Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Hårdvarusäkerhetsmodul

Hur integrerar man en Thales-hårdvarusäkerhetsmodul och en CipherTrust Manager: lokalt?

Postat avRiley Dickens 08 minuter
Thales HSM och en Ciphertrust Manager på plats
Innehållsförteckning

När man arbetar med olika säkerhetsprodukter är en av de många enheter man stöter på Hårdvarusäkerhetsmoduler eller HSM:er. HSM:er är enheter utformade för att säkert lagra krypteringsnycklar för användning av applikationer eller användare. Thales Luna HSM kan köpas som en lokal, molnbaserad eller on-demand-enhet, men vi kommer att fokusera på on-demand-versionen.

Ett annat alternativ för Thales Luna HSM är en PED-autentiserad version kontra den lösenordsautentiserade versionen. Den PED-autentiserade hårdvarusäkerhetsmodulen använder en PED-enhet med märkta nycklar för roller inom HSM, med PIN-koder som korrelerar med PED-nycklarna. Detta är ett sätt att skapa rollseparation mellan de olika rollerna på HSM. Den lösenordsautentiserade versionen kräver endast ett inmatat lösenord, och en PED-enhet krävs inte. Denna guide kan användas för båda typerna av HSM.  

CipherTrust Manager från Thales fungerar som en centraliserad nyckelhanteringsenhet som gör det möjligt för användare att generera, hantera, förstöra, exportera och importera krypteringsnycklar för klient- och applikationsbruk. Tillsammans med CipherTrust Manager (CM) kan en HSM arbeta som lagrar de nycklar som CM kommer att använda.

CM:n har samma alternativ som Luna HSM, men om den använda HSM:n är en PED-autentiserad HSM måste även CM:n vara PED-autentiserad. Samma regel gäller för lösenordsautentiserade HSM:er. Innan vi går vidare till integrationsstegen finns det några förintegrationssteg som måste diskuteras.  

Steg före integration 

Innan man integrerar en HSM och ett CM måste några steg utföras i förväg. Den viktigaste uppgiften att slutföra i förväg är att säkerställa att både HSM och CM har konfigurerats fullständigt. Detta inkluderar nätverkskonfiguration, SSH-konfiguration och NTP-serverinstallation.

När man integrerar en hårdvarusäkerhetsmodul och en CipherTrust Manager måste de använda samma NTP-server, eller Network Time Protocol, så att tiderna är lika mellan de två enheterna. Dessutom måste HSM:en vara nåbar över nätverket av CM:en. Det betyder att CM:en och HSM:en måste vara på samma delnätverk så att pingning och åtkomst till HSM:en kan göras från CM:en.

Det är också viktigt att ha fjärråtkomst till HSM och CM, eftersom det kan bli överväldigande att sitta i ett datacenter med CM och HSM, så det är avgörande att kunna nå enheterna på distans. Vi kommer inte att gå igenom hur man konfigurerar en HSM och CM i den här guiden, eftersom det är en lång och komplicerad process som du kan kontakta www.krypteringskonsulting.com för hjälp med. Istället kommer vi att fokusera på de viktigaste stegen i processen att integrera en hårdvarusäkerhetsmodul och en CipherTrust Manager.

Förutsättningar

När du arbetar dig igenom dessa integrationssteg vill du först säkerställa att ett antal olika element är på plats och fungerar korrekt. Detta börjar med att säkerställa att CM kan nå HSM. Detta kan göras genom ett antal steg, men det enklaste är att SSH:a in i CM och pinga HSM:ens IP-adress. Detta gör att du kan vara säker på att kommunikationen mellan HSM och CM fungerar korrekt.

Ett annat steg är att se till att båda enheterna är uppdaterade till de senaste program- och firmwareversionerna. Detta säkerställer att alla säkerhetsuppdateringar som behöver implementeras är implementerade. Ett sista steg är att se till att NTP-servern fungerar korrekt med båda enheterna. Utan att NTP-servrarna fungerar korrekt kommer integrationen av de två enheterna att misslyckas.  

HSM-integrationssteg 

För att börja integrera HSM och CM måste certifikat först skapas. Detta kan göras via Lunaclient som används med HSM. Denna programvara laddas ner från Thales Knowledge Center när du använder en kundsupportportal. När Lunaclient har laddats ner måste du köra följande kommando: 

cd “C:\Programfiler\Safenet\lunaclient” 

Härifrån kan du köra kommandot vtl createcert -n . Detta skapar ett certifikat och en privat nyckel i C:\Programfiler\Safenet\lunaclient\cert\klient katalog. Från samma lunaclient-katalog, kommandot pscp.exe admin@ :server.pem server_ .pem bör köras för varje HSM som integreras.

Detta kommer att överföra servercertifikaten för varje HSM till lunaklient katalogen under namnet server_ .pem. Vi anger ett annat namn än server.pem endast eftersom om det finns flera HSM:er som integreras, kommer de gamla server.pem-certifikaten att ersättas med de nya som importeras. Nu när du har all denna information behöver vi hämta partitionsetiketten och partitionsserienumret för de partitioner som är associerade med CM:n. Detta görs genom att SSH:a in i HSM via kommandot ssh-admin@ .

När man är inloggad kan kommandot par list köras för att visa alla olika partitioner på HSM, serienumren och partitionsetiketterna. När dessa har antecknats är det sista steget att göra CM:n till en klient för HSM via det certifikat vi har skapat. Detta kan göras genom att överföra certifikatfilen från klientenheten till HSM med följande kommando från lunaklient katalogen:  

pscp.exe ./cert/client/ .pem admin@

Nu när klientcertifikatet finns på HSM måste klienten registreras med kommandot klientregister -n -h . Nu när klienten har registrerats måste en partition tilldelas klienten via kommandot

klienttilldelningspartition -c -p .

Dessa steg bör utföras för varje HSM som integreras.  

Anpassningsbara HSM-lösningar

Få högkvalitativa HSM-lösningar och tjänster för att säkra dina kryptografiska nycklar.

Boka en demo

Steg för CM-integration 

Nu när CM har ställts in som en klient för HSM måste vi ansluta dessa filer direkt till CM. För att göra detta måste vi logga in på CipherTrust Managers grafiska gränssnitt via en av de IP-adresser som konfigurerades under nätverkskonfigurationen. När vi går till webbsidan https://<IP of the CM>, vi kan logga in och gå till Administratörsinställningar>HSM fliken.

Härifrån följer vi stegen allt eftersom de uppmanas. Vi behöver ange HSM:s IP-adress, HSM-servercertifikatet, både klientcertifikatet och nyckeln, partitionsetiketten och partitionens serienummer. För certifikaten måste du öppna, kopiera och klistra in innehållet i dessa filer i det grafiska gränssnittet. Dessutom måste lösenordet för Crypto Officer för partitionen anges.  

När dessa har angetts kommer det grafiska gränssnittet att fråga om du vill replikera nycklarna i partitionen över hela miljön. Du bör välja ja till det här alternativet, eftersom data i partitionerna kommer att gå förlorade om du inte gör det. När detta har gjorts kommer CM att starta om sig själv och sina tjänster, vilket säkerställer att den kan ansluta till HSM korrekt.

När omstarten har skett kan du logga in i det grafiska gränssnittet igen och se att HSM nu är integrerat. Härifrån kan du lägga till ytterligare HSM:er till integrationen, vilket bara kräver partitionslösenord, serienummer, etikett, HSM-IP och HSM-servercertifikat. Nu har du integrerat alla dina HSM:er med din Cipher Trust Manager! 

Kända problem och lösningar 

Problem: HSM-sigillet kan inte nås från CM GUI. 

Lösning: Om ett felmeddelande visar att HSM-sigillet inte kan hämtas när man försöker ansluta till det grafiska gränssnittet, är det troligtvis ett problem med klientcertifikatet. Det finns ett ovanligt fel när man skapar certifikat med vtl createcert vilket gör att ett certifikat skapas för 11 dagar istället för tio år. Ändra tillägget för ditt klientcertifikat till .cert och titta på certifikatets utgångsdatum.

Du måste SSH-a in i CM:n och köra kommandot kscfg systemåterställningDu kommer att förlora HSM-konfigurationerna, men du kommer att behålla SSH- och nätverkskonfigurationerna. Härifrån måste du följa stegen för att skapa en klient för HSM med ett nytt certifikat igen. 

Problem: IP-adressen kan inte nås för det grafiska gränssnittet 

Lösning: Om du inte verkar kunna nå dina IP-adresser efter att du uppdaterat programvaran för CM, måste du konfigurera samma IP-adress på varje gränssnitt tills du hittar rätt. Problemet är att när du uppdaterar från version 2.0 till version 2.9, finns det en bugg som kan ändra MAC-adressen för nätverksgränssnitten till felaktiga.

De kanske säger att de är gränssnitt 1 eller 0, men de är egentligen gränssnitt 2 eller 3. Detta kan åtgärdas genom att prova samma IP-adress på varje gränssnitt tills det fungerar korrekt och du kan ansluta till det.  

Slutsats 

Som jag nämnde gick vi inte in på detaljer här om den allmänna konfigurationen av HSM och CM. Dessa kan göras på egen hand eller med vår hjälp. För att kontakta oss för konfigurationshjälp eller assistans, gå till vår webbplats www.krypteringskonsulting.comVi kan hjälpa till med bedömningar, planering och implementering av HSM:er, PKI:er, CM:er och krypteringsrådgivning.

Upptäck vår

Relaterade bloggar

Varför post-kvantförtroende börjar inuti hårdvaran

Varför post-kvantförtroende börjar inuti hårdvaran

September 30, 2025

De 5 vanligaste misstag att undvika vid signering av root-CA-nycklar

De 5 vanligaste misstag att undvika vid signering av root-CA-nycklar

September 12, 2025

Nyckelceremoni

Inuti nyckelceremonin: PKI, HSM, processen, människorna och varför det är viktigt

August 24, 2025

Utforska

Fler ämnen