曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        如何在本地化部署時集成Thales Luna HSM和CipherTrust Manager
        發布時間:2022-11-07 08:00:34   閱讀次數:

        image.png

        使用不同的安全產品時,您遇到的眾多設備之一是HSM硬件安全模塊/加密機)。HSM是設計用于安全存儲加密密鑰以供應用程序或用戶使用的設備。Thales Luna HSM可以作為本地、基于云或按需設備購買。Thales Luna HSM的另一個可用選項是PED認證版本與密碼認證版本。PED認證的HSM使用帶有標簽密鑰的PED設備作為HSM中的角色,以及與PED密鑰相關的PIN。這是在HSM上的不同角色之間創建角色分離的一種方式。密碼認證版只需要輸入密碼,不需要PED設備。本指南可用于兩種類型的HSM。


        Thales 的CipherTrust Manager用作集中式密鑰管理設備,允許用戶生成、管理、銷毀、導出和導入加密密鑰以供客戶端和應用程序使用。與CipherTrust Manager(CM) 一起工作的HSM可以存儲CM將使用的密鑰。CM也有與Luna HSM相同的可用選項,但是,如果使用的HSM是PED認證的HSM,那么CM也必須是PED認證的。密碼驗證的HSM也有相同的規則。在我們進入集成步驟之前,必須討論一些預集成步驟。


        預集成步驟

        在集成HSM和CM之前,必須事先在此過程中完成幾個步驟。預先完成的最重要任務是確保HSM和CM都已完全配置。這包括網絡配置、SSH 配置和 NTP 服務器設置。在集成硬件安全模塊和CipherTrust Manager時,它們必須使用相同的 NTP 或網絡時間協議服務器,以便在兩個設備之間設置相同的時間。此外,CM必須可以通過網絡訪問HSM。這意味著CM和HSM必須在同一個子網中,以便可以從CM完成對HSM的PINg 和訪問。此外,遠程訪問HSM和CM也很重要,因為坐在帶有CM和HSM的數據中心可能會變得不堪重負,因此能夠遠程訪問設備至關重要。在這篇文章中,不會介紹如何配置HSM和CM,因為這是一個漫長而復雜的過程,您可以聯系攬閣信息尋求幫助。相反,我們將關注集成HSM和CipherTrust Manager過程中涉及的主要步驟。


        先決條件

        在完成這些集成步驟時,您首先要確保許多不同的元素就位并正常工作。這首先要確保CM可以到達HSM。這可以通過多個步驟來完成,但最簡單的是通過 SSH 連接到CM并PING HSM的 IP 地址。這將允許您確定HSM和CM之間的通信是否正確。另一個步驟是確保兩個設備都更新到最新的軟件和固件版本。這將確保實施所有需要到位的安全補丁。最后一步是確保 NTP 服務器在兩臺設備上都能正常工作。如果 NTP 服務器沒有正常運行,兩個設備的集成將會失敗。


        HSM集成步驟

        要開始集成HSM和CM,必須首先創建證書。這可以通過與HSM一起使用的Lunaclient來完成。您可以聯系攬閣信息獲取最新版本的Lunaclient。下載Lunaclient 后,您需要運行以下命令:

        cd “C:\Program Files\Safenet\lunaclient”


        從這里,您可以運行命令vtl createcert -n <cert name>。這將在C:\Program Files\Safenet\lunaclient\cert\client目錄中創建證書和私鑰。在同一 lunaclient 目錄中,應為每個要集成的HSM運行命令pscp.exe admin@<HSM_IP>:server.pem server_<HSM hostname>.pem 。這會將每個HSM的服務器證書傳輸到名為server_<HSM hostname>.pemlunaclient目錄。我們指定一個與 server.pem 不同的名稱,只是因為如果集成了多個HSM,舊的 server.pem 證書將被導入的新證書替換?,F在您已經掌握了所有這些信息,我們將需要獲取分區標簽和與CM關聯的分區的分區序列號。這是通過命令ssh admin@<HSM IP> SSH 進入HSM來完成的。登錄后,可以運行命令 par list 以顯示HSM上的所有不同分區、序列號和分區標簽。一旦記下這些,最后一步是通過我們創建的證書使CM成為HSM的客戶端。這可以通過使用以下命令從客戶端設備傳輸證書文件到HSM來完成lunaclient目錄:

        pscp.exe ./cert/client/<client cert name>.pem admin@<HSM_IP>


        現在客戶端證書在HSM上,必須使用命令client register -n <name of the client> -h <name of the client certificate without the .pem at the end> 來注冊客戶端?,F在客戶端注冊成功了,必須通過命令給客戶端分配一個分區

        client assignpartition -c <client name> -p <partition name>


        應該為每個被集成的HSM完成這些步驟。


        CM集成步驟

        既然已經將CM設置為HSM的客戶端,我們就必須直接將這些文件與CM連接起來。為此,我們需要通過網絡配置期間設置的 IP 地址之一登錄CipherTrust Manager的 GUI。一旦我們進入網頁https://<IP of the CM>,我們可以登錄并進入Admin Settings>HSM選項卡。從這里開始,我們按照提示的步驟進行操作。我們需要提供HSMIP 地址、HSM服務器證書、客戶端證書和密鑰、分區標簽和分區序列號。對于證書,您需要打開、復制這些文件的內容并將其粘貼到 GUI。此外,還需要提供分區的加密官員密碼。


        一旦提供了這些,GUI 將詢問您是否要在整個環境中復制分區中的密鑰。您應該對此選項選擇是,因為如果您不這樣做,分區中的數據將會丟失。完成此操作后,CM將重新啟動自身及其服務,確保它可以正確連接到HSM。重新啟動后,您可以重新登錄 GUI 并查看HSM現在已集成。從這里,您可以將其他HSM添加到集成中,只需要分區密碼、序列號、標簽、HSM IP 和HSM服務器證書?,F在您已經成功地將您的所有HSM與您的密碼信任管理器集成!


        已知問題和解決方法

        • 問題:無法從CM GUI 訪問HSM Seal。

          解決方案:如果錯誤提示在嘗試連接到 GUI 時無法獲取HSM Seal,則可能是您的客戶端證書有問題。使用vtl createcert創建證書時存在一個罕見的錯誤,該錯誤會導致證書創建時間為 11 天而不是 10 年。將客戶端證書的擴展名更改為 .cert 并查看證書的到期日期。您將需要 SSH 進入CM并運行命令kscfg system reset。您將丟失HSM配置,但您將保留 SSH 和網絡配置。從這里開始,您將需要重新執行使用新證書創建HSM客戶端的步驟。


        • 問題:GUI 無法訪問 IP 地址

          解決方案:如果更新CM的軟件后,您似乎無法訪問您的IP地址,您需要在每個接口上設置相同的IP地址,直到找到合適的IP地址。問題是當從 2.0 版更新到 2.9 版時,會出現一個錯誤,可能會將網絡接口的 MAC 地址更改為不正確的 MAC 地址。他們可能會說它們是接口 1 或 0,但它們實際上是接口 2 或 3。這可以通過在每個接口上嘗試相同的 IP 地址來解決,直到它正常工作,并且您可以連接到它。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精