Ir al contenido

Webinar: Regístrese para nuestro próximo seminario web

Regístrate Ahora

  1. Blog
    2. Módulo de seguridad de hardware

¿Cómo integrar un módulo de seguridad de hardware de Thales y un CipherTrust Manager: local?

Publicado porRiley Dickens 08 Minutos
Thales HSM y un administrador de Ciphertrust en las instalaciones
Tabla de contenido

Al trabajar con diferentes productos de seguridad, uno de los muchos dispositivos con los que te encuentras es Módulos de seguridad de hardware o HSM. Los HSM son dispositivos diseñados para almacenar de forma segura claves de cifrado para su uso por parte de aplicaciones o usuarios. El Thales Luna HSM puede adquirirse como dispositivo local, en la nube o bajo demanda, pero nos centraremos en la versión bajo demanda.

Otra opción disponible para el HSM Thales Luna es una versión autenticada mediante PED, en lugar de la versión autenticada mediante contraseña. El Módulo de Seguridad de Hardware autenticado mediante PED utiliza un dispositivo PED con claves etiquetadas para los roles dentro del HSM, cuyos PIN se correlacionan con las claves PED. Esto permite separar los roles del HSM. La versión autenticada mediante contraseña solo requiere una contraseña escrita, sin necesidad de un dispositivo PED. Esta guía es válida para ambos tipos de HSM.  

El CipherTrust Manager de Thales funciona como un dispositivo centralizado de gestión de claves, que permite a los usuarios generar, gestionar, destruir, exportar e importar claves de cifrado para clientes y aplicaciones. Junto con el CipherTrust Manager (CM), puede haber un HSM que almacene las claves que utilizará el CM.

El CM también tiene las mismas opciones disponibles que el HSM Luna; sin embargo, si el HSM en uso está autenticado por PED, el CM también debe estar autenticado por PED. La misma regla se aplica a los HSM autenticados por contraseña. Antes de pasar a los pasos de integración, es necesario analizar algunos pasos previos a la integración.  

Pasos previos a la integración 

Antes de integrar un HSM y un CM, se deben realizar algunos pasos previos. La tarea más importante es asegurarse de que tanto el HSM como el CM estén completamente configurados. Esto incluye la configuración de la red, la configuración de SSH y la configuración del servidor NTP.

Al integrar un Módulo de Seguridad de Hardware y un Administrador de CipherTrust, deben usar el mismo servidor NTP (Protocolo de Tiempo de Red) para que las horas sean las mismas entre ambos dispositivos. Además, el HSM debe ser accesible a través de la red por el CM. Esto significa que el CM y el HSM deben estar en la misma subred para que el ping y el acceso al HSM se puedan realizar desde el CM.

Además, es importante tener acceso remoto al HSM y al CM, ya que estar en un centro de datos con el CM y el HSM puede resultar abrumador, por lo que poder acceder a los dispositivos de forma remota es vital. En esta guía no explicaremos cómo configurar un HSM y un CM, ya que es un proceso largo y complejo que puede consultar. www.encryptionconsulting.com Para obtener ayuda, nos centraremos en los principales pasos involucrados en el proceso de integración de un módulo de seguridad de hardware y un administrador de CipherTrust.

Prerrequisitos

Al completar estos pasos de integración, primero debe asegurarse de que varios elementos estén instalados y funcionen correctamente. Esto comienza por asegurar que el CM pueda acceder al HSM. Esto se puede lograr mediante varios pasos, pero el más sencillo es conectarse al CM mediante SSH y hacer ping a la dirección IP del HSM. Esto le permitirá asegurarse de que la comunicación entre el HSM y el CM sea correcta.

Otro paso es asegurarse de que ambos dispositivos estén actualizados a las últimas versiones de software y firmware. Esto garantizará la implementación de todos los parches de seguridad necesarios. Un último paso es asegurar que el servidor NTP funcione correctamente con ambos dispositivos. Si los servidores NTP no funcionan correctamente, la integración entre ambos dispositivos fallará.  

Pasos de integración de HSM 

Para comenzar a integrar el HSM y el CM, primero se deben crear los certificados. Esto se puede hacer mediante el Lunaclient que se utiliza con el HSM. Este software se descarga del Centro de Conocimiento de Thales, al iniciar sesión en el portal de atención al cliente. Una vez descargado el Lunaclient, deberá ejecutar el siguiente comando: 

cd “C:\Archivos de programa\Safenet\lunaclient” 

Desde aquí, puedes ejecutar el comando vtl createcert -n . Esto creará un certificado y una clave privada en el C:\Archivos de programa\Safenet\lunaclient\cert\client directorio. Desde el mismo directorio lunaclient, el comando pscp.exe administrador@ :servidor.pem servidor_ .pem debe ejecutarse para cada HSM que se esté integrando.

Esto transferirá los certificados de servidor de cada HSM al cliente luna directorio bajo el nombre de servidor_ .pem. Especificamos un nombre diferente de server.pem solo porque si se integran varios HSM, los antiguos certificados server.pem se reemplazarán por los nuevos importados. Ahora que tiene toda esta información, necesitaremos obtener la etiqueta de la partición y el número de serie de la partición asociada con el CM. Esto se hace accediendo al HSM mediante el comando administrador ssh@ .

Una vez iniciada la sesión, se puede ejecutar el comando par list para mostrar todas las particiones del HSM, sus números de serie y etiquetas. Una vez anotados, el paso final es convertir el CM en cliente del HSM mediante el certificado creado. Esto se puede hacer transfiriendo el archivo del certificado del dispositivo cliente al HSM con el siguiente comando desde el cliente luna directorio:  

pscp.exe ./cert/cliente/ .pem administrador@

Ahora que el certificado del cliente está en el HSM, el cliente debe registrarse con el comando registro de cliente -n -h . Ahora que el cliente se ha registrado correctamente, se debe asignar una partición al cliente mediante el comando

cliente asignar partición -c -pag .

Estos pasos deben realizarse para cada HSM que se vaya a integrar.  

Soluciones HSM personalizables

Obtenga soluciones y servicios HSM de alta seguridad para proteger sus claves criptográficas.

Solicitar demostración

Pasos de integración de CM 

Ahora que el CM se ha configurado como cliente del HSM, debemos conectar directamente estos archivos con el CM. Para ello, debemos iniciar sesión en la interfaz gráfica de usuario de CipherTrust Manager mediante una de las direcciones IP configuradas durante la configuración de red. Una vez en la página web, https://<IP of the CM>, Podemos iniciar sesión e ir a la Configuración de administrador>HSM .

Desde aquí, seguimos los pasos según se nos indique. Necesitamos proporcionar la dirección IP del HSM, el certificado del servidor HSM, el certificado y la clave del cliente, la etiqueta de la partición y el número de serie de la misma. Para los certificados, deberá abrir, copiar y pegar el contenido de esos archivos en la interfaz gráfica de usuario. Además, también deberá proporcionar la contraseña de Crypto Officer para la partición.  

Una vez proporcionados, la interfaz gráfica de usuario le preguntará si desea replicar las claves de la partición en todo el entorno. Debe seleccionar "Sí" para esta opción, ya que los datos de las particiones se perderán si no lo hace. Una vez hecho esto, el CM se reiniciará y reiniciará sus servicios, asegurándose de que pueda conectarse correctamente al HSM.

Una vez reiniciado, puede volver a iniciar sesión en la interfaz gráfica de usuario y ver que el HSM ya está integrado. Desde aquí, puede agregar HSM adicionales a la integración; solo necesita la contraseña de la partición, el número de serie, la etiqueta, la IP del HSM y el certificado del servidor HSM. ¡Ya ha integrado correctamente todos sus HSM con Cipher Trust Manager! 

Problemas conocidos y soluciones alternativas 

Problema: No se puede acceder al sello HSM desde la GUI de CM. 

La Solución: Si un error indica que no se puede obtener el sello HSM al intentar conectarse a la interfaz gráfica de usuario, es probable que haya un problema con el certificado de cliente. Existe un error poco común al crear certificados con vtl createcert Esto hace que se cree un certificado con una validez de 11 días en lugar de diez años. Cambie la extensión de su certificado de cliente a .cert y revise su fecha de vencimiento.

Necesitará acceder al CM mediante SSH y ejecutar el comando restablecimiento del sistema kscfgPerderá las configuraciones del HSM, pero conservará las de SSH y red. A partir de aquí, deberá volver a seguir los pasos para crear un cliente del HSM con un nuevo certificado. 

Problema: Dirección IP inalcanzable para la GUI 

La Solución: Si después de actualizar el software del CM no logra acceder a sus direcciones IP, deberá configurar la misma dirección IP en cada interfaz hasta encontrar la adecuada. El problema es que, al actualizar de la versión 2.0 a la 2.9, se produce un error que puede cambiar la dirección MAC de las interfaces de red a direcciones incorrectas.

Pueden decir que son la interfaz 1 o 0, pero en realidad son la interfaz 2 o 3. Esto se puede solucionar probando la misma dirección IP en cada interfaz hasta que funcione correctamente y puedas conectarte a ella.  

Conclusión 

Como mencioné, no entramos en detalles aquí sobre la configuración general del HSM y CM. Puede hacerlo usted mismo o con nuestra ayuda. Para contactarnos y obtener ayuda con la configuración, visite nuestro sitio web. www.encryptionconsulting.comPodemos ayudar con las evaluaciones, la planificación y la implementación de HSM, PKI, CM y asesoramiento sobre cifrado.

Descubra nuestra

Blogs relacionados

Por qué la confianza postcuántica comienza dentro del hardware

Por qué la confianza postcuántica comienza dentro del hardware

30 de septiembre de 2025
Los 5 errores más comunes que se deben evitar en la ceremonia de firma de claves de CA raíz

Los 5 errores más comunes que se deben evitar en la ceremonia de firma de claves de CA raíz

12 de septiembre de 2025
Ceremonia de la llave

Dentro de la Ceremonia de Llaves: PKI, HSM, el Proceso, las Personas y por qué es Importante

24 de agosto de 2025

Explore

Más temas