Säkerhetskopiera viktigt material med Luna 7 Backup HSM

Säkerhetskopierade HSM:er är en viktig del av ditt nyckellagringsekosystem. De kan användas för att lagra säkerhetskopior av dina kryptografiska nycklar som lagras på nätverksanslutna HSM:er. Det här dokumentet vägleder dig i konfigurationen. Luna 7 säkerhetskopiering HSM.

För att konfigurera en Luna 7-säkerhetskopiering HSM För säkerhetskopiering av befintligt kryptografiskt material har du två alternativ: Du kan ansluta direkt till USB-gränssnittet på ett nätverksanslutet HSM apparaten, eller så kan du ansluta till en USB-port på Luna 7-klienten. Du behöver lösenorden och/eller behörighetsnycklarna som är kopplade till partitionerna (inklusive administratörspartitionen) och domänen för att kunna utföra någon form av säkerhetskopiering, så ha dessa material redo, inklusive din behörighetsnycklar om du har en.

Pedbarnsbaserade HSM:er

Personbaserade HSM:er använder ett kvorum av personnycklar för att skydda kryptografisk data. De använder också PED:er för att möjliggöra lokala eller fjärrstyrda administrationsfunktioner. Du behöver dina befintliga domännycklar (röda) och kryptoofficernycklar (svarta).

Du behöver nya eller befintliga säkerhetsnycklar (blå). Om din säkerhetskopiering ska utföras på distans behöver du de orange nycklarna från ditt befintliga nätverk. HSMVi rekommenderar inte återanvändning av Remote Ped Vector-nycklar (orange) mellan din befintliga nätverksanslutna HSM och säkerhetskopiering. HSMDetta beror på att medan nätverksanslutna HSM RPV-nycklar enkelt kan bytas ut av SO:n, motsvarar förlust av säkerhetskopior av HSM RPV-nyckel förlusten av all lagrad kryptografisk data.

Säkerhetskopiering via enhetens USB-port

1. Först måste du ta bort säkerhetskopian av HSM från säkert transportläge. För att göra det, anslut till en klientarbetsstation som kör LunaCM och utför följande steg i LunaCM.

   lunacm:> slot set -slot

   Obs: Använd administratörspartitionens plats-ID

   lunacm:> stm recover -randomuserstring

   Obs: Kontrollera om det finns ett e-postmeddelande från Thales för att hämta strängen

2. Anslut din säkerhetskopierade HSM och PED till andra USB-portar på enheten än USB-porten på PCIE-kortet. Se nedan för referens.

   

3. Anslut en arbetsstation med seriell-till-USB-kabeln till den seriella COM-porten (markerad med blått ovan). När den är ansluten, starta en Putty-session med anslutningstypen seriell över motsvarande COM-port. Du kan kontrollera Enhetshanteraren för att hitta rätt COM-portnummer.

   

4. Använd följande kommando i Putty (hädanefter kallat Lunash) och ha det returnerade HSM-serienumret till hands.

   lunash:> lista över säkerhetskopior av tokens

5. Använd sedan följande kommando för att upprätta en anslutning mellan apparatens lokala fjärr-PED-serverinstans och den fjärranslutna PED:n.

   lunash:> hsm ped connect -ip 127.0.0.1 -serial

6. LunaSH kommer att förse dig med ett engångslösenord för att upprätta en säker anslutning innan en orange RPV-nyckel initialiseras. Ange detta lösenord på PED-enheten innan du fortsätter med att skapa en RPV (orange) PED-nyckel. Skapa flera orange nycklar, eftersom de inte enkelt kan skapas på säkerhetskopierade HSM:er. Detta skiljer sig från nätverksanslutna HSM:er!

   lunash:> hsm ped vektor init -serial

7. Initiera säkerhetskopian av HSM med kommandot nedan. Tänk på att du MÅSTE återanvända domännycklarna (röda) från din befintliga HSM, annars fungerar inte kloning. För enkelhetens skull är det också ett alternativ att återanvända SO-nycklarna (blå).

   lunash:> token backup init -label -serie

8. Om FIPS-kompatibilitet krävs och redan är konfigurerat på den befintliga nätverksanslutna HSM:n, följ först avsnittet om FIPS-kompatibilitet här innan du fortsätter.
9. Använd följande kommando i LunaSH för att visa en lista över alla befintliga programpartitioner. Notera de partitioner du vill klona.

   lunash:> partitionslista

   Obs: Registrera partitionsnamn för kloning

10. Använd följande kommando för att klona partitionen för första gången till säkerhetskopian HSM

    lunash:>partition backup -partition -serie

    • Använd PED-tangenterna för att infoga den nya eller återanvända partitionen SO (blå) PED-nycklarna för att initiera säkerhetskopieringspartitionen.
    • Använd PED-koden för att ange partitionens SO (blå) PED-nycklar som du just skapade för säkerhetskopieringspartitionen för att logga in.
    • Använd PED-enheten för att infoga den/de nya eller återanvända PED-nycklarna för kryptoofficern (svart) för att initiera CO-rollen på säkerhetskopiapartitionen.
    • Använd PED:n för att infoga den/de nya eller återanvända domän-PED-nycklarna (röda) för källpartitionen för att initiera domänen på säkerhetskopian.
    • Använd PED-koden för att ange den/de svarta PED-nycklar för Crypto Officer som du just skapade för säkerhetskopieringspartitionen för att logga in.

Konfigurera Luna 7 säkerhetskopiering HSM FIPS-efterlevnad

1. I LunaCM Logga in som Backup HSM

   lunacm:> roll inloggning -namn så

2. Använd sedan det här kommandot för att ställa in policyn för efterlevnad av fips

   lunacm:> hsm changehsmpolicy -policy 55 -värde 1

   lunacm:> hsm showinfo

Återställ via enhetens USB-port

1. Anslut din säkerhetskopierade HSM och ped till andra USB-portar på enheten än USB-porten på PCIE-kortet. Se nedan för referens.

   

2. Anslut en arbetsstation med seriell-till-USB-kabeln till den seriella COM-porten (markerad med blått ovan). När den är ansluten, starta en Putty-session med anslutningstypen seriell över motsvarande COM-port. Du kan kontrollera Enhetshanteraren för att hitta rätt COM-portnummer.

   

3. Använd följande kommando i putty (hädanefter kallat lunash) och ha det returnerade HSM-serienumret till hands.

   lunash:> lista över säkerhetskopior av tokens

4. Visa listan över programpartitioner. Notera vilken partition du återställer till.

   lunash:> partitionslista

5. Visa en lista över befintliga säkerhetskopior på säkerhetskopians HSM. Inte den partition du vill återställa från.

   lunash:> partitionslista för säkerhetskopiering av tokens -seriell

6. Återställ partitionen med följande kommando. Använd add för att endast lägga till nytt innehåll, eller replace för att ersätta allt innehåll i partitionen.

   lunash:> partitionåterställning -partition -tokenpar -serie {-lägg till | -ersätt}

7. Om målpartitionen redan har aktiverats behöver du bara kryptoofficerens utmaningshemlighet. Annars följer du följande instruktioner med hjälp av tangenterna ped och ped.
   • Använd ped-enheten för att sätta in RPV:n (orange knapp) för mål-HSM:en för att initiera fjärranslutningen.
   • Använd ped-tangenten för att infoga Crypto Officer (svart nyckel) för målpartitionen.
   • Sätt in RPV:n (orange nyckel) för reserv-HSM med hjälp av fotgängaren.
8. Koppla bort fotgängaren med kommandot

   lunash:> hsm ped frånkoppling -seriell

Lösenordsbaserade HSM:er

Lösenordsbaserade HSM:er skyddar kryptografisk data med en serie lösenord som motsvarar olika användarroller på HSM:en. SO:n för HSM:en hanterar policyer och säkerhet för HSM:en. Domänsträngen används för kloning och måste matcha för att klona till en partition från en säkerhetskopiapartition, eller för HSM:er i en HA-grupp. Kryptoansvarig hanterar kryptografisk data inom en partition.

Säkerhetskopiering via enhetens USB-port

1. Först måste du ta bort säkerhetskopian av HSM från säkert transportläge. För att göra det, anslut till en klientarbetsstation som kör LunaCM och utför följande steg i LunaCM.

   lunacm:> slot set -slot

   Obs: Använd administratörspartitionens plats-ID

   lunacm:> stm recover -randomuserstring

   Obs: Kontrollera om det finns ett e-postmeddelande från Thales för att hämta strängen

2. Anslut din säkerhetskopierade HSM till andra USB-portar på enheten än USB-porten på PCIE-kortet. Se nedan för referens.

   

3. Anslut en arbetsstation med seriell-till-USB-kabeln till den seriella COM-porten (markerad med blått ovan). När den är ansluten, starta en Putty-session med anslutningstypen seriell över motsvarande COM-port. Du kan kontrollera Enhetshanteraren för att hitta rätt COM-portnummer.

   

4. Använd följande kommando i putty (hädanefter kallat lunash) och ha det returnerade HSM-serienumret till hands.

   lunash:> lista över säkerhetskopior av tokens

5. Initiera säkerhetskopian av HSM med kommandot nedan.

   lunash:> token backup init -label -serie

6. Om FIPS-kompatibilitet krävs och redan är konfigurerat på den befintliga nätverksanslutna HSM:n, följ först avsnittet om FIPS-kompatibilitet här innan du fortsätter.
7. Använd följande kommando i LunaSH för att visa en lista över alla befintliga programpartitioner. Notera de partitioner du vill klona.

   lunash:> partitionslista

8. Använd följande kommando för att klona partitionen för första gången till säkerhetskopian HSM

   lunash:>partition backup -partition -serie

   • Ange kryptoansvarigs lösenord för källpartitionen
   • Ange SO-lösenordet för säkerhetskopierings-HSM:en
   • Ange domänsträngen för den nya partitionen. Denna sträng bör matcha din befintliga domänsträng för att kunna säkerhetskopiera i framtiden.

Anpassningsbara HSM-lösningar

Få högkvalitativa HSM-lösningar och tjänster för att säkra dina kryptografiska nycklar.

Boka en demo

Konfigurera Luna 7 säkerhetskopiering HSM FIPS-efterlevnad

1. I LunaCM Logga in som Backup HSM

   lunacm:> roll inloggning -namn så

2. Använd sedan det här kommandot för att ställa in policyn för efterlevnad av fips

   lunacm:> hsm changehsmpolicy -policy 55 -värde 1

   lunacm:> hsm showinfo

Återställ via enhetens USB-port

1. Anslut din säkerhetskopierade HSM till andra USB-portar på enheten än USB-porten på PCIE-kortet. Se nedan för referens.

   

2. Anslut en arbetsstation med seriell-till-USB-kabeln till den seriella COM-porten (markerad med blått ovan). När den är ansluten, starta en Putty-session med anslutningstypen seriell över motsvarande COM-port. Du kan kontrollera Enhetshanteraren för att hitta rätt COM-portnummer.

   

3. Använd följande kommando i putty (hädanefter kallat lunash) och ha det returnerade HSM-serienumret till hands.

   lunash:> lista över säkerhetskopior av tokens

4. Visa listan över programpartitioner. Notera vilken partition du återställer till.

   lunash:> partitionslista

5. Visa en lista över befintliga säkerhetskopior på säkerhetskopians HSM. Inte den partition du vill återställa från.

   lunash:> partitionslista för säkerhetskopiering av tokens -seriell

6. Återställ partitionen med följande kommando. Använd add för att endast lägga till nytt innehåll, eller replace för att ersätta allt innehåll i partitionen.

   lunash:> partitionåterställning -partition -tokenpar -serie {-lägg till | -ersätt}

7. I denna ordning anger du: kryptoansvarigs lösenord för målpartitionen. Kryptoansvarigs lösenord för säkerhetskopieringspartitionen.

Slutsats

Säkerhetskopierade HSM:er låter dig vara lugn vid hårdvarufel och förluster relaterade till naturkatastrofer. Säkerhetskopierade HSM:er kan också användas för att lagra kryptografisk data för transport. Oavsett ditt användningsfall bör det vara effektivt och enkelt att använda din säkerhets-HSM med dessa instruktioner.

Säkerhetskopierade HSM:er är ett viktigt verktyg för att ge tillförlitlighet och återställningsfunktioner för dina kryptografiska data. Genom att följa instruktionerna kan du säkerhetskopiera data från din befintliga Luna 7-nätverks-HSM till en Luna 7-säkerhetskopia-HSM eller återställa data till en nätverks-HSM med hjälp av data som lagrats på en säkerhetskopierad HSM.