibt einen seltenen Fehler beim Erstellen von Zertifikaten mit vtl createcert Dies führt dazu, dass ein Zertifikat für 11 Tage statt für 10 Jahre erstellt wird. Ändern Sie die Erweiterung Ihres Client-Zertifikats in .cert und sehen Sie sich das Ablaufdatum des Zertifikats an.

Sie müssen per SSH auf den CM zugreifen und den Befehl ausführen kscfg-System zurückgesetzt. Die vorhandenen HSM-Konfigurationen gehen verloren, die SSH- und Netzwerkkonfigurationen bleiben jedoch erhalten. Von hier aus müssen Sie die Schritte zum Erstellen eines Clients des HSM mit einem neuen Zertifikat erneut ausführen. 

Problem: IP-Adresse für die GUI nicht erreichbar 

Lösung: Wenn Sie nach dem Update der CM-Software Ihre IP-Adressen nicht erreichen können, müssen Sie auf jeder Schnittstelle dieselbe IP-Adresse einrichten, bis Sie die passende gefunden haben. Das Problem besteht darin, dass beim Update von Version 2.0 auf Version 2.9 ein Fehler auftritt, der die MAC-Adressen der Netzwerkschnittstellen in die falschen ändern kann.

Sie geben möglicherweise an, Schnittstelle 1 oder 0 zu sein, sind aber tatsächlich Schnittstelle 2 oder 3. Dies kann behoben werden, indem Sie auf jeder Schnittstelle dieselbe IP-Adresse ausprobieren, bis sie ordnungsgemäß funktioniert und Sie eine Verbindung herstellen können.  

Fazit 

Wie bereits erwähnt, sind wir hier nicht näher auf die allgemeine Konfiguration des HSM und CM. Diese können Sie selbst oder mit unserer Unterstützung durchführen. Um uns für Konfigurationshilfe oder Unterstützung zu kontaktieren, besuchen Sie unsere Website www.encryptionconsulting.comWir unterstützen Sie bei der Bewertung, Planung und Implementierung von HSMs, PKIs, CMs und Verschlüsselungshinweise.