Alterações importantes na configuração do módulo de segurança de Web Gateway 10.1 hardware
Artigos técnicos ID:
KB94202
Última modificação: 2022-07-19 12:43:02 Etc/GMT
Ambiente
Web Gateway (MWG) 10.1 e versões posteriores
Módulo de segurança de hardware (HSM)
Resumo
- Com a WG 10.1 , o software HSM Client Software Security foi atualizado a 12.60. partir 12.40 deste atualização é compatível com os nShield novos nShield cartões HSM e nShield appliances HSM.
- No novo 12.60 software de driver, o uso da interface do OPENSSL Chil para a geração de chave é reprovado e a interface do PKCS11 é usada em seu lugar.
Todas as chaves com base em CHIL existentes devem ser redirecionadas para o PKCS11 depois que você upgrade para a WG 10.1 , antes de usar a função do HSM.
- Quando você importa as chaves em WG, o formato do URI do PKCS11 deve ser usado. Para obter mais informações sobre o formato do URI do PKCS11, consulte este memorando da IETF.
- O agente HSM em WG agora usa a versão OpenSSLl 1.1.1 em vez do OpenSSL 1.0.2.
Todos os comandos do OpenSSL CLI devem agora ser executados usando o OpenSSL1.1.
- Importante: Se o seu módulo HSM firmware não oferecer suporte a essa versão de driver, execute as etapas a seguir:
- Você deve obter a versão de firmware necessária na Entrust.
- Faça upgrade do firmware do HSM.
- Faça upgrade da instalação do WG.
- Recomendamos que você siga os procedimentos regulares de backup definidos na documentação do HSM.
- Para obter informações sobre como configurar um cliente (WG) para nShield Connect / Solo a criação de comandos de geração de chave do Security World e do RFS, consulte a documentação do guia do usuário do fornecedor.
- Para ver as etapas para configurar o HSM na WG 10.0.x e em versões anteriores, consulte a seção "Hardware Security Module" do Web GatewayGuia de produto10.x.
- O novo driver upgrade altera a geração, importação e uso de chaves em sua solução WG HSM. As seções a seguir descrevem essas alterações em detalhes com exemplos.
Solução
1
Configurar nShield Connect/Solo pela Entrust (antigamente nCipher ):
Redirecionamento de chaves de " hwcrhk" com base em Chil existentes
As chaves baseadas no mecanismo CHIL existentes não funcionam diretamente com a WG 10.1. depois que você upgrade para a WG 10.1 , é necessário redirecionar essas chaves PKCS11:
Digite /opt/nfast/bin/generatekey --retarget [OPTIONS] APPNAME [from-application=appname] [from-ident=keyident] e pressione Enter.
For example, /opt/nfast/bin/generatekey –retarget
[root@mwgappl bin]# /opt/nfast/bin/generatekey --retarget -m1 pkcs11 from-application=hwcrhk from-ident=rsa-mwg1
plainname: Key name? [] > new_rsa-mwg1
key generation parameters:
operation Operation to perform retarget
application Application pkcs11
slot Slot to read cards from 0
verify Verify security of key yes
from-application Source application hwcrhk
from-ident Source key identifier rsa-mwg1
plainname Key name new_rsa-mwg1
Loading `mwgapp5500d':
Module 1: 0 cards of 1 read
Module 1 slot 0: `mwgapp5500d' #3
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc2e4dbdc237c861ed33a176ee0092bb657d909ab0-e65cdd7e70cf513153b540cffb114d1559fa7307
Importante: Consulte a documentação do guia do usuário do HSM para obter detalhes completos sobre o uso do generatekey --retarget comando.
Geração de chaves privadas
Ao instalar um novo nfast Driver, você deve gerar as chaves de aplicativo do PKCS11. Não há mais suporte para as chaves de tipo de hwcrhk aplicativo.
Para gerar uma nova chave, digite /opt/nfast/bin/generatekey --generate [OPTIONS] APPNAME [NAME=VALUE ...] e pressione Enter.
For example, /opt/nfast/bin/generatekey pkcs11
[root@mwgappl bin]# /opt/nfast/bin/generatekey pkcs11
protect: Protected by? (token, module) [token] >
recovery: Key recovery? (yes/no) [yes] >
type: Key type? (DES3, DH, DHEx, DSA, HMACSHA1, HMACSHA256, HMACSHA384,
HMACSHA512, RSA, DES2, AES, Rijndael, Ed25519, X25519) [RSA]
>
size: Key size? (bits, minimum 1024) [2048] >
OPTIONAL: pubexp: Public exponent for RSA key (hex)? []
>
plainname: Key name? [] > test_card_key1
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
key generation parameters:
operation Operation to perform generate
application Application pkcs11
protect Protected by token
slot Slot to read cards from 0
recovery Key recovery yes
verify Verify security of key yes
type Key type RSA
size Key size 2048
pubexp Public exponent for RSA key (hex)
plainname Key name test_card_key1
nvram Blob in NVRAM (needs ACS) no
Loading `mwgsolo':
Module 1: 0 cards of 1 read
Module 1 slot 0: `mwgsolo' #1
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully generated.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc23c57899105f07825044cd406347da6009184fb9-6271a944ede6ce655dc39ca15ed7d7a7cea1b9ea
Importação de chaves privadas (opcional)
Se você já tem uma chave privada e deseja importá-la para o HSM:
Digite /opt/nfast/bin/generatekey --import pkcs11 e pressione Enter.
For example:
[root@mwgappl bin]# /opt/nfast/bin/generatekey --import pkcs11 pemreadfile=/root/key.pem plainname=imported_pkcs11
type: Key type? (DES3, RSA, DES2) [RSA] >
logkeyusage: Log key usage? (yes/no) [no] >
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
key generation parameters:
operation Operation to perform import
application Application pkcs11
verify Verify security of key yes
type Key type RSA
logkeyusage Log key usage no
pemreadfile PEM file containing RSA key /root/key.pem
plainname Key name imported_pkcs11
nvram Blob in NVRAM (needs ACS) no
Key successfully imported.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_ua36b73b72e6af772916cca9385f665576f327684d
Preencha os campos apropriados para importar, anotando o identificador de chave conforme necessário em etapas posteriores.
Criar uma solicitação de assinatura de certificado (CSR)
Se você criar uma nova chave privada no mundo de segurança do HSM para obter um certificado assinado, será necessário gerar uma CSR.
Para gerar uma CSR usando uma das chaves recentemente protegidas, use os comandos do mecanismo OpenSSL e do comando req.
Substitua o KeyIdentifier pelo URI do PKCS11 correspondente à chave, de acordo com a RFC do esquema de URI do PKCS # 11. Consulte esta RFC.
Nota: Use o OpenSSL 1.1.1 para executar todas as operações do OpenSSL.
Por exemplo:
[root@mwg ~] openssl1.1
OpenSSL> engine -pre MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so pkcs11
OpenSSL> req -engine pkcs11 -keyform engine -key KEYIDENTIFIER -new -x509 -out FILENAME.crt
Example session and output:
[root@mwgappl bin]# openssl1.1
OpenSSL> engine -pre MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so pkcs11
(pkcs11) pkcs11 engine
[Success]: MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so
OpenSSL> req -engine pkcs11 -keyform engine -key "pkcs11:object= new_rsa-mwg1" -new -x509 -out pkcs11cert.crt
engine "pkcs11" set.
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:KA
Locality Name (eg, city) [Default City]:BLR
Organization Name (eg, company) [Default Company Ltd]:MCAFEE
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
OpenSSL> exit
[root@mwgappl bin]#
MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so Especifica o caminho do módulo PCKS11 fornecido pela Entrust.
Exemplos de URI PKCS # 11:
Nota: taken-name o token o rótulo em que a chave está armazenada e o valor do PIN é a senha das chaves privadas protegidas do conjunto de cartões (OCS). Para obter as chaves protegidas pelo módulo, use o URI do PKCS 11:
pkcs11:object=pkcs11_rsa_mwg
Para chaves protegidas do OCS, use o URI do PKCS11:
pkcs11:token=<token-name>;object=pkcs11_rsa_key;type=private;pin-value=<xxxxx>
NOTAS:
- O URI do PCKS 11 é definido por esta RFC.
- O URI deve ser formado de acordo com o local em que o objeto é armazenado no HSM, portanto, não há formato único para o URI.
Para o esquema do URI, consulte esta RFC.
- Esse formato não é definido pela WG, mas pela RFC e como o nCipher HSM implementa sua interface do PKCS11.
Consulte o guia do usuário do nCipher para obter informações sobre os campos necessários para o URI.
- Ao adicionar essa chave na interface do usuário do WG, você deve prefixá-la com PKCS11:
Por exemplo: PKCS11:
Carregamento dos identificadores de chave privada na interface do usuário do MWG
Para que a WG use as chaves do mundo de segurança do HSM, você deve enumerar as chaves disponíveis na interface do usuário.
Clique em configuração, módulo de segurança de hardware e adicione todos os identificadores de chave na seção chaves a serem carregadas :
O formato para adicionar as chaves é <engine-label>:<pkcs11-URI>
Aqui está pkcs11 o rótulo do mecanismo. Esse rótulo informa a WG de que as chaves fornecidas são e que são pkcs11 aplicáveis somente para chaves de pkcs11 tipo.
Por exemplo, se pcks11 o URI estiver pkcs11:object=pkcs11_rsa_mwg no Gerenciador do WG, a cadeia de caracteres de chave a ser adicionada será pkcs11:pkcs11:object=pkcs11_rsa_mwg .
Outras etapas a serem executadas em chaves privadas protegidas por senha ou por multicartão-Protected OCS após a configuração do MWG Manager:
- Abra uma conexão de shell com a WG (SSH).
- Digite /opt/mwg/bin/hsmagent -c e pressione Enter.
O comando solicita os segredos necessários para carregar chaves privadas especialmente protegidas. Ele deve ser executado depois de cada upgrade e reinicializar.
O console, em seguida, orienta ou pede ao administrador de cada identificador declarado para inserir as senhas ou inserir os cartões inteligentes necessários do OCS no HSM.
Além disso, você pode inspecionar o hsmagent.errors.log para ver se há erros inesperados:
- Na Manager WG:
- Clique em Troubleshooting, , em arquivos de registro.
- Abra mwg-errors e exiba o hsmagent.errors.log .
- Na linha de comando appliance:
- Abra uma seção de linha de comando.
- Navegue para /opt/mwg/log/mwg-errors.
- Exibir o hsmagent.errors.log .
Solução
2
Configurar HSM de rede Gemalto/lunar/SafeNet
As etapas de configuração do SafeNet HSM permanecem as mesmas nesta versão, com exceção do uso do OpenSSL 1.1.1.
Por exemplo, para gerar um par de certificados de chaves:
openssl1.1 req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|
