Alterações importantes na configuração do módulo de segurança de Web Gateway 10.1 hardware
Última modificação: 19/07/2022
Aviso de isenção de responsabilidade
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas:
Veja como um ecossistema XDR que está sempre se adaptando pode energizar sua empresa.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
Faça download do relatório Magic Quadrant, que avalia os 19 fornecedores com base na capacidade de execução e na abrangência de visão.
De acordo com a Gartner, “o XDR é uma tecnologia emergente que pode oferecer melhor prevenção, detecção e resposta a ameaças”.
Quais ameaças à segurança cibernética devem estar no radar das empresas em 2022?
A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Duas líderes confiáveis em segurança cibernética se uniram para criar um mundo digital resiliente.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Alterações importantes na configuração do módulo de segurança de Web Gateway 10.1 hardware
Artigos técnicos ID:
KB94202
Última modificação: 19/07/2022 Ambiente
Web Gateway (MWG) 10.1 e versões posteriores Módulo de segurança de hardware (HSM) Resumo
Solução 1
Configurar Redirecionamento de chaves de " As chaves baseadas no mecanismo CHIL existentes não funcionam diretamente com a WG 10.1. depois que você upgrade para a WG 10.1 , é necessário redirecionar essas chaves PKCS11: Digite plainname: Key name? [] > new_rsa-mwg1 key generation parameters: operation Operation to perform retarget application Application pkcs11 slot Slot to read cards from 0 verify Verify security of key yes from-application Source application hwcrhk from-ident Source key identifier rsa-mwg1 plainname Key name new_rsa-mwg1 Loading `mwgapp5500d': Module 1: 0 cards of 1 read Module 1 slot 0: `mwgapp5500d' #3 Module 1 slot 0:- passphrase supplied - reading card Card reading complete. Key successfully retargetted. Importante: Consulte a documentação do guia do usuário do HSM para obter detalhes completos sobre o uso do Geração de chaves privadas Ao instalar um novo Para gerar uma nova chave, digite protect: Protected by? (token, module) [token] > recovery: Key recovery? (yes/no) [yes] > type: Key type? (DES3, DH, DHEx, DSA, HMACSHA1, HMACSHA256, HMACSHA384, HMACSHA512, RSA, DES2, AES, Rijndael, Ed25519, X25519) [RSA] > size: Key size? (bits, minimum 1024) [2048] > OPTIONAL: pubexp: Public exponent for RSA key (hex)? [] > plainname: Key name? [] > test_card_key1 nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] > key generation parameters: operation Operation to perform generate application Application pkcs11 protect Protected by token slot Slot to read cards from 0 recovery Key recovery yes verify Verify security of key yes type Key type RSA size Key size 2048 pubexp Public exponent for RSA key (hex) plainname Key name test_card_key1 nvram Blob in NVRAM (needs ACS) no Loading `mwgsolo': Module 1: 0 cards of 1 read Module 1 slot 0: `mwgsolo' #1 Module 1 slot 0:- passphrase supplied - reading card Card reading complete. Key successfully generated. Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc23c57899105f07825044cd406347da6009184fb9-6271a944ede6ce655dc39ca15ed7d7a7cea1b9ea Importação de chaves privadas (opcional) Se você já tem uma chave privada e deseja importá-la para o HSM: Digite type: Key type? (DES3, RSA, DES2) [RSA] > logkeyusage: Log key usage? (yes/no) [no] > nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] > key generation parameters: operation Operation to perform import application Application pkcs11 verify Verify security of key yes type Key type RSA logkeyusage Log key usage no pemreadfile PEM file containing RSA key /root/key.pem plainname Key name imported_pkcs11 nvram Blob in NVRAM (needs ACS) no Key successfully imported. Path to key: /opt/nfast/kmdata/local/key_pkcs11_ua36b73b72e6af772916cca9385f665576f327684d Preencha os campos apropriados para importar, anotando o identificador de chave conforme necessário em etapas posteriores. Criar uma solicitação de assinatura de certificado (CSR) Se você criar uma nova chave privada no mundo de segurança do HSM para obter um certificado assinado, será necessário gerar uma CSR. Para gerar uma CSR usando uma das chaves recentemente protegidas, use os comandos do mecanismo OpenSSL e do comando req. Substitua o KeyIdentifier pelo URI do PKCS11 correspondente à chave, de acordo com a RFC do esquema de URI do PKCS # 11. Consulte esta RFC. Nota: Use o OpenSSL 1.1.1 para executar todas as operações do OpenSSL. Por exemplo: OpenSSL> req -engine pkcs11 -keyform engine -key KEYIDENTIFIER -new -x509 -out FILENAME.crt Example session and output: OpenSSL> engine -pre MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so pkcs11 (pkcs11) pkcs11 engine [Success]: MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so OpenSSL> req -engine pkcs11 -keyform engine -key "pkcs11:object= new_rsa-mwg1" -new -x509 -out pkcs11cert.crt engine "pkcs11" set. You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:IN State or Province Name (full name) []:KA Locality Name (eg, city) [Default City]:BLR Organization Name (eg, company) [Default Company Ltd]:MCAFEE Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: OpenSSL> exit [root@mwgappl bin]# Exemplos de URI PKCS # 11:
Nota: Para obter as chaves protegidas pelo módulo, use o URI do PKCS 11:
Para chaves protegidas do OCS, use o URI do PKCS11:
NOTAS:
Para que a WG use as chaves do mundo de segurança do HSM, você deve enumerar as chaves disponíveis na interface do usuário. Clique em configuração, módulo de segurança de hardware e adicione todos os identificadores de chave na seção chaves a serem carregadas : O formato para adicionar as chaves é Aqui está Por exemplo, se Outras etapas a serem executadas em chaves privadas protegidas por senha ou por multicartão-Protected OCS após a configuração do MWG Manager:
O console, em seguida, orienta ou pede ao administrador de cada identificador declarado para inserir as senhas ou inserir os cartões inteligentes necessários do OCS no HSM. Além disso, você pode inspecionar o
Solução 2
Configurar HSM de rede Gemalto/lunar/SafeNet
As etapas de configuração do SafeNet HSM permanecem as mesmas nesta versão, com exceção do uso do OpenSSL 1.1.1. Por exemplo, para gerar um par de certificados de chaves: Aviso de isenção de responsabilidadeO conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetadosIdiomas:Este artigo está disponível nos seguintes idiomas: |
|