Gemalto HSMとの連携

コンフィギュレーションステップ

このワークフローを使用して、Check Point Security Gateway / ClusterXL / Scalable Platform Security GroupがGemalto HSMサーバと連動するように構成します。

Gemalto HSM 環境を構成するには、Gemalto 構成ドキュメントを使用します。

ステップ 手順

1

本パッケージをダウンロードする。

Gemalto SafeNet HSM ヘルプパッケージ

(007-011136-012_Net_HSM_6.2.2_Help_RevA)

- このパッケージをダウンロードするには、ソフトウェアサブスクリプションまたはアクティブサポートプランが必要です。

2

Windows搭載のコンピュータを使用する。

3

Gemalto HSM Help パッケージを任意のフォルダーに解凍します。

4

解凍された Gemalto HSM Help フォルダを開いてください。

5

START_HERE.htmlファイルをダブルクリックする。

Gemalto SafeNet Network HSM 6.2.2 Product Documentationが開きます。

Gemalto HSM サーバのインストールと設定には、Gemalto Help ドキュメントを使用してください。

ステップ 手順

1

Gemalto HSM Appliance をインストールします。

Gemalto SafeNet Network HSM 6.2.2 Product Documentation から、Installation Guide > SafeNet Network HSM Hardware Installation に移動してください。

2

Gemalto HSM Appliance と Gemalto HSM Server の初期構成を実行します。

Gemalto SafeNet Network HSM 6.2.2 Product Documentation からは、Configuration Guide > に進み、[Step 1] からは、[Step 6] に進みます。

3

LunaSH で "sysconf recenCert" コマンドを実行し、Gemalto HSM サーバ (server.pem) 用の新しい証明書を生成します。

Gemalto SafeNet Network HSM 6.2.2 Product Documentation から、Configuration Guide > [Step 7] Create a trusted link and register Client and Appliance with each other に移動してください。

4

Gemalto HSM サーバが Check Point Security Gateway / ClusterXL / Security Group と連動するように設定を完了します。

  1. 該当するパーティションをアクティブにし、自動起動するように設定します。

    LunaSHでこれらのコマンドを実行します。

    lunash:> partition showPolicies -partition <Partition Name>

    lunash:> partition changePolicy -partition <Partition Name> -policy 22 -value 1

    lunash:> partition changePolicy -partition <Partition Name> -policy 23 -value 1

    lunash:> partition showPolicies -partition <Partition Name>

    - 自動起動を維持するように設定しない場合、マシンを2時間以上シャットダウンしても、パーティションは起動したままになりません。

  2. NTLAクライアント接続時に、NTLSによるクライアントのソースIPアドレスの検証を無効にします。

    LunaSHでこのコマンドを実行します。

    lunash:> ntls ipcheck disable

    - これにより、HSM サーバは、クラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。 VIP アドレスの背後にトラフィックを隠している Check Point クラスタメンバ、および NAT の背後に隠された Check Point セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。/セキュリティグループからのトラフィックを受け入れることができるようになります。

Gemalto HSM Client ワークステーションを使用して、Gemalto HSM サーバに CA 証明書を作成します。

Check Point Security Gateway / ClusterXL / Scalable Platform Security Group は、この HTTPS 検査用 CA 証明書を使用して、Gemalto HSM Server 上の SSL キーを保存し、アクセスする。

- HSMクライアントパッケージがインストールされたCheck Point Security Gateway / ClusterXL / Scalable Platform Security Groupを、HSMクライアントワークステーションとして使用することも可能です。
ステップ 手順

1

GemaltoベンダーからこのHSMクライアントパッケージを入手します。

610-012382-017_SW_Client_HSM_6.2.2_RevA

2

Gemalto HSMクライアントワークステーションとして使用するために、WindowsベースまたはLinuxベースのコンピュータをインストールします。

3

コンピュータにHSMクライアントパッケージをインストールします。

Gemalto SafeNet Network HSM 6.2.2 Product Documentation から、Installation Guide > SafeNet HSM Client Software Installation に移動してください。

4

Gemalto HSM クライアントワークステーションと Gemalto HSM サーバの間にトラストリンクを確立する。

Gemalto SafeNet Network HSM 6.2.2 Product Documentation から、Configuration Guide > [Step 7] Create a trusted link and register Client and Appliance with each other に移動してください。

Gemalto HSMクライアントワークステーションで、LunaCMで実行します。

lunacm:> clientconfig deploy -c <IP Address of HSM Client Workstation> -n <IP Address of HSM Server> -par <Partition Name> -pw <Partition Password>

ステップ 手順

1

Gemalto HSMクライアントワークステーションで、コマンドプロンプトまたはターミナルウィンドウを開きます。

2

鍵ペアを作成するには、「cmu generatekeypair 」コマンドを使用します。

Gemalto SafeNet Network HSM 6.2.2 Product Documentation から、Utilities Reference Guide > Certificate Management Utility (CMU) > cmu generatekeypair に移動してください。

例:

# cd /usr/safenet/lunaclient/bin

# ./cmu generatekeypair -modulusBits=2048 -publicExponent=65537 -labelPublic="CAPublicKeyPairLabel" -labelPrivate="CAPrivateKeyPairLabel" -sign=T -verify=T

3

プロンプトが表示されたら、Gemalto HSM Server上のパーティションのパスワードを入力します(ステップ2/5Gemalto HSMサーバをCheck Point Security Gateway / ClusterXL / Scalable Platform Security Groupで動作させるための設定).

例:

Enter a password for the token in slot 0:

4

RSA機構を選択し、対応する番号を入力します。

[1] PKCS [2] FIPS 186-3 Only Primes [3] FIPS 186-3 Auxiliary Primes

5

作成したキーペアのハンドルを表示します。

Gemalto SafeNet Network HSM 6.2.2 Product Documentation から、Utilities Reference Guide > Certificate Management Utility (CMU) > cmu list に移動してください。

# ./cmu list

出力例:

Enter password for token in slot 0 : <Password for the Partition>

handle=17      label=CAPrivateKeyPairLabel

handle=18      label=CAPublicKeyPairLabel

6

前のステップのハンドル番号を使用して、CA証明書を作成します。

Gemalto SafeNet Network HSM 6.2.2 Product Documentation から、次のようになります。 Utilities Reference Guide > Certificate Management Utility (CMU) > cmu selfsigncertificate

例:

# ./cmu selfsigncertificate -privatehandle=17 CN="www.gemltoHSM.cp" -sha256WithRSA -startDate 20190720 -endDate 20240720 -serialNum=111aaa -keyusage digitalsignature,keycertsign,crlsign -basicconstraints=critical,ca:true

7

作成したCA証明書のハンドルを表示します。

# ./cmu list

出力例:

Enter password for token in slot 0 : <Password for the Partition>

handle=13     label=www.myhsm.cp

handle=17     label=CAPrivateKeyPairLabel

handle=18     label=CAPublicKeyPairLabel

重要- この3つのハンドルの番号は、後でCheck Point Security Gateway /each Cluster Member / Scalable Platform Security Groupで$FWDIR/conf/hsm_configuration.C ファイルを設定するときに使用します)。

8

CA証明書をファイルに書き出す。

Gemalto SafeNet Network HSM 6.2.2 Product Documentation から、次のようになります。 Utilities Reference Guide > Certificate Management Utility (CMU) > cmu export

# ./cmu export -handle=<Handle Number> -outputfile=<Name of Output File>

このステップには3つのサブステップがあります。

重要:

ステップ 手順

1

SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、HTTPSインスペクション閉じた Secure Sockets Layer (SSL) プロトコルによって暗号化されたトラフィックにマルウェアや疑わしいパターンがないか検査する、セキュリティゲートウェイの機能。同義語:SSL 検査。頭字語:HTTPSI、httpSi。を有効にして設定します。

R81.10 Security Management Administration Guide > 章HTTPS Inspection をご覧ください。

2

Security Gateway /each クラスタメンバ / Security Group で、$FWDIR/conf/hsm_configuration.C ファイルで HSM を無効化します。

  1. コマンドラインに接続します。

  2. エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

  3. ファイルを編集します。

    vi $FWDIR/conf/hsm_configuration.C

  4. パラメータ"enabled"に値"no"を設定する。

    :enabled ("no")

  5. 変更内容をファイルに保存し、エディタを終了します。

  6. Scalable Platform Security Groupでは、更新されたファイルをすべてのSecurity Groupメンバにコピーする必要があります。

    asg_cp2blades $FWDIR/conf/hsm_configuration.C

3

SmartConsoleで、Security Gateway / ClusterXLオブジェクトに、該当するAccess Control Policyをインストールします。

4

HTTPS InspectionがHSMサーバなしで正しく機能することを確認します。

  1. 社内のコンピュータから、任意のHTTPSのWebサイトに接続します。

  2. 内部コンピュータのWebブラウザで、Security Gateway / ClusterXL / Security Groupから署名されたCA証明書を受信する必要があります。

重要:

  • クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

  • VSX 環境では、この手順は VSX ゲートウェイまたはeach VSX クラスタメンバのコンテキスト(VS 0 のコンテキスト) で実行する必要があります。

  • Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

注:

  • 詳細については、Gemalto SafeNet Network HSM 6.2.2 Product Documentationを参照してください。

    トラストリンクの確立については、Appliance Administration Guide > Configuration without One-step NTLS > [Step 7] Create a Network Trust Link Between the Client and the Appliance

  • 新しいTrust Linkを設定する必要がある場合は、現在のTrust Linkを削除する必要があります。

    HSMサーバとのトラストリンクの削除を参照してください。

Security Gateway / ClusterXLを使用する場合の手順。

ステップ 手順

1

Gemalto から受け取った Gemalto HSM Client パッケージを開いてください。

610-012382-017_SW_Client_HSM_6.2.2_RevA

このディレクトリに移動します。 linux > 32

2

HSMクライアントパッケージをインストールします。

Gemalto SafeNet Network HSM 6.2.2 Product Documentation から、Installation Guide > SafeNet HSM Client Software Installation に移動してください。

3

エキスパートモードで、libCryptoki2.so ファイルを/usr/lib/hsm_client/ ディレクトリにコピーします。

cp -v /usr/safenet/lunaclient/lib/libCryptoki2.so /usr/lib/hsm_client/

重要- セキュリティ上の理由から、rootユーザのみがこのディレクトリにアクセスする権限を持っています。

このディレクトリに物理ファイルをコピーする必要があります。シンボリックリンクは作成しないでください。

4

Security Gateway /each クラスタメンバ上の Gemalto HSM Client と Gemalto HSM Server の間にトラストリンクを確立します。

Gemalto SafeNet Network HSM 6.2.2 Product Documentation から、Configuration Guide > [Step 7] Create a trusted link and register Client and Appliance with each other に移動してください。

Security Gateway /each クラスタメンバで、LunaCMで実行します。

lunacm:> clientconfig deploy -c <IP Address of Security Gateway or Cluster Member> -n <IP Address of HSM Server> -par <Partition Name> -pw <Partition Password>

5

Security Gateway /each クラスタメンバ上のパーティションアクセスを調べます。

# /usr/safenet/lunaclient/bin/vtl verify

スケーラブルプラットフォームセキュリティグループ:

ステップ 手順

1

Gemalto から受け取った Gemalto HSM Client パッケージを開いてください。

610-012382-017_SW_Client_HSM_6.2.2_RevA

2

Security Groupにソフトウェアパッケージをどこかのディレクトリに転送する。

例えば、すべてのセキュリティグループメンバーに/var/log/HSM_Client/を作成します。

g_all mkdir -v /var/log/HSM_Client/

3

Security Groupでコマンドラインに接続します。

4

エキスパートモードにログインします。

5

Gemalto HSM Client パッケージを解凍します。

g_all cd /var/log/HSM_Client/

g_all tar -xvf <Name of Gemalto HSM Client Package>.tar

6

すべてのセキュリティグループメンバーに Gemalto HSM Client パッケージをインストールします。

g_all rpm -Uvh /var/log/HSM_Client/configurator-6.2.2-4.i386.rpm

g_all rpm -Uvh /var/log/HSM_Client/libcryptoki-6.2.2-4.i386.rpm

g_all rpm -Uvh /var/log/HSM_Client/vtl-6.2.2-4.i386.rpm

7

セキュリティグループ上の Gemalto HSM Client と Gemalto HSM Server の間にトラストリンクを確立します。

Gemalto SafeNet Network HSM 6.2.2 Product Documentation から、Configuration Guide > [Step 7] Create a trusted link and register Client and Appliance with each other に移動してください。

Security Group上で、LunaCMで実行します。

lunacm:> clientconfig deploy -c <IP Address of Security Group> -n <IP Address of HSM Server> -par <Partition Name> -pw <Partition Password>

8

Security Group上のパーティションアクセスを調べる。

# /usr/safenet/lunaclient/bin/vtl verify

重要:

  • クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

  • VSX 環境では、この手順は VSX ゲートウェイまたはeach VSX クラスタメンバのコンテキスト(VS 0 のコンテキスト) で実行する必要があります。

  • Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

注:

  • HSMの設定を初めて適用した後、HSM接続エラーが発生することがあります。

    最も一般的なシナリオは、複数のセキュリティゲートウェイ(クラスタメンバ)が同じHSMサーバを使用するように設定し、それらが同時にHSMサーバにアクセスする場合です。

    この場合

    1. HSM接続に問題があるSecurity Gateway(クラスタメンバ)で、"fw fetch local"コマンドを実行します。

      VSX環境では、問題のあるVSXバーチャルシステムのコンテキストで、このコマンドを実行します。

    2. HSM on" が表示されるまでお待ちください。

    3. 次のセキュリティゲートウェイ、クラスタメンバ、またはVSXバーチャルシステムの設定を続行します。

  • $FWDIR/conf/hsm_configuration.C ファイルを変更した後は、以下のいずれかを行う必要があります。

    • fw fetch local" コマンドでローカルポリシーを取得します。

    • SmartConsoleで、Security Gateway / ClusterXL / VSX Virtual Systemオブジェクトにポリシーをインストールします。

  • SmartConsoleでローカルポリシーを取得するとき、またはポリシーをインストールするときにHSMサーバが利用できない場合、HTTPS検査は送信HTTPSトラフィックを検査することができません。その結果、Security Gateway / ClusterXL / Security Group / VSX Virtual Systemの背後にある内部コンピュータは、HTTPSのWebサイトにアクセスできなくなります。

    さらに、セキュリティゲートウェイからHSMサーバへの通信の無効化を参照してください。
ステップ 手順

1

Security Gateway、各クラスタメンバ、またはスケーラブル プラットフォーム セキュリティ グループのコマンドラインに接続します。

2

エキスパートモードにログインします。

3

$FWDIR/conf/hsm_configuration.C ファイルをバックアップする。

  • Security Gateway /各クラスタメンバ:

    cp -v $FWDIR/conf/hsm_configuration.C{,_BKP}

  • スケーラブル プラットフォーム セキュリティ グループ:

    g_cp -v $FWDIR/conf/hsm_configuration.C{,_BKP}

4

$FWDIR/conf/hsm_configuration.C ファイルを編集します。

vi $FWDIR/conf/hsm_configuration.C

5

これらの属性に必要な値を設定します。

(

:enabled ("yes")

:hsm_vendor_name ("Luna Gemalto HSM")

:lib_filename ("libCryptoki2.so")

:CA_cert_public_key_handle (<Number of "Public" Handle for CA certificate>)

:CA_cert_private_key_handle (<Number of "Private" Handle for CA certificate>)

:CA_cert_buffer_handle (<Number of Handle for CA certificate>)

:token_id ("<Password for Partition on Gemalto HSM Server>")

)

 

注:

  • :enabled ()" 属性は、"yes" (HSMを有効にする) または "no" (HSMを無効にする) のいずれかの値である必要があります。

  • ":hsm_vendor_name ()"属性には、文字列 "Luna Gemalto HSM" を含める必要があります(または空である必要があります)。

  • :lib_filename ()" 属性には、Gemalto HSM ベンダーの PKCS#11 ライブラリーの名前 (Security Gateway /each Cluster Member / Security Group 上の/usr/lib/hsm_client/ ディレクトリにあります) を指定する必要があります。

  • Gemalto HSM サーバ上の "cmu list" コマンドの出力から、 ":CA_cert_<XXX> ()" 属性に必要なハンドルの値が含まれている必要があります。

    ステップ4/5Gemalto HSM サーバでの CA 証明書の作成.

  • :token_id ()" 属性には、Gemalto HSM サーバ上のパーティションのパスワードが含まれている必要がありま す。

    ステップ2/5Gemalto HSMサーバをCheck Point Security Gateway / ClusterXL / Scalable Platform Security Groupで動作させるための設定.

例:

コピー 
(
:enabled ("yes")
:hsm_vendor_name ("Gemalto HSM")
:lib_filename ("libCryptoki2.so")
:CA_cert_public_key_handle (17)
:CA_cert_private_key_handle (18)
:CA_cert_buffer_handle (13)
:token_id ("p@ssw0rd")
)

6

新しいコンフィギュレーションを適用します。

  • :hsm_vendor_name ()" 属性の値を文字列 "Gemalto HSM" として明示的に定義(または変更)している場合は、このコマンドを使用してすべての Check Point サービスを再起動します。

    • Security Gateway /各クラスタメンバ:

      cprestart

    • スケーラブル プラットフォーム セキュリティ グループ:

      g_all cprestart

    重要- これは、すべてのサービスが再起動するまで、すべてのトラフィックをブロックします。クラスタでは、フェイルオーバーが発生する可能性があります。

  • ":hsm_vendor_name ()" 属性の値を定義していない(空である) 場合は、このコマンドでローカル ポリシーを取得します。

    • Security Gateway /各クラスタメンバ:

      fw fetch local

    • スケーラブル プラットフォーム セキュリティ グループ:

      g_fw fetch local

7

Security Gateway /each クラスタメンバ / Security Group が HSM サーバに接続でき、送信トラフィックで HTTPS Inspection が正常に有効化されていることを確認します。

このコマンドを実行します。

  • Security Gateway /各クラスタメンバ:

    cpstat https_inspection -f all

  • スケーラブル プラットフォーム セキュリティ グループ:

    g_all cpstat https_inspection -f all

出力には次が表示される必要があります。

  • HSM partition access (Accessible/Not Accessible): Accessible

  • Outbound status (HSM on/HSM off/HSM error): HSM on

詳細については、CLIでのHSMによるHTTPSインスペクションの監視参照してください。

8

送信トラフィックで HTTPS インスペクションが正常に有効になっていることを確認します。

  1. 社内のコンピュータから、任意のHTTPSのWebサイトに接続します。

  2. 内部コンピュータのウェブブラウザで、HSMサーバから署名されたCA証明書を受け取る必要があります。

Gemalto HSM サーバの追加アクション

Check Point Security GatewayとHSMサーバの間で新しいTrust Linkを確立する必要がある場合は、現在のTrust Linkを削除する必要があります。

使用事例:Check Point Security Gateway、または HSM Server を交換または再設定する場合。

ステップ 手順

1

Check Point Security Gateway /each Cluster Member / Scalable Platform Security Group上の現在のTrust Linkを削除します。

  1. コマンドラインに接続します。

  2. エキスパートモードにログインします。

  3. SafeNet HSM Simplified Client のインストールディレクトリに移動します。

    • Security Gateway /各クラスタメンバ:

      cd /usr/safenet/lunaclient/bin/

    • スケーラブル プラットフォーム セキュリティ グループ:

      g_all cd /usr/safenet/lunaclient/bin/

  4. 古いTrust Linkを削除する。

    • Security Gateway /各クラスタメンバ:

      ./vtl deleteServer -n <IP Address of HSM Server>

    • スケーラブル プラットフォーム セキュリティ グループ:

      g_all ./vtl deleteServer -n <IP Address of HSM Server>

2

HSMアプライアンスの現在のTrust Linkを削除します。

  1. SSHでHSM Applianceに接続します。

  2. 構成されたHSMクライアントワークステーションのリストを調べます。

    lunash:> client list

  3. Check Point HSM クライアントワークステーションを削除します。

    lunash:> client delete -client <Name of HSM Client>

- 詳細については、Gemalto SafeNet Network HSM 6.2.2 Product Documentationを参照してください。
ステップ 手順

1

SSHでHSM Applianceに接続します。

2

設定されているすべてのインタフェースを調べます。

lunash:> network show

3

新しいインタフェースを追加する。

lunash:> network interface -device <Name of Interface> -ip <IP Address> -netmask <NetMask> [-gateway <IP Address>]

4

すべてのインタフェースでNTLS(Network Trust Link Service)を有効にします。

- 詳細については、Gemalto SafeNet Network HSM 6.2.2 Product Documentation > LunaSH Command Reference Guide > LunaSH Commandsを参照してください。