Back-up-HSM's vormen een essentieel onderdeel van uw ecosysteem voor sleutelopslag. Ze kunnen worden gebruikt om back-ups van uw cryptografische sleutels op te slaan die zijn opgeslagen op netwerk-HSM's. Dit document begeleidt u bij het instellen ervan. Luna 7 back-up HSM.
Om een Luna 7-back-up in te stellen HSM Voor een back-up van bestaand cryptografisch materiaal heeft u 2 opties: U kunt rechtstreeks verbinding maken met de USB-interface op een netwerk HSM apparaat, of u kunt verbinding maken met een USB-poort op de Luna 7-client. U hebt de wachtwoorden en/of ped-sleutels nodig die gekoppeld zijn aan de partities (inclusief de beheerderspartitie) en het domein om een back-up te kunnen maken. Zorg dus dat u die materialen bij de hand hebt, inclusief uw ped-sleutel als u die hebt.
Ped-gebaseerde HSM's
Ped-gebaseerde HSM's gebruiken een quorum aan Ped-sleutels om cryptografische gegevens te beschermen. Ze maken ook gebruik van Pin Entry Devices (PED's) om lokale of externe beheerfuncties mogelijk te maken. U hebt uw bestaande Domain (rode) sleutels en Crypto Officer (zwarte) sleutels nodig.
U hebt nieuwe of bestaande Security Officer (blauwe) sleutels nodig. Als uw back-up op afstand wordt uitgevoerd, hebt u de oranje sleutels van uw bestaande netwerk nodig. HSMWe raden het hergebruik van Remote Ped Vector (oranje) sleutels tussen uw bestaande netwerkgekoppelde HSM en back-up af. HSMDit komt doordat, hoewel op het netwerk aangesloten HSM RPV-sleutels eenvoudig te vervangen zijn door de SO, het verlies van een back-up HSM RPV-sleutel gelijk staat aan het verlies van alle opgeslagen cryptografische gegevens.
Back-up via USB-poort van apparaat
- Eerst moet u de back-up-HSM uit de beveiligde transportmodus verwijderen. Maak hiervoor verbinding met een clientwerkstation waarop LunaCM draait en voer de volgende stappen uit in LunaCM.
lunacm:> slot set -slot
Let op: Gebruik de slot-ID van de beheerderspartitie
lunacm:> stm recover -randomuserstring
Let op: Controleer of er een e-mail van Thales is om de tekenreeks te verkrijgen
- Sluit uw back-up HSM en ped aan op USB-poorten op het apparaat, met uitzondering van de USB-poort op de PCIE-kaart. Zie hieronder ter referentie.
- Sluit een werkstation met de seriële-naar-USB-kabel aan op de seriële COM-poort (hierboven blauw gemarkeerd). Start na de verbinding een putty-sessie met verbindingstype serieel via de bijbehorende COM-poort. Controleer Apparaatbeheer om het juiste COM-poortnummer te vinden.
- Gebruik de volgende opdracht in putty (hierna aangeduid als lunash) en houd het back-up HSM-serienummer bij de hand dat is geretourneerd.
lunash:> token back-up lijst
- Maak vervolgens met behulp van de volgende opdracht een verbinding tussen de lokale externe PED-serverinstantie van het apparaat en de externe PED.
lunash:> hsm ped connect -ip 127.0.0.1 -serial
- LunaSH geeft u een eenmalig wachtwoord om een beveiligde verbinding tot stand te brengen voordat een oranje RPV-sleutel wordt geïnitialiseerd. Voer dit wachtwoord in op de PED voordat u verdergaat met het aanmaken van een (oranje) RPV-PED-sleutel. Maak meerdere oranje sleutels aan, aangezien deze niet eenvoudig kunnen worden aangemaakt op back-up-HSM's. Dit verschilt van netwerk-HSM's!
lunash:> hsm ped vector init -serial
- Initialiseer de back-up HSM met behulp van de onderstaande opdracht. Houd er rekening mee dat u de domeinsleutels (rood) van uw bestaande HSM MOET hergebruiken, anders werkt klonen niet. Voor de eenvoud is het ook mogelijk om de SO-sleutels (blauw) te hergebruiken.
lunash:> token backup init -label -serieel
- Als FIPS-naleving vereist is en dit al is ingesteld op de bestaande netwerk-HSM, dient u eerst het gedeelte over FIPS-naleving hier te volgen voordat u verdergaat.
- Gebruik de volgende opdracht in LunaSH om een lijst met alle bestaande applicatiepartities weer te geven. Noteer de partities die u wilt klonen.
lunash:> partitielijst
Let op: Partitienamen voor klonen vastleggen
- Gebruik de volgende opdracht om de partitie voor de eerste keer te klonen naar de back-up HSM
lunash:>partitie back-up -partitie -serieel
- Gebruik de ped om de nieuwe of hergebruikte partitie SO (blauwe) PED-sleutels in te voegen om de back-uppartitie te initialiseren.
- Gebruik het ped-pictogram om in te loggen en voer de SO (blauwe) PED-sleutel(s) in die u zojuist voor de back-uppartitie hebt gemaakt.
- Gebruik het ped-bestand om de nieuwe of hergebruikte Crypto Officer (zwarte) PED-sleutel(s) in te voeren om de CO-rol op de back-uppartitie te initialiseren.
- Gebruik het ped-bestand om de nieuwe of hergebruikte domein (rode) PED-sleutel(s) voor de bronpartitie in te voeren om het domein op de back-up te initialiseren.
- Gebruik het ped-bestand om in te loggen en voer de Crypto Officer (zwarte) PED-sleutel(s) in die u zojuist voor de back-uppartitie hebt gemaakt.
Luna 7-back-up configureren HSM FIPS-naleving
- In LunaCM inloggen als back-up HSM
lunacm:> rol login -naam dus
- Gebruik vervolgens deze opdracht om het FIPS-nalevingsbeleid in te stellen
lunacm:> hsm changehsmpolicy -beleid 55 -waarde 1
lunacm:> hsm showinfo
Herstellen via USB-poort van apparaat
- Sluit uw back-up HSM en ped aan op USB-poorten op het apparaat, met uitzondering van de USB-poort op de PCIE-kaart. Zie hieronder ter referentie.
- Sluit een werkstation met de seriële-naar-USB-kabel aan op de seriële COM-poort (hierboven blauw gemarkeerd). Start na de verbinding een putty-sessie met verbindingstype serieel via de bijbehorende COM-poort. Controleer Apparaatbeheer om het juiste COM-poortnummer te vinden.
- Gebruik de volgende opdracht in Putty (hierna aangeduid als Lunash) en houd het back-up HSM-serienummer dat is geretourneerd bij de hand
lunash:> token back-up lijst
- Geef de lijst met applicatiepartities weer. Let op de partitie waarnaar u herstelt.
lunash:> partitielijst
- Geef een lijst weer met bestaande back-ups op de back-up-HSM. Niet de partitie waarvan u wilt herstellen.
lunash:> token backup partitie lijst -serieel
- Herstel de partitie met de volgende opdracht. Gebruik 'add' om alleen nieuwe inhoud toe te voegen, of 'replace' om alle inhoud van de partitie te vervangen.
lunash:> partitie herstellen -partitie -tokenpar -serieel {-toevoegen | -vervangen}
- Als de doelpartitie al geactiveerd is, heb je alleen het geheim van de crypto-officier-uitdaging nodig. Anders volg je de volgende instructies met behulp van de toetsen ped en ped.
- Gebruik de ped om de RPV (oranje sleutel) voor de doel-HSM in te voegen om de externe verbinding te initiëren
- Gebruik de ped om de Crypto Officer (zwarte sleutel) voor de doelpartitie in te voegen
- Gebruik de ped om de RPV (oranje sleutel) voor de back-up HSM in te voegen.
- Koppel de ped los met behulp van het commando
lunash:> hsm ped disconnect -serial
Wachtwoordgebaseerde HSM's
Wachtwoordgebaseerde HSM's beschermen cryptografische gegevens met een reeks wachtwoorden die overeenkomen met verschillende rollen van gebruikers binnen de HSM. De SO voor de HSM beheert het beleid en de beveiliging ervan. De domeinstring wordt gebruikt voor klonen en moet overeenkomen om te klonen naar een partitie vanaf een back-uppartitie, of voor HSM's in een HA-groep. De Crypto Officer beheert cryptografische gegevens binnen een partitie.
Back-up via USB-poort van apparaat
- Eerst moet u de back-up-HSM uit de beveiligde transportmodus verwijderen. Maak hiervoor verbinding met een clientwerkstation waarop LunaCM draait en voer de volgende stappen uit in LunaCM.
lunacm:> slot set -slot
Let op: Gebruik de slot-ID van de beheerderspartitie
lunacm:> stm recover -randomuserstring
Let op: Controleer of er een e-mail van Thales is om de tekenreeks te verkrijgen
- Sluit uw back-up HSM aan op andere USB-poorten op het apparaat dan de USB-poort op de PCIE-kaart. Zie hieronder ter referentie.
- Sluit een werkstation met de seriële-naar-USB-kabel aan op de seriële COM-poort (hierboven blauw gemarkeerd). Start na de verbinding een putty-sessie met verbindingstype serieel via de bijbehorende COM-poort. Controleer Apparaatbeheer om het juiste COM-poortnummer te vinden.
- Gebruik de volgende opdracht in Putty (hierna aangeduid als Lunash) en houd het back-up HSM-serienummer dat is geretourneerd bij de hand
lunash:> token back-up lijst
- Initialiseer de back-up HSM met behulp van de onderstaande opdracht.
lunash:> token backup init -label -serieel
- Als FIPS-naleving vereist is en dit al is ingesteld op de bestaande netwerk-HSM, dient u eerst het gedeelte over FIPS-naleving hier te volgen voordat u verdergaat.
- Gebruik de volgende opdracht in LunaSH om een lijst met alle bestaande applicatiepartities weer te geven. Noteer de partities die u wilt klonen.
lunash:> partitielijst
- Gebruik de volgende opdracht om de partitie voor de eerste keer te klonen naar de back-up HSM
lunash:>partitie back-up -partitie -serieel
- Voer het wachtwoord van de crypto-officier in voor de bronpartitie
- Voer het SO-wachtwoord in voor de back-up HSM
- Geef de domeinstring voor de nieuwe partitie op. Deze string moet overeenkomen met uw bestaande domeinstring om in de toekomst een back-up te kunnen maken.
- In LunaCM inloggen als back-up HSM
lunacm:> rol login -naam dus
- Gebruik vervolgens deze opdracht om het FIPS-nalevingsbeleid in te stellen
lunacm:> hsm changehsmpolicy -beleid 55 -waarde 1
lunacm:> hsm showinfo
- Sluit uw back-up HSM aan op andere USB-poorten op het apparaat dan de USB-poort op de PCIE-kaart. Zie hieronder ter referentie.
- Sluit een werkstation met de seriële-naar-USB-kabel aan op de seriële COM-poort (hierboven blauw gemarkeerd). Start na de verbinding een putty-sessie met verbindingstype serieel via de bijbehorende COM-poort. Controleer Apparaatbeheer om het juiste COM-poortnummer te vinden.
- Gebruik de volgende opdracht in Putty (hierna aangeduid als Lunash) en houd het back-up HSM-serienummer dat is geretourneerd bij de hand
lunash:> token back-up lijst
- Geef de lijst met applicatiepartities weer. Noteer de partitie waarnaar u herstelt.
lunash:> partitielijst
- Geef een lijst weer met bestaande back-ups op de back-up-HSM. Niet de partitie waarvan u wilt herstellen.
lunash:> token backup partitie lijst -serieel
- Herstel de partitie met de volgende opdracht. Gebruik 'add' om alleen nieuwe inhoud toe te voegen, of 'replace' om alle inhoud van de partitie te vervangen.
lunash:> partitie herstellen -partitie -tokenpar -serieel {-toevoegen | -vervangen}
- Voer in deze volgorde het volgende in: het wachtwoord van de crypto-officer voor de doelpartitie. Het wachtwoord van de crypto-officer voor de back-uppartitie.
Luna 7-back-up configureren HSM FIPS-naleving
Herstellen via USB-poort van apparaat
Conclusie
Back-up-HSM's zorgen ervoor dat u zich geen zorgen hoeft te maken in geval van hardwarestoringen en verliezen als gevolg van natuurrampen. Back-up-HSM's kunnen ook worden gebruikt om cryptografische gegevens op te slaan voor transport. Wat uw toepassing ook is, het gebruik van uw back-HSM met deze instructies zal efficiënt en eenvoudig zijn.
Back-up-HSM's zijn een essentieel hulpmiddel voor het bieden van betrouwbaarheid en herstelfuncties voor uw cryptografische gegevens. Door de instructies te volgen, kunt u een back-up maken van gegevens van uw bestaande Luna 7-netwerk-HSM naar een Luna 7-back-up-HSM of gegevens herstellen naar een netwerk-HSM met behulp van gegevens die zijn opgeslagen op een back-up-HSM.
