Luna HSM-integratiehandleiding

  1. Installatiebestanden uitpakken

    • Pak setup-CodeSign-Luna.zip uit

      • Dit archief bevat de belangrijkste Luna-client- en configuratiebestanden.
      • Klik met de rechtermuisknop op het zip-bestand en kies Alles uitpakken.

    • Pak cvclient-min.zip uit in dezelfde map

      • Het bevat aanvullende client-side componenten die vereist zijn voor Luna-connectiviteit.
      • Pak de inhoud ervan rechtstreeks uit in setup-CodeSign-Luna (niet in een submap).
  2. Omgeving instellen

    • Open een beheerdersopdrachtprompt

      • Vereist voor het uitvoeren van omgevingsscripts met verhoogde rechten.

    • Navigeer naar de map en voer het volgende uit:

      setenv.cmd

      Stelt omgevingsvariabelen in die nodig zijn voor Luna-clientbewerkingen.

    • Controleer Luna Client HSM-verbinding

      lunacm
      • Hiermee opent u de opdrachtregeltool Luna waarmee u de beschikbaarheid en status van HSM kunt controleren.
      • Gebruik de opdracht 'partities' om beschikbare partities en labels te bekijken.
  3. Cygwin en SSL Directory instellen

    • Pak de Cygwin-map uit naar schijf C:

      • Biedt een Linux-achtige omgeving voor OpenSSL-bewerkingen.

    • Maak een SSL-map aan op schijf C:

      mkdir C:\\ssl

      Een tijdelijke aanduiding voor het opslaan van aangepaste SSL-configuraties of scripts.

    • Windows-systeemomgevingsvariabelen bijwerken

      • Zorgt ervoor dat OpenSSL-opdrachten de Cygwin SSL-binaries herkennen.
      • Voeg het volgende toe aan het pad: C:\\cygwin\\usr\\local\\ssl\\bin
  4. Wijzig het crystoki.ini-configuratiebestand

    • Open het bestand crystoki.ini

      • Hoofdconfiguratiebestand voor de cryptografische engine van de Luna-client.

    • Wijzig of voeg de onderstaande sectie toe:

                                                          [GemEngine] LibPath = C:\\Gebruikers\\Beheerder\\Bureaublad\\setup-CodeSign-Luna\\cryptoki.dll LibPath64 = C:\\Gebruikers\\Beheerder\\Bureaublad\\setup-CodeSign-Luna\\cryptoki.dll EnableDsaGenKeyPair = 1 EnableRsaGenKeyPair = 1 DisablePublicCrypto = 1 EnableRsaSignVerify = 1 EnableLoadPubKey = 1 EnableLoadPrivKey = 1 DisableCheckFinalize = 1 DisableEcdsa = 1 DisableDsa = 0 DisableRand = 0 EngineInit = "voorbeeld":0:0:passdev=console EnableLoginInit = 1
      • Vervang “voorbeeld” door de partitienaam verkregen via lunacm.
      • Zorg ervoor dat het pad naar cryptoki.dll correct is voor zowel LibPath als LibPath64.
  5. Verifieer OpenSSL en Gem Engine

    • Open een nieuwe opdrachtprompt

      • Test de gem-engine om te bevestigen dat de configuratie succesvol is.

        openssl engine gem -t

    • Genereer een RSA-sleutel met behulp van de HSM

      • Maakt gebruik van de HSM-ondersteunde engine om veilig een 2048-bits RSA-privésleutel te genereren.

        openssl genrsa -engine gem 2048
  6. HSM-logging in-/uitschakelen

    • Loggingondersteuning inschakelen

      • Schakelt gedetailleerde registratie van cryptografische bewerkingen in voor probleemoplossing.

        vtl cklogsupport inschakelen

    • Loggingondersteuning uitschakelen

      • Schakelt logboekregistratie uit wanneer dit niet meer nodig is.

        vtl cklogsupport uitschakelen