Modifications importantes apportées à la configuration du module de Web Gateway 10.1 sécurité matériel
Articles techniques ID:
KB94202
Date de la dernière modification : 2022-07-19 12:43:03 Etc/GMT
Environnement
Web Gateway (MWG) 10.1 et versions ultérieures
Module HSM (Hardware Security Module)
Synthèse
- Avec WG 10.1 , le logiciel HSM client Software Security a été mis à jour à partir 12.60.12.40 de cette mise à jour et prend en charge les nouvelles nShield cartes HSM et nShield les nShield Appliances HSM.
- Dans le nouveau 12.60 logiciel de pilote, l’utilisation de l’interface OpenSSL CHIL pour la génération de clés est obsolète et l’interface pkcs11 est utilisée à la place.
Toutes les clés basées sur CHIL existantes doivent être reciblées vers PKCS11 après la mise à niveau vers WG 10.1 , avant que vous n’utilisiez la fonction HSM.
- Lorsque vous importez les clés dans WG, le format d’URI PKCS11 doit être utilisé. Pour plus d’informations sur le format d’URI PKCS11, voir cette notede l’IETF.
- La agent HSM sur WG utilise désormais la version OpenSSL 1.1.1 au lieu d’OpenSSL 1.0.2.
.
Les commandes de l’interface de commande OpenSSL doivent désormais être exécutées à l’aide d’OpenSSL1.1.
- Important : Si le microprogramme du module HSM ne prend pas en charge la version du pilote, procédez comme suit :
- Vous devez obtenir la version de microprogramme nécessaire auprès de Entrust.
- Mettez à niveau le microprogramme HSM.
- Mettez à niveau votre installation WG.
- Nous vous recommandons vivement de suivre les procédures de sauvegarde régulières indiquées dans votre documentation HSM.
- Pour savoir comment configurer un client (WG) pour nShield Connect / Solo la création de commandes de génération de clés de sécurité World et RFS, reportez-vous à la documentation du Guide de l’utilisateur du fournisseur.
- Pour connaître les étapes de configuration de HSM dans WG 10.0.x et versions antérieures, reportez-vous à la section "Hardware Security Module" de la Web GatewayGuide Produit10.x.
- La nouvelle mise à niveau du pilote modifie la génération de clés, l’importation et l’utilisation dans votre solution de HSM HSM. Les sections suivantes décrivent ces modifications en détail avec des exemples.
Solution
1
Configurer nShield Connect/Solo à partir de Entrust (anciennement nCipher ) :
Reciblage des clés " hwcrhk" existantes basées sur CHIL
Les clés basées sur le moteur CHIL existantes ne fonctionnent pas directement avec WG 10.1. après la mise à niveau vers la version WG 10.1 , vous devez recibler ces clés pkcs11 :
Saisissez /opt/nfast/bin/generatekey --retarget [OPTIONS] APPNAME [from-application=appname] [from-ident=keyident] et appuyez sur entrée.
For example, /opt/nfast/bin/generatekey –retarget
[root@mwgappl bin]# /opt/nfast/bin/generatekey --retarget -m1 pkcs11 from-application=hwcrhk from-ident=rsa-mwg1
plainname: Key name? [] > new_rsa-mwg1
key generation parameters:
operation Operation to perform retarget
application Application pkcs11
slot Slot to read cards from 0
verify Verify security of key yes
from-application Source application hwcrhk
from-ident Source key identifier rsa-mwg1
plainname Key name new_rsa-mwg1
Loading `mwgapp5500d':
Module 1: 0 cards of 1 read
Module 1 slot 0: `mwgapp5500d' #3
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc2e4dbdc237c861ed33a176ee0092bb657d909ab0-e65cdd7e70cf513153b540cffb114d1559fa7307
Important : Pour plus d’informations sur l’utilisation de la generatekey --retarget commande, reportez-vous à la documentation du Guide de l’utilisateur HSM.
Génération de clés privées
Lorsque vous installez un nouveau nfast pilote, vous devez générer les clés de application pkcs11. Les clés de hwcrhk type application ne sont plus prises en charge. Pour générer une nouvelle clé, saisissez /opt/nfast/bin/generatekey --generate [OPTIONS] APPNAME [NAME=VALUE ...] et appuyez sur entrée.
For example, /opt/nfast/bin/generatekey pkcs11
[root@mwgappl bin]# /opt/nfast/bin/generatekey pkcs11
protect: Protected by? (token, module) [token] >
recovery: Key recovery? (yes/no) [yes] >
type: Key type? (DES3, DH, DHEx, DSA, HMACSHA1, HMACSHA256, HMACSHA384,
HMACSHA512, RSA, DES2, AES, Rijndael, Ed25519, X25519) [RSA]
>
size: Key size? (bits, minimum 1024) [2048] >
OPTIONAL: pubexp: Public exponent for RSA key (hex)? []
>
plainname: Key name? [] > test_card_key1
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
key generation parameters:
operation Operation to perform generate
application Application pkcs11
protect Protected by token
slot Slot to read cards from 0
recovery Key recovery yes
verify Verify security of key yes
type Key type RSA
size Key size 2048
pubexp Public exponent for RSA key (hex)
plainname Key name test_card_key1
nvram Blob in NVRAM (needs ACS) no
Loading `mwgsolo':
Module 1: 0 cards of 1 read
Module 1 slot 0: `mwgsolo' #1
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully generated.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc23c57899105f07825044cd406347da6009184fb9-6271a944ede6ce655dc39ca15ed7d7a7cea1b9ea
Importation de clés privées (facultatif)
Si vous disposez déjà d’une clé privée et que vous souhaitez l’importer dans le module HSM, procédez comme suit :
Saisissez /opt/nfast/bin/generatekey --import pkcs11 et appuyez sur entrée.
For example:
[root@mwgappl bin]# /opt/nfast/bin/generatekey --import pkcs11 pemreadfile=/root/key.pem plainname=imported_pkcs11
type: Key type? (DES3, RSA, DES2) [RSA] >
logkeyusage: Log key usage? (yes/no) [no] >
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
key generation parameters:
operation Operation to perform import
application Application pkcs11
verify Verify security of key yes
type Key type RSA
logkeyusage Log key usage no
pemreadfile PEM file containing RSA key /root/key.pem
plainname Key name imported_pkcs11
nvram Blob in NVRAM (needs ACS) no
Key successfully imported.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_ua36b73b72e6af772916cca9385f665576f327684d
Renseignez les champs appropriés pour l’importation, en prenant note de l’identificateur de la clé, tel qu’il est requis dans les étapes ultérieures.
Création d’une demande de signature de certificat (CSR)
Si vous créez une nouvelle clé privée dans le monde de la sécurité HSM pour obtenir un certificat signé, vous devez générer un CSR.
Pour générer une CSR à l’aide de l’une des clés récemment protégées, utilisez le moteur OpenSSL et les commandes req.
Remplacez le KeyIdentifier par l’URI pkcs11 correspondant à la clé, conformément à la norme de schéma d’URI PKCS # 11. voir cette RFC.
Remarque : Utilisez OpenSSL 1.1.1 pour effectuer toutes les opérations OpenSSL.
Par exemple :
[root@mwg ~] openssl1.1
OpenSSL> engine -pre MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so pkcs11
OpenSSL> req -engine pkcs11 -keyform engine -key KEYIDENTIFIER -new -x509 -out FILENAME.crt
Example session and output:
[root@mwgappl bin]# openssl1.1
OpenSSL> engine -pre MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so pkcs11
(pkcs11) pkcs11 engine
[Success]: MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so
OpenSSL> req -engine pkcs11 -keyform engine -key "pkcs11:object= new_rsa-mwg1" -new -x509 -out pkcs11cert.crt
engine "pkcs11" set.
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:KA
Locality Name (eg, city) [Default City]:BLR
Organization Name (eg, company) [Default Company Ltd]:MCAFEE
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
OpenSSL> exit
[root@mwgappl bin]#
MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so Spécifie le chemin d’accès au module PCKS11 fourni par la fonction Entrust.
Exemples d’URI PKCS # 11 :
Remarque : taken-name est l’étiquette de jeton dans laquelle la clé est stockée, et la valeur de code PIN est la phrase secrète des clés privées protégées par l’opérateur-carte-jeu (OCS).
Pour les clés protégées par le module, utilisez l’URI PKCS 11 :
pkcs11:object=pkcs11_rsa_mwg
Pour les clés protégées par OCS, utilisez l’URI pkcs11 :
pkcs11:token=<token-name>;object=pkcs11_rsa_key;type=private;pin-value=<xxxxx>
REMARQUES :
- L’URI PCKS 11 est défini par cette RFC.
- L’URI doit être formé en fonction de l’emplacement de stockage de l’objet dans le module HSM, de sorte qu’il n’existe pas de format unique pour l’URI.
Pour le schéma URI, voir cette RFC.
- Ce format n’est pas défini par WG, mais par la RFC et la manière dont nCipher HSM met en œuvre son interface PKCS11.
Reportez-vous au Guide de l’utilisateur nCipher pour obtenir des conseils sur la nécessité d’URI pour les champs.
- Lors de l’ajout de cette clé dans l’interface utilisateur WG, vous devez la faire précéder de pkcs11 :
Par exemple : pkcs11 :
Chargement des identificateurs de clé privée dans l’interface utilisateur MWG
Pour que WG puisse utiliser les clés dans le monde de la sécurité de HSM, vous devez énumérer les clés disponibles dans l’interface utilisateur. Cliquez sur Système, Hardware Security Module et ajoutez tous les identificateurs de clé dans la section clés à charger :
Le format d’ajout des clés est <engine-label>:<pkcs11-URI>
Ici, l’étiquette du moteur est pkcs11 . Cette étiquette indique à WG que les clés fournies sont pkcs11 valides et qu’elles ne s’appliquent qu’aux clés de pkcs11 type. Par exemple, si pcks11 l’URI se trouve pkcs11:object=pkcs11_rsa_mwg dans le gestionnaire WG, la chaîne de clé à ajouter est pkcs11:pkcs11:object=pkcs11_rsa_mwg .
Autres étapes à suivre pour la phrase secrète ou la multicarte-clés privées protégées par OCS après la configuration du gestionnaire MWG :
- Ouvrez une connexion de Shell vers WG (SSH).
- Saisissez /opt/mwg/bin/hsmagent -c et appuyez sur entrée.
La commande demande les secrets requis pour charger des clés privées spécialement protégées. Elle doit être exécutée après chaque mise à niveau et redémarrage.
La console reguide ou demande à l’administrateur de chaque identifiant déclaré d’entrer les phrases secrètes ou d’insérer les cartes à puce nécessaires de l’OCS dans le module HSM. De plus, vous pouvez vérifier hsmagent.errors.log si des erreurs inattendues se produisent :
- Dans la Manager WG :
- Cliquez sur Troubleshooting, puis sur fichiers journaux.
- Ouvrez mwg-errors et affichez le hsmagent.errors.log .
- A partir de la ligne de commande appliance :
- Ouvrez une session de ligne de commande.
- Accédez à /opt/mwg/log/mwg-errors.
- Affichez le hsmagent.errors.log .
Solution
2
Configurer Gemalto/Luna/SafeNet Network HSM
Les étapes de configuration de HSM SafeNet restent les mêmes dans cette version, à l’exception de l’utilisation d’OpenSSL 1.1.1.
Par exemple, pour générer une paire clé-certificat, procédez comme suit :
openssl1.1 req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|