Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Hardwarebeveiligingsmodule

Hoe integreer je een Thales Hardware Security Module en een CipherTrust Manager: on-premises?

Posted byRiley Dickens 08 Minuten
Thales HSM en een Ciphertrust Manager op locatie
Inhoudsopgave

Bij het werken met verschillende beveiligingsproducten is een van de vele apparaten die u tegenkomt: Hardwarebeveiligingsmodules of HSM's. HSM's zijn apparaten die zijn ontworpen om encryptiesleutels veilig op te slaan voor gebruik door applicaties of gebruikers. De Thales Luna HSM kan worden aangeschaft als on-premises, cloudgebaseerd of on-demand apparaat, maar we richten ons op de on-demand versie.

Een andere optie voor de Thales Luna HSM is een PED-geauthenticeerde versie versus een versie met wachtwoordauthenticatie. De PED-geauthenticeerde Hardware Security Module gebruikt een PED-apparaat met gelabelde sleutels voor rollen binnen de HSM, met pincodes die corresponderen met de PED-sleutels. Dit is een manier om rolscheiding te creëren tussen de verschillende rollen in de HSM. De versie met wachtwoordauthenticatie vereist alleen een ingetypt wachtwoord; een PED-apparaat is niet vereist. Deze handleiding kan voor beide typen HSM's worden gebruikt.  

De CipherTrust Manager van Thales werkt als een gecentraliseerd sleutelbeheersysteem waarmee gebruikers encryptiesleutels kunnen genereren, beheren, vernietigen, exporteren en importeren voor client- en applicatiegebruik. Naast de CipherTrust Manager (CM) kan een HSM worden gebruikt die de sleutels opslaat die de CM gebruikt.

De CM beschikt over dezelfde opties als de Luna HSM. Als de gebruikte HSM echter een PED-geauthenticeerde HSM is, moet de CM ook PED-geauthenticeerd zijn. Dezelfde regel geldt voor wachtwoord-geauthenticeerde HSM's. Voordat we verdergaan met de integratiestappen, moeten we een paar pre-integratiestappen bespreken.  

Pre-integratiestappen 

Voordat u een HSM en CM integreert, moeten er een aantal stappen worden uitgevoerd. De belangrijkste taak die vooraf moet worden voltooid, is ervoor zorgen dat zowel de HSM als de CM volledig zijn geconfigureerd. Dit omvat de netwerkconfiguratie, SSH-configuratie en de NTP-serverconfiguratie.

Bij de integratie van een Hardware Security Module en een CipherTrust Manager moeten ze dezelfde NTP-server (Network Time Protocol) gebruiken, zodat de tijden tussen de twee apparaten hetzelfde zijn. Bovendien moet de HSM via het netwerk bereikbaar zijn voor de CM. Dit betekent dat de CM en de HSM zich op hetzelfde subnetwerk moeten bevinden, zodat pingen en toegang tot de HSM vanaf de CM mogelijk zijn.

Ook is externe toegang tot de HSM en CM belangrijk, aangezien het werken in een datacenter met de CM en HSM overweldigend kan zijn en het cruciaal is om de apparaten op afstand te kunnen bereiken. We zullen in deze handleiding niet ingaan op het configureren van een HSM en CM, aangezien dit een lang en complex proces is waarvoor u contact met ons kunt opnemen. www.encryptionconsulting.com voor hulp hierbij. In plaats daarvan zullen we ons concentreren op de belangrijkste stappen in het proces van het integreren van een Hardware Security Module en een CipherTrust Manager.

Pre-Benodigdheden

Bij het doorlopen van deze integratiestappen wilt u er eerst voor zorgen dat een aantal verschillende elementen aanwezig zijn en goed werken. Dit begint met ervoor te zorgen dat de CM de HSM kan bereiken. Dit kan via verschillende stappen, maar de eenvoudigste is via SSH verbinding maken met de CM en het IP-adres van de HSM pingen. Zo weet u zeker dat de communicatie tussen de HSM en de CM correct verloopt.

Een andere stap is ervoor te zorgen dat beide apparaten zijn bijgewerkt naar de nieuwste software- en firmwareversies. Dit zorgt ervoor dat alle benodigde beveiligingspatches worden geïmplementeerd. Een laatste stap is ervoor te zorgen dat de NTP-server correct werkt op beide apparaten. Zonder een correcte werking van de NTP-servers mislukt de integratie van de twee apparaten.  

HSM-integratiestappen 

Om de HSM en CM te integreren, moeten eerst certificaten worden aangemaakt. Dit kan via de Lunaclient die met de HSM wordt gebruikt. Deze software kan worden gedownload van het Thales Knowledge Center wanneer u inlogt via de klantenserviceportal. Nadat de Lunaclient is gedownload, moet u de volgende opdracht uitvoeren: 

cd “C:\Program Files\Safenet\lunaclient” 

Vanaf hier kunt u de opdracht uitvoeren vtl createcert -n . Hiermee wordt een certificaat en een persoonlijke sleutel in de C:\Program Files\Safenet\lunaclient\cert\client directory. Vanuit dezelfde lunaclient-directory, de opdracht pscp.exe admin@ :server.pem server_ .pem moet worden uitgevoerd voor elke HSM die wordt geïntegreerd.

Hiermee worden de servercertificaten van elke HSM naar de lunaclient directory onder de naam van server_ .pem. We geven alleen een andere naam op dan server.pem, omdat bij integratie van meerdere HSM's de oude server.pem-certificaten worden vervangen door de nieuwe die worden geïmporteerd. Nu u al deze informatie hebt, moeten we het partitielabel en het serienummer van de partities ophalen die aan de CM zijn gekoppeld. Dit wordt gedaan door via het commando ssh in te loggen op de HSM ssh-beheerder@ .

Na het inloggen kan de commando-par-lijst worden uitgevoerd om alle verschillende partities op de HSM, de serienummers en de partitielabels weer te geven. Zodra deze zijn genoteerd, is de laatste stap om de CM een client van de HSM te maken via het certificaat dat we hebben aangemaakt. Dit kan worden gedaan door het certificaatbestand van het clientapparaat naar de HSM over te zetten met de volgende opdracht vanuit de lunaclient directory:  

pscp.exe ./cert/client/ .pem admin@

Nu het clientcertificaat zich op de HSM bevindt, moet de client worden geregistreerd met de opdracht cliëntregister -n -H . Nu de client succesvol is geregistreerd, moet er via de opdracht een partitie aan de client worden toegewezen

client toewijzingpartitie -c -P .

Deze stappen moeten worden uitgevoerd voor elke HSM die wordt geïntegreerd.  

Aanpasbare HSM-oplossingen

Profiteer van HSM-oplossingen en -services met hoge betrouwbaarheid om uw cryptografische sleutels te beveiligen.

Boek een adviesgesprek

CM-integratiestappen 

Nu de CM is ingesteld als client van de HSM, moeten we deze bestanden rechtstreeks met de CM verbinden. Hiervoor moeten we inloggen op de GUI van de CipherTrust Manager via een van de IP-adressen die tijdens de netwerkconfiguratie zijn ingesteld. Zodra we naar de webpagina gaan https://<IP of the CM>, we kunnen inloggen en naar de Beheerdersinstellingen>HSM Tab.

Vanaf hier volgen we de stappen zoals aangegeven. We moeten het HSM IP-adres, het HSM-servercertificaat, zowel het clientcertificaat als de sleutel, het partitielabel en het serienummer van de partitie opgeven. Voor de certificaten moet u de inhoud van deze bestanden openen, kopiëren en plakken in de GUI. Daarnaast moet u ook het Crypto Officer-wachtwoord voor de partitie opgeven.  

Zodra deze zijn verstrekt, vraagt ​​de GUI of u de sleutels in de partitie in de hele omgeving wilt repliceren. Selecteer 'Ja' bij deze optie, omdat de gegevens in de partities anders verloren gaan. Zodra dit is gebeurd, herstart de CM zichzelf en zijn services, zodat er correct verbinding kan worden gemaakt met de HSM.

Zodra de herstart is voltooid, kunt u weer inloggen op de GUI en zien dat de HSM nu geïntegreerd is. Van hieruit kunt u extra HSM's aan de integratie toevoegen. Hiervoor hebt u alleen het partitiewachtwoord, serienummer, label, HSM-IP en het HSM-servercertificaat nodig. U hebt nu al uw HSM's succesvol geïntegreerd met uw Cipher Trust Manager! 

Bekende problemen en oplossingen 

probleem: HSM-zegel niet bereikbaar vanuit de CM GUI. 

Oplossing: Als er een foutmelding verschijnt dat het HSM-zegel niet kan worden opgehaald bij een poging om verbinding te maken met de GUI, is er waarschijnlijk een probleem met uw clientcertificaat. Er is een zeldzame bug bij het aanmaken van certificaten met vtl createcert Hierdoor wordt een certificaat voor 11 dagen in plaats van tien jaar aangemaakt. Wijzig de extensie van uw clientcertificaat naar .cert en kijk naar de vervaldatum van het certificaat.

U moet via SSH verbinding maken met de CM en de opdracht uitvoeren kscfg-systeem resettenDe HSM-configuraties gaan verloren, maar de SSH- en netwerkconfiguraties blijven behouden. Vanaf hier moet u de stappen voor het aanmaken van een HSM-client met een nieuw certificaat opnieuw volgen. 

probleem: IP-adres onbereikbaar voor de GUI 

Oplossing: Als u na het updaten van de CM-software uw IP-adressen niet kunt bereiken, moet u op elke interface hetzelfde IP-adres instellen totdat u het juiste adres hebt gevonden. Het probleem is dat er bij het updaten van versie 2.0 naar versie 2.9 een bug is die de MAC-adressen van de netwerkinterfaces kan wijzigen naar de verkeerde.

Er wordt wel gezegd dat ze interface 1 of 0 zijn, maar in werkelijkheid zijn ze interface 2 of 3. Dit kun je oplossen door op elke interface hetzelfde IP-adres te proberen totdat het goed werkt en je er verbinding mee kunt maken.  

Conclusie 

Zoals ik al zei, zijn we hier niet in detail ingegaan op de algemene configuratie van de HSM en CM. Deze kunt u zelf doen of met onze hulp. Neem contact met ons op voor hulp bij de configuratie of assistentie. Ga naar onze website. www.encryptionconsulting.comWij kunnen helpen met de beoordeling, planning en implementatie van HSM's, PKI's, CM's en encryptie-advies.

Ontdek onze

Gerelateerde blogs

Waarom post-kwantumvertrouwen in de hardware begint

Waarom post-kwantumvertrouwen in de hardware begint

30 september 2025
Top 5 fouten die u moet vermijden bij het ondertekenen van uw root-CA-sleutel

Top 5 fouten die u moet vermijden bij het ondertekenen van uw root-CA-sleutel

12 september 2025
Sleutelceremonie

Binnen de sleutelceremonie: PKI, HSM, het proces, de mensen en waarom het belangrijk is

August 24, 2025

Bestudeer

Meer onderwerpen