Modifiche importanti nella configurazione del modulo di Web Gateway 10.1 sicurezza hardware
Articoli tecnici ID:
KB94202
Ultima modifica: 19/07/2022
Ambiente
Web Gateway (MWG) 10.1 e versioni successive
Modulo di sicurezza hardware (HSM)
Riepilogo
- Con WG 10.1 , il software HSM client software Security World è stato aggiornato da 12.40 a 12.60. questo aggiornamento supporta le nuove nShield schede HSM e nShield le nShield Appliance HSM.
- Nel nuovo 12.60 software driver, l'utilizzo dell'interfaccia OpenSSL Chil per la generazione delle chiavi è obsoleto e invece viene utilizzata l'interfaccia pkcs11.
Tutte le chiavi esistenti basate su CHIL devono essere ridestinate a PKCS11 dopo l'upgrade a WG 10.1 , prima di utilizzare la funzione HSM.
- Quando si importano le chiavi in WG, è necessario utilizzare il formato URI di PKCS11. Per ulteriori informazioni sul formato URI di PKCS11, consultare questo memo IETF.
- Il agent HSM su WG ora utilizza la versione OpenSSLl 1.1.1 invece di OpenSSL 1.0.2.
Tutti i comandi OpenSSL CLI devono ora essere eseguiti utilizzando OpenSSL1.1.
- Importante: Se il modulo HSM firmware non supporta questa versione del driver, attenersi alla procedura riportata di seguito:
- È necessario ottenere la versione firmware necessaria da Entrust.
- Effettuare l'upgrade del firmware HSM.
- Effettuare l'upgrade dell'installazione di WG.
- Si consiglia vivamente di seguire le procedure di backup regolari indicate nella documentazione di HSM.
- Per informazioni su come impostare un client (WG) per nShield Connect / Solo la creazione di comandi di generazione di chiavi di sicurezza e RFS, consultare la documentazione relativa alla guida dell'utente del fornitore.
- Per i passaggi per la configurazione di HSM in WG 10.0.x e versioni precedenti, consultare il "modulo di sicurezza hardware" sezione del Web GatewayGuida del prodotto10.x.
- Il nuovo upgrade del driver cambia la generazione, l'importazione e l'utilizzo delle chiavi nella soluzione di WG HSM. Le seguenti sezioni descrivono le modifiche in dettaglio con esempi.
Soluzione
1
Configura nShield Connect/Solo da Entrust (in precedenza nCipher ):
Ridestinazione delle chiavi " hwcrhk" basate su Chil esistenti
Le chiavi esistenti basate sul motore di CHIL non funzionano direttamente con WG 10.1. dopo l'upgrade a WG 10.1 , è necessario ridefinire queste chiavi pkcs11:
Digitare /opt/nfast/bin/generatekey --retarget [OPTIONS] APPNAME [from-application=appname] [from-ident=keyident] e premere INVIO.
For example, /opt/nfast/bin/generatekey –retarget
[root@mwgappl bin]# /opt/nfast/bin/generatekey --retarget -m1 pkcs11 from-application=hwcrhk from-ident=rsa-mwg1
plainname: Key name? [] > new_rsa-mwg1
key generation parameters:
operation Operation to perform retarget
application Application pkcs11
slot Slot to read cards from 0
verify Verify security of key yes
from-application Source application hwcrhk
from-ident Source key identifier rsa-mwg1
plainname Key name new_rsa-mwg1
Loading `mwgapp5500d':
Module 1: 0 cards of 1 read
Module 1 slot 0: `mwgapp5500d' #3
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc2e4dbdc237c861ed33a176ee0092bb657d909ab0-e65cdd7e70cf513153b540cffb114d1559fa7307
Importante: Per informazioni dettagliate sull'utilizzo del comando, consultare la documentazione della generatekey --retarget Guida dell'utente di HSM.
Generazione di chiavi private
Quando si installa un nuovo nfast driver, è necessario generare le chiavi dell'applicazione pkcs11. Le chiavi del tipo di hwcrhk applicazione non sono più supportate.
Per generare una nuova chiave, digitare /opt/nfast/bin/generatekey --generate [OPTIONS] APPNAME [NAME=VALUE ...] e premere INVIO.
For example, /opt/nfast/bin/generatekey pkcs11
[root@mwgappl bin]# /opt/nfast/bin/generatekey pkcs11
protect: Protected by? (token, module) [token] >
recovery: Key recovery? (yes/no) [yes] >
type: Key type? (DES3, DH, DHEx, DSA, HMACSHA1, HMACSHA256, HMACSHA384,
HMACSHA512, RSA, DES2, AES, Rijndael, Ed25519, X25519) [RSA]
>
size: Key size? (bits, minimum 1024) [2048] >
OPTIONAL: pubexp: Public exponent for RSA key (hex)? []
>
plainname: Key name? [] > test_card_key1
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
key generation parameters:
operation Operation to perform generate
application Application pkcs11
protect Protected by token
slot Slot to read cards from 0
recovery Key recovery yes
verify Verify security of key yes
type Key type RSA
size Key size 2048
pubexp Public exponent for RSA key (hex)
plainname Key name test_card_key1
nvram Blob in NVRAM (needs ACS) no
Loading `mwgsolo':
Module 1: 0 cards of 1 read
Module 1 slot 0: `mwgsolo' #1
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully generated.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc23c57899105f07825044cd406347da6009184fb9-6271a944ede6ce655dc39ca15ed7d7a7cea1b9ea
Importazione di chiavi private (facoltativo)
Se si dispone già di una chiave privata e si desidera importarla nell'HSM:
Digitare /opt/nfast/bin/generatekey --import pkcs11 e premere INVIO.
For example:
[root@mwgappl bin]# /opt/nfast/bin/generatekey --import pkcs11 pemreadfile=/root/key.pem plainname=imported_pkcs11
type: Key type? (DES3, RSA, DES2) [RSA] >
logkeyusage: Log key usage? (yes/no) [no] >
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
key generation parameters:
operation Operation to perform import
application Application pkcs11
verify Verify security of key yes
type Key type RSA
logkeyusage Log key usage no
pemreadfile PEM file containing RSA key /root/key.pem
plainname Key name imported_pkcs11
nvram Blob in NVRAM (needs ACS) no
Key successfully imported.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_ua36b73b72e6af772916cca9385f665576f327684d
Compilare i campi appropriati per l'importazione, prendendo nota dell'identificatore della chiave in quanto è necessario nei passaggi successivi.
Creazione di una richiesta di firma del certificato (CSR)
Se si crea una nuova chiave privata all'interno del mondo della sicurezza HSM per ottenere un certificato firmato, è necessario generare un CSR.
Per generare un CSR utilizzando una delle chiavi appena protette, utilizzare i comandi OpenSSL Engine e req.
Sostituire l'identificatore di chiave con l'URI di pkcs11 corrispondente al tasto, in base all'RFC dello schema di sistema URI PKCS # 11. Consultare la presente RFC.
Nota: Utilizzare OpenSSL 1.1.1 per eseguire tutte le operazioni OpenSSL.
Ad esempio:
[root@mwg ~] openssl1.1
OpenSSL> engine -pre MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so pkcs11
OpenSSL> req -engine pkcs11 -keyform engine -key KEYIDENTIFIER -new -x509 -out FILENAME.crt
Example session and output:
[root@mwgappl bin]# openssl1.1
OpenSSL> engine -pre MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so pkcs11
(pkcs11) pkcs11 engine
[Success]: MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so
OpenSSL> req -engine pkcs11 -keyform engine -key "pkcs11:object= new_rsa-mwg1" -new -x509 -out pkcs11cert.crt
engine "pkcs11" set.
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:KA
Locality Name (eg, city) [Default City]:BLR
Organization Name (eg, company) [Default Company Ltd]:MCAFEE
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
OpenSSL> exit
[root@mwgappl bin]#
MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so consente di specificare il percorso del modulo PCKS11 fornito da Entrust.
Esempi di URI PKCS # 11:
Nota: taken-name è l'etichetta token in cui è memorizzata la chiave e il valore PIN è la passphrase delle chiavi private protette da operator-card-set (OCS). Per le chiavi protette dal modulo, utilizzare l'URI PKCS 11:
pkcs11:object=pkcs11_rsa_mwg
Per le chiavi protette da OCS, utilizzare l'URI pkcs11:
pkcs11:token=<token-name>;object=pkcs11_rsa_key;type=private;pin-value=<xxxxx>
NOTE:
- L'URI di PCKS 11 è definito dalla presente RFC.
- L'URI deve essere formato in base al punto in cui l'oggetto viene memorizzato nell'HSM, pertanto non è presente un unico formato per l'URI.
Per lo schema URI, consultare la presente RFC.
- Questo formato non è definito da WG, ma dalla RFC e da come nCipher HSM implementa la sua interfaccia PKCS11.
Per informazioni sui campi necessari per l'URI, consultare la guida dell'utente di nCipher.
- Quando si aggiunge questa chiave nell'interfaccia utente di WG, è necessario anteporre il prefisso a pkcs11:
Ad esempio: pkcs11:
Caricamento degli identificatori della chiave privata nell'interfaccia utente di MWG
Per i WG che utilizzano le chiavi all'interno del mondo della sicurezza del HSM, è necessario enumerare le chiavi disponibili nell'interfaccia utente.
Fare clic su configurazione, modulo di sicurezza hardware e aggiungere tutti gli identificatori di chiave nella sezione chiavi da caricare :
Il formato per l'aggiunta delle chiavi è <engine-label>:<pkcs11-URI>
Qui l'etichetta del motore è pkcs11 . Questa etichetta informa il WG che le chiavi fornite sono pkcs11 e che è applicabile solo per le chiavi di pkcs11 tipo.
Ad esempio, se pcks11 URI è pkcs11:object=pkcs11_rsa_mwg in gestione WG, la stringa chiave da aggiungere è pkcs11:pkcs11:object=pkcs11_rsa_mwg .
Altri passaggi da eseguire per le chiavi private protette da passphrase o MultiCard-OCS dopo la configurazione di MWG Manager:
- Aprire una connessione shell al WG (SSH).
- Digitare /opt/mwg/bin/hsmagent -c e premere INVIO.
Il comando richiede i segreti necessari per caricare chiavi private appositamente protette. Deve essere eseguito dopo ogni aggiornamento e riavviare il sistema.
La console, quindi, guida o chiede all'amministratore per ogni identificatore dichiarato di immettere le passphrase o di inserire le smart card necessarie dell'OCS nell'HSM.
Inoltre, è possibile ispezionare il hsmagent.errors.log per verificare se sono presenti errori imprevisti:
- Dal Manager WG:
- Fare clic su Troubleshooting, , file di registro.
- Aprire mwg-errors e visualizzare il hsmagent.errors.log .
- Dalla riga di comando appliance:
- Aprire una sessione della riga di comando.
- Accedere a /opt/mwg/log/mwg-errors .
- Visualizzare il hsmagent.errors.log .
Soluzione
2
Configura Gemalto/Luna/SafeNet Network HSM
I passaggi di configurazione di SafeNet HSM rimangono gli stessi in questa versione, ad eccezione dell'utilizzo di OpenSSL 1.1.1.
Ad esempio, per generare una coppia chiave-Cert:
openssl1.1 req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|
