Cambios importantes en la configuración del módulo de seguridad de Web Gateway 10.1 hardware
Artículos técnicos ID:
KB94202
Última modificación: 2022-07-19 12:43:04 Etc/GMT
Entorno
Web Gateway (MWG) 10.1 y posteriores
Módulo de seguridad de hardware (HSM)
Resumen
- Con WG 10.1 , el software cliente de HSM Software Security World se ha actualizado a 12.60. partir de 12.40 esta actualización es compatible con para los nShield nuevas nShield tarjetas HSM y nShield Appliances HSM.
- En el nuevo 12.60 software de controlador, el uso de la interfaz de OpenSSL CHIL para la generación de claves está en desuso y, en su lugar, se utiliza la interfaz de la PKCS11.
Las claves basadas en CHIL existentes deben redestinarse a la PKCS11 después de ampliar a la versión WG 10.1 , antes de utilizar la función HSM.
- Al importar las claves en WG, debe utilizarse el formato de URI PKCS11. Para obtener más información sobre el formato URI PKCS11, consulte este documento de IETF.
- El agente de HSM en WG ahora utiliza la versión de OpenSSL 1.1.1 en lugar de OpenSSL 1.0.2.
Los comandos de OpenSSL CLI se deben realizar ahora mediante OpenSSL1.1.
- Importante: Si su módulo HSM firmware no es compatible con esta versión del controlador, siga estos pasos:
- Debe obtener la versión de firmware necesaria de Entrust.
- Amplíe la firmware de HSM.
- Amplíe la instalación de WG.
- Le recomendamos encarecidamente que siga los procedimientos habituales de copia de seguridad que se indican en la documentación de HSM.
- Para obtener información sobre cómo configurar un cliente (WG) para nShield Connect / Solo los comandos de generación de claves de RFS y del mundo de la seguridad, consulte la documentación de la guía del usuario del proveedor.
- Para conocer los pasos necesarios para configurar HSM en WG 10.0.x y versiones anteriores, consulte la sección "Hardware Security Module" de la Web GatewayGuía del producto10.x.
- La nueva ampliación de controladores cambia la generación de claves, la importación y el uso en su solución de HSM de WG. En las secciones siguientes se describen estos cambios en detalle con ejemplos.
Solución
1
Configurar nShield Connect/Solo desde Entrust (anteriormente nCipher ):
Redestinando claves de " hwcrhk" basadas en CHIL existentes
Las claves basadas en el motor de CHIL existentes no funcionan directamente con WG 10.1. después de ampliar a la versión WG 10.1 . debe redestinar estas claves PKCS11:
Escriba /opt/nfast/bin/generatekey --retarget [OPTIONS] APPNAME [from-application=appname] [from-ident=keyident] y pulse Intro.
For example, /opt/nfast/bin/generatekey –retarget
[root@mwgappl bin]# /opt/nfast/bin/generatekey --retarget -m1 pkcs11 from-application=hwcrhk from-ident=rsa-mwg1
plainname: Key name? [] > new_rsa-mwg1
key generation parameters:
operation Operation to perform retarget
application Application pkcs11
slot Slot to read cards from 0
verify Verify security of key yes
from-application Source application hwcrhk
from-ident Source key identifier rsa-mwg1
plainname Key name new_rsa-mwg1
Loading `mwgapp5500d':
Module 1: 0 cards of 1 read
Module 1 slot 0: `mwgapp5500d' #3
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc2e4dbdc237c861ed33a176ee0092bb657d909ab0-e65cdd7e70cf513153b540cffb114d1559fa7307
Importante: Consulte la documentación de la guía del usuario de HSM para obtener detalles completos sobre el uso del generatekey --retarget comando.
Generando claves privadas
Cuando se instala un nuevo nfast controlador, es necesario generar las claves de la aplicación PKCS11. Las claves de tipo de hwcrhk aplicación ya no son compatibles.
Para generar una nueva clave, escriba /opt/nfast/bin/generatekey --generate [OPTIONS] APPNAME [NAME=VALUE ...] y pulse Intro.
For example, /opt/nfast/bin/generatekey pkcs11
[root@mwgappl bin]# /opt/nfast/bin/generatekey pkcs11
protect: Protected by? (token, module) [token] >
recovery: Key recovery? (yes/no) [yes] >
type: Key type? (DES3, DH, DHEx, DSA, HMACSHA1, HMACSHA256, HMACSHA384,
HMACSHA512, RSA, DES2, AES, Rijndael, Ed25519, X25519) [RSA]
>
size: Key size? (bits, minimum 1024) [2048] >
OPTIONAL: pubexp: Public exponent for RSA key (hex)? []
>
plainname: Key name? [] > test_card_key1
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
key generation parameters:
operation Operation to perform generate
application Application pkcs11
protect Protected by token
slot Slot to read cards from 0
recovery Key recovery yes
verify Verify security of key yes
type Key type RSA
size Key size 2048
pubexp Public exponent for RSA key (hex)
plainname Key name test_card_key1
nvram Blob in NVRAM (needs ACS) no
Loading `mwgsolo':
Module 1: 0 cards of 1 read
Module 1 slot 0: `mwgsolo' #1
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully generated.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc23c57899105f07825044cd406347da6009184fb9-6271a944ede6ce655dc39ca15ed7d7a7cea1b9ea
Importando claves privadas (opcional)
Si ya dispone de una clave privada y desea importarla al HSM:
Escriba /opt/nfast/bin/generatekey --import pkcs11 y pulse Intro.
For example:
[root@mwgappl bin]# /opt/nfast/bin/generatekey --import pkcs11 pemreadfile=/root/key.pem plainname=imported_pkcs11
type: Key type? (DES3, RSA, DES2) [RSA] >
logkeyusage: Log key usage? (yes/no) [no] >
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
key generation parameters:
operation Operation to perform import
application Application pkcs11
verify Verify security of key yes
type Key type RSA
logkeyusage Log key usage no
pemreadfile PEM file containing RSA key /root/key.pem
plainname Key name imported_pkcs11
nvram Blob in NVRAM (needs ACS) no
Key successfully imported.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_ua36b73b72e6af772916cca9385f665576f327684d
Rellene los campos adecuados para la importación, tomando nota del identificador de clave, ya que es necesario en pasos posteriores.
Creación de una solicitud de firma de certificado (CSR)
Si crea una nueva clave privada en el mundo de la seguridad de HSM para obtener un certificado firmado, debe generar un CSR.
Para generar un CSR mediante una de las claves recién protegidas, utilice el motor de OpenSSL y los comandos req.
Sustituya KEYIDENTIFIER por el URI PKCS11 correspondiente a la clave, según el RFC de la combinación de URI de PKCS # 11. Consulte esta RFC.
Nota: Utilice OpenSSL 1.1.1 para realizar todas las operaciones de OpenSSL.
Por ejemplo:
[root@mwg ~] openssl1.1
OpenSSL> engine -pre MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so pkcs11
OpenSSL> req -engine pkcs11 -keyform engine -key KEYIDENTIFIER -new -x509 -out FILENAME.crt
Example session and output:
[root@mwgappl bin]# openssl1.1
OpenSSL> engine -pre MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so pkcs11
(pkcs11) pkcs11 engine
[Success]: MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so
OpenSSL> req -engine pkcs11 -keyform engine -key "pkcs11:object= new_rsa-mwg1" -new -x509 -out pkcs11cert.crt
engine "pkcs11" set.
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:KA
Locality Name (eg, city) [Default City]:BLR
Organization Name (eg, company) [Default Company Ltd]:MCAFEE
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
OpenSSL> exit
[root@mwgappl bin]#
MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so Especifica la ruta del módulo PCKS11 proporcionada por la Entrust.
Ejemplos de URI de PKCS # 11:
Nota: taken-name es la etiqueta de token en la que se almacena la clave, y el valor PIN es la frase de contraseña de las claves privadas protegidas con la tarjeta de operador (OCS). Para las claves protegidas por el módulo, utilice el URI de PKCS 11:
pkcs11:object=pkcs11_rsa_mwg
Para las claves protegidas de OCS, utilice el URI de PKCS11:
pkcs11:token=<token-name>;object=pkcs11_rsa_key;type=private;pin-value=<xxxxx>
NOTAS:
- El URI de PCKS 11 viene definido por esta RFC.
- El URI debe estar formado en función de dónde se almacene el objeto en el HSM, por lo que no hay un único formato para el URI.
Para el esquema de URI, consulte este documento RFC.
- Este formato no está definido por WG, sino por RFC y cómo nCipher HSM implementa su interfaz PKCS11.
Consulte la guía del usuario de nCipher para obtener consejos sobre los campos necesarios para el URI.
- Al agregar esta clave en la interfaz de usuario de WG, debe prefijarla con PKCS11:
Por ejemplo: PKCS11:
Cargando los identificadores de clave privada en la interfaz de usuario de MWG
Para que WG utilice las claves del mundo de la seguridad de HSM, debe enumerar las claves disponibles en la interfaz de usuario.
Haga clic en configuración, módulo de seguridad de hardware y agregue todos los identificadores de clave en la sección claves que cargar :
El formato para agregar las claves es <engine-label>:<pkcs11-URI>
Aquí la etiqueta del motor es pkcs11 . Esta etiqueta informa a WG de que las claves suministradas son y que solo se pkcs11 aplican a las claves de pkcs11 tipo.
Por ejemplo, si pcks11 URI se encuentra pkcs11:object=pkcs11_rsa_mwg en el administrador de WG, la cadena de clave que se va a agregar es pkcs11:pkcs11:object=pkcs11_rsa_mwg .
Otros pasos que se deben realizar para la frase de contraseña y las claves privadas protegidas por OCS tras configurar el administrador de MWG:
- Abra una conexión de Shell a WG (SSH).
- Escriba /opt/mwg/bin/hsmagent -c y pulse Intro.
El comando solicita los secretos necesarios para cargar claves privadas protegidas de forma especial. Debe ejecutarse después de cada ampliación y reiniciar.
A continuación, la consola guía o solicita al administrador de cada identificador declarado que introduzca las frases de contraseña o inserta las tarjetas inteligentes necesarias del OCS en el HSM.
Además, puede inspeccionar hsmagent.errors.log para ver si hay errores inesperados:
- Desde el Manager de WG:
- Haga clic en Troubleshooting, archivos de registro.
- Abra mwg-errors y vea la hsmagent.errors.log .
- En la línea de comandos de appliance:
- Abra una sesión de línea de comandos.
- Vaya a /opt/mwg/log/mwg-errors.
- Ver la hsmagent.errors.log .
Solución
2
Configuración de Gemalto/Luna/SafeNet Network HSM
Los pasos de configuración de SafeNet HSM siguen siendo los mismos en esta versión, excepto en el uso de OpenSSL 1.1.1.
Por ejemplo, para generar un par de clave-certificado:
openssl1.1 req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|
