Alterações importantes no Gateway da Web 10.1 Configuração do módulo de segurança de hardware
Artigos técnicos ID:
KB94202
Última modificação: 23/09/2021
Ambiente
McAfee Web Gateway (MWG) 10.1 e versões posteriores
Módulo de segurança de hardware (HSM)
Resumo
- Com o MWG 10.1, o nShield O software HSM Client Software Security World foi atualizado de 12.40 Para 12.60. Este atualização oferece suporte a novos nShield Cartões HSM e nShield Appliances HSM.
- No novo 12.60 software de driver, o uso da interface do OpenSSL CHIL para a geração de chaves é reprovado e a interface do PKCS11 usada em seu lugar.
Todas as chaves baseadas em CHIL existentes devem ser redirecionadas para o PKCS11 depois que você upgrade para o MWG 10.1, antes de usar a função do HSM.
- Quando você importa as chaves em MWG, o formato do URI do PKCS11 deve ser usado. Para obter mais informações sobre o formato do URI do PKCS11, consulte o seguinte memorando da IETF: https://tools.ietf.org/html/rfc7512
- O HSM Agent no Web Gateway agora usa o OpenSSLl1.1.1 versão em vez de OpenSSL1.0.2.
Todos os comandos do OpenSSL CLI devem agora ser executados usando o OpenSSL1.1.
- Important Se o seu módulo HSM firmware não for compatível com a versão do driver:
- Você deve obter a versão de firmware necessária na Entrust.
- Em seguida, upgrade firmware HSM.
- Finalmente upgrade a instalação do Gateway da Web.
- McAfee recomenda que você siga os procedimentos de backup regulares indicados na documentação do HSM.
- Para saber como configurar um cliente (MWG) para nShield Connect / Solo, a criação de comandos do mundo de segurança e da geração de chaves RFS, consulte a documentação do guia do usuário do fornecedor.
- Para obter as etapas para configurar o HSM no MWG Gateway 10.0.x e versões anteriores, consulte a seção "módulo de segurança de hardware" do Gateway da Web 10.x Guia de produto.
- O novo driver upgrade altera a geração, importação e uso de chaves em sua solução MWG HSM. As seções a seguir descrevem essas alterações em detalhes com exemplos.
Solução
1
Configura nShield Connect/Solo da entrusted (antiga nCipher):
Redirecionamento de CHIL existentes com base “hwcrhk” chaves
As chaves baseadas no mecanismo do CHIL existentes não funcionam diretamente com o MWG 10.1. Depois de upgrade para MWG 10.1, você deve redirecionar estas chaves PKCS11:
Ferência /opt/nfast/bin/generatekey --retarget [OPTIONS] APPNAME [from-application=appname] [from-ident=keyident] e pressione Enter.
Por exemplo: /opt/nfast/bin/generatekey –retarget
[root@mwgappl bin]# /opt/nfast/bin/generatekey --retarget -m1 pkcs11 from-application=hwcrhk from-ident=rsa-mwg1
plainname: Key name? [] > new_rsa-mwg1
key generation parameters:
operation Operation to perform retarget
application Application pkcs11
slot Slot to read cards from 0
verify Verify security of key yes
from-application Source application hwcrhk
from-ident Source key identifier rsa-mwg1
plainname Key name new_rsa-mwg1
Loading `mwgapp5500d':
Module 1: 0 cards of 1 read
Module 1 slot 0: `mwgapp5500d' #3
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc2e4dbdc237c861ed33a176ee0092bb657d909ab0-e65cdd7e70cf513153b540cffb114d1559fa7307
Important Consulte a documentação do guia do usuário do HSM para obter detalhes completos sobre como usar o generatekey --retarget preta.
Geração de chaves privadas
Quando você instala um novo nfast do driver, você deve gerar as chaves de aplicativo do PKCS11. O hwcrhk Não há mais suporte para as chaves de tipo de aplicativo.
Para gerar uma nova chave, digite /opt/nfast/bin/generatekey --generate [OPTIONS] APPNAME [NAME=VALUE ...] e pressione Enter.
Por exemplo: /opt/nfast/bin/generatekey pkcs11
[root@mwgappl bin]# /opt/nfast/bin/generatekey pkcs11
protect: Protected by? (token, module) [token] >
recovery: Key recovery? (yes/no) [yes] >
type: Key type? (DES3, DH, DHEx, DSA, HMACSHA1, HMACSHA256, HMACSHA384,
HMACSHA512, RSA, DES2, AES, Rijndael, Ed25519, X25519) [RSA]
>
size: Key size? (bits, minimum 1024) [2048] >
OPTIONAL: pubexp: Public exponent for RSA key (hex)? []
>
plainname: Key name? [] > test_card_key1
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
key generation parameters:
operation Operation to perform generate
application Application pkcs11
protect Protected by token
slot Slot to read cards from 0
recovery Key recovery yes
verify Verify security of key yes
type Key type RSA
size Key size 2048
pubexp Public exponent for RSA key (hex)
plainname Key name test_card_key1
nvram Blob in NVRAM (needs ACS) no
Loading `mwgsolo':
Module 1: 0 cards of 1 read
Module 1 slot 0: `mwgsolo' #1
Module 1 slot 0:- passphrase supplied - reading card
Card reading complete.
Key successfully generated.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_uc23c57899105f07825044cd406347da6009184fb9-6271a944ede6ce655dc39ca15ed7d7a7cea1b9ea
Importação de chaves privadas (opcional)
Se você já tem uma chave privada e deseja importá-la para o HSM:
Ferência /opt/nfast/bin/generatekey --import pkcs11 e pressione Enter.
For example:
[root@mwgappl bin]# /opt/nfast/bin/generatekey --import pkcs11 pemreadfile=/root/key.pem plainname=imported_pkcs11
type: Key type? (DES3, RSA, DES2) [RSA] >
logkeyusage: Log key usage? (yes/no) [no] >
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
key generation parameters:
operation Operation to perform import
application Application pkcs11
verify Verify security of key yes
type Key type RSA
logkeyusage Log key usage no
pemreadfile PEM file containing RSA key /root/key.pem
plainname Key name imported_pkcs11
nvram Blob in NVRAM (needs ACS) no
Key successfully imported.
Path to key: /opt/nfast/kmdata/local/key_pkcs11_ua36b73b72e6af772916cca9385f665576f327684d
Preencha os campos apropriados para importação, anotando o identificador de chave, pois ele será usado nas etapas posteriores.
Criar uma solicitação de assinatura de certificado (CSR)
Se você criar uma nova chave privada no mundo de segurança do HSM, para obter um certificado assinado, você deverá gerar uma CSR.
Para gerar uma CSR usando uma das chaves recentemente protegidas, use os comandos do mecanismo OpenSSL e do comando req.
Substitua o KeyIdentifier pelo URI do PKCS11 correspondente à chave, de acordo com a RFC do esquema de URI do PKCS # 11. Consulte a RFC: https://tools.ietf.org/html/rfc7512
INDICADO Usar o OpenSSL1.1.1 para executar todas as operações do OpenSSL.
Por exemplo:
[root@mwg ~] openssl1.1
Mecanismo de > do OpenSSL-pré MODULE_PATH:/opt/nFast/toolkits/PKCS11/libcknfast.so PKCS11
OpenSSL > req-Engine PKCS11-keyform Engine-Key KeyIdentifier-keyid do tipo de arquivo X509-out. CRT
Exemplo de sessão e saída:
[root@mwgappl bin] # OpenSSL1.1
OpenSSL > mecanismo-pré MODULE_PATH:/opt/nFast/toolkits/PKCS11/libcknfast.so PKCS11
mecanismo de PKCS11 (PKCS11)
[Êxito]: MODULE_PATH:/opt/nFast/toolkits/PKCS11/libcknfast.so
OpenSSL > Req-Engine PKCS11-keyform Engine-Key "PKCS11: Object = new_rsa-mwg1"-New-o X509-out pkcs11cert. CRT
o mecanismo "PKCS11" foi definido.
Você está prestes a ser solicitado a inserir informações que serão incorporadas
em sua solicitação de certificado.
O que você está prestes a inserir é o que é chamado de nome diferenciado ou uma DN.
Existem alguns campos, mas você pode deixar algum espaço em branco
Para alguns campos, haverá um valor padrão,
Se você digitar '. ', o campo será deixado em branco.
-----
Nome do país (código de 2 letras) [XX]: em
Nome do Estado ou província (nome completo) []: KA
Nome da localidade (por exemplo, cidade) [cidade padrão]: BLR
Nome da organização (por exemplo, empresa) [padrão empresa Ltd]: MCAFEE
Nome da unidade organizacional (por exemplo, seção) []:
Nome do Em Comum (por exemplo, o nome ou o nome do host do seu servidor) []:
Endereço de e-mail []:
Saída do OpenSSL >
[root@mwgappl bin] #
MODULE_PATH:/opt/nfast/toolkits/pkcs11/libcknfast.so Especifica o caminho do módulo PCKS11 fornecido pela Entrust.
Exemplos de URI PKCS # 11:
INDICADO taken-name é o token rótulo em que a chave está armazenada e o valor do código PIN é a senha das chaves privadas protegidas pelo OCS.
Para obter as chaves protegidas pelo módulo, use o URI do PKCS 11:
pkcs11:object=pkcs11_rsa_mwg
Para chaves protegidas do OCS, use o URI do PKCS11:
PKCS11: token =; Object = pkcs11_rsa_key; Type = Private; PIN-Value =
ANOTAÇÕES
- O URI do PCKS 11 é definido pela RFC https://datatracker.ietf.org/doc/html/rfc7512.
- O URI deve ser formado de acordo com o local em que o objeto é armazenado no HSM, portanto, não há um formato único para o URI.
Para o esquema do URI, consulte: https://datatracker.ietf.org/doc/html/rfc7512#section-2.3.
- Esse formato não é definido por MWG, mas pela RFC e como o nCipher HSM implementou sua interface de PKCS11.
Consulte o guia do usuário do nCipher para obter informações sobre os campos necessários para o URI.
- Ao adicionar essa chave na interface do usuário do MWG, você deve prefixá-la com PKCS11::
Por exemplo: pkcs11:
Carregamento dos identificadores de chave privada na interface do usuário do MWG
Para que o MWG use as chaves do mundo de segurança do HSM, você deve enumerar as chaves disponíveis na interface do usuário.
Clique Configuração, Módulo de segurança de hardware e adicione todos os identificadores de chave no Chaves a serem carregadas sessão

O formato para adicionar as chaves é :
Aqui, o rótulo do mecanismo é pkcs11. Esse rótulo informa MWG de que as chaves fornecidas são pkcs11 e é aplicável somente para pkcs11 Digite as chaves.
Por exemplo, se pcks11 URI é pkcs11:object=pkcs11_rsa_mwg no MWG Manager, a cadeia de caracteres de chave a ser adicionada é pkcs11:pkcs11:object=pkcs11_rsa_mwg.
Outras etapas a serem executadas em chaves privadas protegidas por senha ou por multicartão-Protected OCS após a configuração do MWG Manager:
- Abra uma conexão de shell com o MWG (SSH).
- Ferência /opt/mwg/bin/hsmagent -c e pressione Enter.
O comando solicita os segredos necessários para carregar chaves privadas especialmente protegidas. Ele deve ser executado depois de cada upgrade e reinicializar.
O console orientará/solicitará ao administrador de cada identificador declarado para inserir as frases secretas ou inserir cartões inteligentes necessários do OCS (conjunto de cartões-operadores) no HSM.
Além disso, você pode inspecionar o hsmagent.errors.log para verificar se há erros inesperados:
- Na Manager do MWG:
- Clique em Troubleshooting, , arquivos de registro.
- Abrir mwg-errors e exiba o hsmagent.errors.log.
- Ou na linha de comando do appliance:
- Abra uma sessão de linha de comando.
- Navegue até /opt/mwg/log/mwg-errors.
- Exibir o hsmagent.errors.log.
Solução
2
Configurar HSM de rede Gemalto/lunar/SafeNet
As etapas de configuração do HSM do SafeNet permanecem as mesmas nesta versão, com exceção do uso do OpenSSL1.1.1.
Por exemplo, para gerar um par de certificados de chaves:
openssl1.1 req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|