Ir al contenido

Próximamente estarán disponibles los certificados de 47 días. ¿Todo listo?

Actúa ahora →

  1. Blog
    2. Módulo de seguridad de hardware

Actualización del software y firmware de un HSM de red Thales basado en PED 

Publicado porRiley Dickens 9 minutos
Tabla de contenido

 Módulos de seguridad de hardwareLos HSM pueden ser una infraestructura de seguridad compleja, pero importante, de mantener. Hay tareas diarias que deben completarse para verificar su funcionalidad, así como para actualizarlos y garantizar que estén instalados los parches más recientes.

Esto puede parecer una tarea abrumadora, pero en realidad es un procedimiento relativamente sencillo. Una de las partes más complicadas es encargarse de las tareas previas para los demás componentes de la infraestructura que se integran con el HSM.

Hoy repasaremos cómo actualizar el firmware y el software de un HSM de Thales Luna Network. En este ejemplo, supondremos que tiene una Autoridad de Certificación Emisora ​​integrada con su HSM y que el HSM en uso es un HSM basado en PED.

Tareas previas a los requisitos

Hay varias tareas previas que deben completarse antes de actualizar el software y el firmware del HSM de red, especialmente si el HSM en cuestión está conectado a un cliente en un entorno de producción. Para este ejemplo, asumiremos que el HSM está conectado a un Autoridad de certificación (CA) en un entorno de producción.

El primer paso para completar cualquier actualización de hardware es asegurarse de que se realice en un momento discreto y con las precauciones de seguridad adecuadas. Si la actualización falla, podría causar daños significativos a la organización.

Precauciones de seguridad, como asegurar que los HSM y las CA estén en un clúster de alta disponibilidad, lo que garantiza que, si falla una actualización, las demás CA/HSM puedan tomar el control mientras se diagnostica el problema. Además, se debe realizar una copia de seguridad del HSM y notificar a los equipos correspondientes sobre la posible inconectividad de la CA o el HSM durante un breve periodo. 

Una vez realizadas estas tareas, ciertos HSM y Infraestructura de Clave Pública Las tareas deben completarse. A Lista de revocación de certificadosLa CRL debe generarse o actualizarse antes de la actualización. Esto protegerá la Infraestructura de Clave Pública (PKI) de cualquier problema que pueda surgir durante el proceso de actualización mientras se diagnostica y soluciona el problema. Los siguientes pasos son un ejemplo de cómo emitir una CRL desde una PKI de Microsoft.

  • Primero, debemos asegurarnos de que la autoridad de certificación se esté ejecutando verificando PKIView.msc.
  • A continuación, abrimos la Autoridad Certificadora desde PKIView.msc.
  • Ahora, navegue a la carpeta de certificados revocados.

  • Haga clic derecho en la carpeta de certificados revocados y luego seleccione Todas las tareas y Publicar

    Haga clic con el botón derecho en la carpeta de certificados revocados.

  • Luego, seleccione CRL y Publicar.

    seleccionar CRL y Publicar

  • Por último, para comprobar si la CRL se ha renovado correctamente, abra un símbolo del sistema y ejecute PKIView.msc, expanda la pestaña CA emisora ​​y verifique la fecha de vencimiento del punto CDP.

    comprobar si la CRL se ha renovado correctamente
    Pestaña de emisión de CA y verificación del CDP

Además, debe haber un sistema con la capacidad de transferir el paquete de software al HSM Para la actualización. Esto incluye las reglas de firewall necesarias para permitir la transferencia del paquete de software al HSM. Si este paso no es posible, un miembro del equipo debe tener acceso físico directo al HSM, junto con un cable cruzado, para permitir la transferencia del paquete de software al HSM para la actualización.

Planificación de la actualización

Al planificar la actualización de su HSM, es importante contar con una ruta de actualización correcta. El primer paso debe ser asegurarse de que se cumplan todos los prerrequisitos y que formen parte de su plan. Después, se debe determinar la ruta de actualización adecuada. Esto significa que si utiliza una versión muy antigua del software HSM, por ejemplo, la 6.0, debe seguir una ruta específica para acceder a la última versión.

No se puede pasar directamente de la versión 6.0 a la 7.7; primero hay que actualizar a la versión 6.5, luego a la 7.0 y, finalmente, a la 7.7. Este es solo un ejemplo de cómo podría ser la ruta de actualización.

Finalmente, se debe implementar un plan de reversión para que, si la actualización del software falla, se pueda revertir a una compilación correcta del HSM. Además, se debe diseñar un plan de recuperación ante desastres antes de la actualización, ya que si surge un problema grave durante la actualización, será necesario recuperar el HSM.

Actualización desde una conexión de red

Una vez completados los pasos previos, podemos centrarnos en la actualización. Esta sección se centra en el proceso de actualización si la red se ha configurado correctamente para el HSM y se dispone de un cliente o sistema que pueda acceder al HSM para transferir los archivos necesarios. Si necesita usar el método de cable cruzado, pase a la siguiente sección. A continuación, se detallan los pasos necesarios para actualizar el software y el firmware de su HSM.

  1. Transfiera el archivo de actualización . spkg al HSM mediante el siguiente comando: C:\Program Files\SafeNet\LunaClient>: pscp lunasa_update-7.7.0-317.spkg admin@ :
  2. Inicie sesión en el HSM a través de SSH: C:\Archivos de programa\SafeNet\LunaClient>: ssh admin@
  3. Inicie sesión como Oficial de seguridad de HSM (SO): lunash>: hsm login
  4. Siga las instrucciones en el PED para iniciar sesión como SO.
  5. Compruebe que el paquete se haya transferido correctamente al HSM: lunash>: package listfile
  6. Verifique el paquete utilizando el código de autorización en el archivo lunasa_update-7.7.0-317.auth: lunash>: package verify lunasa_update-7.7.0-317.spkg -a
  7. Actualice el software: lunash>: paquete actualización lunasa_update-7.7.0-317.spkg -a
  8. Si la actualización de software no reinicia automáticamente el HSM, ejecute el siguiente comando: lunash>: sysconf appliance reboot
  9. SSH de vuelta al HSM: C:\Archivos de programa\SafeNet\LunaClient>: ssh admin@
  10. Actualice el firmware: lunash>: actualización del firmware hsm
  11. Verifique que el firmware se haya actualizado: lunash>: hsm show

Soluciones HSM personalizables

Obtenga soluciones y servicios HSM de alta seguridad para proteger sus claves criptográficas.

Solicitar demostración

Actualización desde una conexión directa

Esta sección se centra en el proceso de actualización si la red no está configurada para el HSM. En ese caso, se necesitará un cable cruzado para transferir los archivos al HSM. Esto requiere una conexión directa al HSM. A continuación, se detallan los pasos necesarios para actualizar el software y el firmware del HSM.

  1. Conecte el cable cruzado a cualquiera de los puertos eth.

    Cable cruzado

  2. Configure la dirección IP en su computadora: Panel de control > Redes e Internet > Centro de redes y recursos compartidos > Haga clic con el botón izquierdo en Conexión Ethernet > Propiedades > Protocolo de Internet versión 4 (TCP/IPv4). Seleccione el botón Propiedades y actualice la dirección IP estática de su computadora. Utilice las siguientes imágenes como guía.

    configurar la dirección IP en el PC
    Paso 2 de la configuración de la dirección IP en su PC
    Paso 3 de la configuración de la dirección IP en su PC
    Paso 4 de la configuración de la dirección IP en su PC

    Paso 5 de la configuración de la dirección IP en su PC

    Paso 6 de la configuración de la dirección IP en su PC

  3. Conéctese en serie al HSM como administrador:

    Paso 7 de la configuración de la dirección IP en su PC
  4. Configure la dirección IP del HSM usando la misma puerta de enlace y máscara de red: lunash>: network interface static -device eth0 -ip 192.168.1.3 -netmask 255.255.255.0 -gateway 192.168.1.1
  5. Reinicie el HSM: lunash>: sysconf appliance reboot
  6. Descargue la versión del software lunaclient de Thales.

  7. Usando 7zip, descomprime el archivo y deberías ver cuatro archivos dentro:

    Usando 7zip, descomprima el archivo
  8. Abra un símbolo del sistema de administrador y vaya al directorio LunaClient: C:\>: cd C:\Program Files\SafeNet\LunaClient
  9. Transfiera el archivo de actualización .spkg al HSM: C:\Archivos de programa\SafeNet\LunaClient>: pscp lunasa_update-7.7.0-317.spkg admin@192.168.1.3:

  10. Vuelva a iniciar sesión en el HSM en serie como administrador:

    volver a iniciar sesión en HSM como administrador
  11. Inicie sesión como oficial de seguridad de HSM (SO): lunash:> hsm login
  12. Siga las instrucciones en el PED para iniciar sesión como SO.
  13. Verifique que el paquete se haya transferido correctamente al HSM: lunash:> package listfile
  14. Verifique el paquete usando el código de autorización en el archivo lunasa_update-7.7.0-317.auth: lunash:> package verify lunasa_update-7.7.0-317.spkg -a
  15. Actualice el software: lunash:> package update lunasa_update-7.7.0-317.spkg -a
  16. Si la actualización de software no reinicia automáticamente el HSM, ejecute el siguiente comando: lunash:> sysconf appliance reboot
  17. Vuelva a iniciar sesión en el HSM como administrador e inicie sesión como SO (tecla azul) después de: lunash>: hsm login
  18. Siga las indicaciones del PED.
  19. Actualice el firmware: lunash:> hsm firmware upgrade
  20. Verifique que el firmware se haya actualizado: lunash:> hsm show

Tareas posteriores a la actualización

Ahora que el HSM se ha actualizado tanto en firmware como en software, se requieren algunas tareas posteriores a la actualización. Primero, debemos volver a iniciar sesión en HSM a través de SSH y verifique que la actualización se haya realizado correctamente con el siguiente comando: Lunash>: Programa de Hsm

Otro paso vital después de actualizar los HSM es emitir una CRL para garantizar que esta pueda implementarse correctamente después del proceso de actualización.

  • En primer lugar, debemos asegurarnos de que Autoridad certificada se está ejecutando comprobando PKIView.msc.
  • A continuación, abrimos la Autoridad Certificadora desde PKIView.msc.
  • Ahora, navegue hasta el certificados revocados carpeta.

  • Haga clic derecho en la carpeta de certificados revocados y luego seleccione Todas las tareas y Publicar

    Haga clic con el botón derecho en la carpeta de certificados revocados.

  • Luego, seleccione CRL y Publicar.

    seleccionar CRL y Publicar

  • Por último, para comprobar si la CRL se ha renovado correctamente, abra un símbolo del sistema y ejecute PKIView.msc, expanda la pestaña CA emisora ​​y verifique la fecha de vencimiento del punto CDP.

    comprobar si la CRL se ha renovado correctamente
    Pestaña de emisión de CA y verificación del CDP

Además de estas tareas específicas posteriores a la actualización, existen diversas tareas que deben realizarse continuamente durante la vida útil del HSM en uso. La monitorización de los HSM es fundamental y debe realizarse en todo momento.

El equipo a cargo del HSM debe garantizar diariamente que no se produzcan interrupciones que afecten los servicios de producción. Además, el equipo de monitoreo del HSM debe mantenerse al día con las últimas versiones de software y firmware del HSM que Thales lanza. Esto garantizará que los HSM en uso siempre estén actualizados con los últimos parches de seguridad y correcciones de errores que Thales pueda proporcionar.

Conclusión

Como puede ver, el proceso de actualización de una red Thales HSM No es tan difícil como parece. Estos pasos se pueden seguir siempre que necesite actualizar software o firmware, con pequeños cambios en los requisitos previos y posteriores a la actualización, según los tipos de aplicaciones u otros componentes de la infraestructura que se integren con su HSM.

Si necesita configuración de HSM, planificación de recuperación ante desastres o incorporación de aplicaciones a HSM, visite nuestro sitio web en www.encryptionconsulting.comEn Encryption Consulting, nos centramos en servicios de asesoría en cifrado, Diseño e implementación de PKI, el Diseño e implementación de HSMEncryption Consulting proporciona hojas de ruta y recomendaciones para futuras actualizaciones de HSM, lo que permite a su empresa mantenerse informada y garantizar que se alinee con todas las estrategias de TI estándar.

Descubra nuestra

Blogs relacionados

entrust-nshield-hsm-training

Análisis en profundidad: Capacitación bajo demanda de Encryption Consulting sobre HSM Entrust nShield 

9 de junio de 2026
Entrenamiento thales-luna-7-hsm

Análisis en profundidad: Capacitación bajo demanda de Encryption Consulting sobre Thales Luna 7 HSM: un recorrido técnico.
MFA respaldado por HSM

Refuerza tu autenticación multifactor (MFA) con módulos de seguridad de hardware (HSM).

11 de mayo de 2026

Explorar

Más temas