Cambios importantes en Gateway Web 10.1 Configuración del módulo de seguridad de hardware
Artículos técnicos ID:
KB94202
Última modificación: 27/09/2021
Entorno
McAfee Web Gateway (MWG) 10.1 y posteriores
Módulo de seguridad de hardware (HSM)
Resumen
- Con MWG 10.1, el nShield El software cliente de HSM Software Security World se ha actualizado desde 12.40 Para 12.60. Esta actualización admite nuevas nShield Tarjetas HSM y nShield Appliances HSM.
- En el nuevo 12.60 software de controlador, el uso de la interfaz de OpenSSL CHIL para la generación de claves ha quedado obsoleto y se ha utilizado la interfaz PKCS11 en su lugar.
Las claves basadas en CHIL existentes se deben redestinar a la forma PKCS11 después de ampliar a MWG 10.1antes de utilizar la función HSM.
- Al importar las claves en MWG, debe utilizarse el formato de URI PKCS11. Para obtener más información sobre el formato URI PKCS11, consulte el siguiente documento de IETF: https://tools.ietf.org/html/rfc7512
- El agente HSM en la Web Gateway ahora utiliza el OpenSSL1.1.1 versión en lugar de OpenSSL1.0.2.
Los comandos de OpenSSL CLI se deben realizar ahora mediante OpenSSL1.1.
- ASPECTO Si su módulo HSM firmware no es compatible con esta versión del controlador:
- Debe obtener la versión de firmware necesaria de Entrust.
- A continuación, amplíe el firmware de HSM.
- Por último, amplíe la instalación de Gateway Web.
- McAfee recomienda encarecidamente seguir los procedimientos habituales de copia de seguridad que se indican en la documentación de HSM.
- Para saber cómo configurar un cliente (MWG) para nShield Connect / Solo, creación de comandos de generación de claves del mundo de la seguridad y de RFS, véase la documentación de la guía del usuario del proveedor.
- Si desea conocer los pasos necesarios para configurar HSM en MWG Gateway 10.0.x y anteriores, consulte la sección "módulo de seguridad de hardware" de la Gateway Web 10.x Guía del producto.
- La nueva ampliación de controladores cambia la generación de claves, la importación y el uso en su solución MWG HSM. En las secciones siguientes se describen estos cambios en detalle con ejemplos.
Solución
1
Define nShield Connect/Solo de Entrust (anteriormente nCipher):
Redestinando la base de CHIL existente “hwcrhk” mykeys
Las claves basadas en el motor de CHIL existentes no funcionan directamente con MWG 10.1. Después de ampliar a MWG 10.1, debe redestinar estas claves PKCS11:
Escriba /opt/nfast/bin/generatekey --retarget [OPTIONS] APPNAME [from-application=appname] [from-ident=keyident] y pulse Intro.
Por ejemplo: /opt/nfast/bin/generatekey –retarget
[root@mwgappl bin]# /opt/nfast/bin/generatekey --retarget -m1 pkcs11 from-application=hwcrhk from-ident=rsa-mwg1
plainname: Key name? [] > new_rsa-mwg1
key generation parameters:
operation Operation to perform retarget
application Application pkcs11
slot Slot to read cards from 0
verify Verify security of key yes
from-application Source application hwcrhk
from-ident Source key identifier rsa-mwg1
plainname Key name new_rsa-mwg1
Loading `mwgapp5500d':
Module 1: 0 cards of 1 read
Module 1 slot 0: `mwgapp5500d' #3
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc2e4dbdc237c861ed33a176ee0092bb657d909ab0-e65cdd7e70cf513153b540cffb114d1559fa7307
ASPECTO Consulte la documentación de la guía del usuario de HSM para obtener detalles completos sobre el uso de la generatekey --retarget mando.
Generando claves privadas
Al instalar un nuevo nfast controlador, debe generar las claves de aplicación de la PKCS11. Lo hwcrhk las claves de tipo de aplicación ya no son compatibles.
Para generar una clave nueva, escriba /opt/nfast/bin/generatekey --generate [OPTIONS] APPNAME [NAME=VALUE ...] y pulse Intro.
Por ejemplo: /opt/nfast/bin/generatekey pkcs11
[root@mwgappl bin]# /opt/nfast/bin/generatekey pkcs11
protect: Protected by? (token, module) [token] >
recovery: Key recovery? (yes/no) [yes] >
type: Key type? (DES3, DH, DHEx, DSA, HMACSHA1, HMACSHA256, HMACSHA384,
HMACSHA512, RSA, DES2, AES, Rijndael, Ed25519, X25519) [RSA]
>
size: Key size? (bits, minimum 1024) [2048] >
OPTIONAL: pubexp: Public exponent for RSA key (hex)? []
>
plainname: Key name? [] > test_card_key1
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
key generation parameters:
operation Operation to perform generate
application Application pkcs11
protect Protected by token
slot Slot to read cards from 0
recovery Key recovery yes
verify Verify security of key yes
type Key type RSA
size Key size 2048
pubexp Public exponent for RSA key (hex)
plainname Key name test_card_key1
nvram Blob in NVRAM (needs ACS) no
Loading `mwgsolo':
Module 1: 0 cards of 1 read
Module 1 slot 0: `mwgsolo' #1
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully generated.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc23c57899105f07825044cd406347da6009184fb9-6271a944ede6ce655dc39ca15ed7d7a7cea1b9ea
Importando claves privadas (opcional)
Si ya dispone de una clave privada y desea importarla al HSM:
Escriba /opt/nfast/bin/generatekey --import pkcs11 y pulse Intro.
For example:
[root@mwgappl bin]# /opt/nfast/bin/generatekey --import pkcs11 pemreadfile=/root/key.pem plainname=imported_pkcs11
type: Key type? (DES3, RSA, DES2) [RSA] >
logkeyusage: Log key usage? (yes/no) [no] >
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
key generation parameters:
operation Operation to perform import
application Application pkcs11
verify Verify security of key yes
type Key type RSA
logkeyusage Log key usage no
pemreadfile PEM file containing RSA key /root/key.pem
plainname Key name imported_pkcs11
nvram Blob in NVRAM (needs ACS) no
Key successfully imported.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_ua36b73b72e6af772916cca9385f665576f327684d
Rellene los campos adecuados para la importación, tomando nota del identificador de clave, ya que se utilizará en pasos posteriores.
Creación de una solicitud de firma de certificado (CSR)
Si crea una nueva clave privada en el mundo de la seguridad de HSM, para obtener un certificado firmado deberá generar un CSR.
Para generar un CSR mediante una de las claves recién protegidas, utilice el motor OpenSSL y los comandos req.
Sustituya KEYIDENTIFIER por el URI PKCS11 correspondiente a la clave, según el RFC de la combinación de URI de PKCS # 11. Consulte la RFC: https://tools.ietf.org/html/rfc7512
SEÑALAR Uso de OpenSSL1.1.1 para realizar todas las operaciones de OpenSSL.
Por ejemplo:
[root@mwg ~] openssl1.1
Motor de OpenSSL >-pre MODULE_PATH:/opt/nfast/toolkits/PKCS11/libcknfast.so PKCS11
OpenSSL > REQ: motor PKCS11-keyform Engine: clave KEYIDENTIFIER-New-X509-out. CRT
Ejemplo de sesión y salida:
[root@mwgappl bin] # Open1.1
OpenSSL > motor-pre MODULE_PATH:/opt/nfast/toolkits/PKCS11/libcknfast.so PKCS11
(PKCS11), motor PKCS11
[Correcto]: MODULE_PATH:/opt/nfast/toolkits/PKCS11/libcknfast.so
OpenSSL > REQ-motor PKCS11-keyform Engine: clave "PKCS11: Object = new_rsa-mwg1"-New-X509-out pkcs11cert. CRT
conjunto "PKCS11" del motor.
Está a punto de solicitar que introduzca la información que se va a incorporar
en su solicitud de certificado.
Lo que está a punto de introducir es lo que se denomina un nombre distintivo o un DN.
Hay bastantes campos, pero puede dejar algunos en blanco
Para algunos campos habrá un valor predeterminado.
Si introduce '. ', el campo se dejará en blanco.
-----
Nombre del país (código de 2 Letras) [XX]: en
Nombre del estado o provincia (nombre completo) []: KA
Nombre de la localidad (por ejemplo, ciudad) [ciudad predeterminada]: BLR
Nombre de la organización (por ejemplo, empresa) [empresa predeterminada Ltd.: MCAFEE
Nombre de la unidad organizativa (por ejemplo, sección) []:
Nombre de Ajustes generales (por ejemplo, su nombre o la dirección de host del servidor) []:
Dirección de correo electrónico []:
Salida de OpenSSL >
[root@mwgappl bin] #
MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so Especifica la ruta del módulo PCKS11 proporcionada por la Entrust.
Ejemplos de URI de PKCS # 11:
SEÑALAR taken-name es la token etiqueta en la que se almacena la clave, y el valor PIN es la frase de contraseña de las claves privadas protegidas por OCS.
Para las claves protegidas por el módulo, utilice el URI de PKCS 11:
pkcs11:object=pkcs11_rsa_mwg
Para las claves protegidas de OCS, utilice el URI de PKCS11:
PKCS11: token =; Object = pkcs11_rsa_key; Type = Private; PIN-Value =
Notas
- El URI de PCKS 11 está definido por RFC https://datatracker.ietf.org/doc/html/rfc7512.
- El URI debe estar formado en función de dónde se almacene el objeto en el HSM, por lo que no existe un único formato para el URI.
Para el esquema de URI, consulte: https://datatracker.ietf.org/doc/html/rfc7512#section-2.3.
- Este formato no está definido por MWG, sino por el RFC y la forma en que nCipher HSM implementó su interfaz PKCS11.
Consulte la guía del usuario de nCipher para obtener consejos sobre los campos necesarios para el URI.
- Al agregar esta clave en la interfaz de usuario de MWG, debe prefijarla con PKCS11::
Por ejemplo: error
Cargando los identificadores de clave privada en la interfaz de usuario de MWG
Para que MWG utilice las claves del mundo de la seguridad de HSM, debe enumerar las claves disponibles en la interfaz de usuario.
Pulsar Configuraci, Módulo de seguridad de hardware y agregar todos los identificadores de clave en la Claves que se van a cargar punto

El formato para agregar las claves es :
Aquí la etiqueta del motor está pkcs11. Esta etiqueta informa a MWG de que las claves suministradas son pkcs11 y solo es aplicable para pkcs11 Escriba las claves.
Por ejemplo, si pcks11 El URI es pkcs11:object=pkcs11_rsa_mwg en el administrador de MWG, la cadena de clave que se va a agregar es pkcs11:pkcs11:object=pkcs11_rsa_mwg.
Otros pasos que se deben realizar para la frase de contraseña y las claves privadas protegidas por OCS tras configurar el administrador de MWG:
- Abra una conexión de Shell con el MWG (SSH).
- Escriba /opt/mwg/bin/hsmagent -c y pulse Intro.
El comando solicita los secretos necesarios para cargar claves privadas protegidas de forma especial. Debe ejecutarse después de cada ampliación y reiniciar.
A continuación, la consola guiará/pedirá al administrador de cada identificador declarado para que introduzca las frases de contraseña o insertará las tarjetas inteligentes necesarias de OCS (operador-Card-Set) en el HSM.
Además, puede inspeccionar la hsmagent.errors.log para ver si hay errores inesperados:
- En el Manager MWG:
- Haga clic en Troubleshooting, archivos de registro.
- Abiertos mwg-errors y ver la hsmagent.errors.log.
- O bien desde la línea de comandos de appliance:
- Abra una sesión de línea de comandos.
- Vaya a /opt/mwg/log/mwg-errors.
- Ver la hsmagent.errors.log.
Solución
2
Configuración de Gemalto/Luna/SafeNet Network HSM
Los pasos de configuración de SafeNet HSM siguen siendo los mismos en esta versión, excepto en el uso de OpenSSL1.1.1.
Por ejemplo, para generar un par de clave-certificado:
openssl1.1 req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
|