FutureX HSMとの連携

Check Point Security ゲートウェイ / ClusterXL / Scalable Platform Security Group がFutureX HSM サーバ と連携するように設定するには、このワークフローを使用します。

事前準備

FutureXのベンダーはこれらのパッケージをすべて供給している。

パッケージ

 ファイル 説明

FutureX PKCS11ライブラリ

  • fxpkcs11-windows-4.20-4afd.zip

  • fxpkcs11-redhat-4.20-4afd.tar

  • fxpkcs11-linux-4.20-4afd.tar

  • fxpkcs11-mac-4.20-4afd.tar

FutureX PKCS #11 ライブラリが含まれています。

にインストールする:

  • FutureX HSMクライアントワークステーション

  • Check Point Security ゲートウェイ /各クラスタ・メンバ / Scalable Platform Security Group.

FutureX CLIユーティリティ

  • fxcl-hsm-windows-1.2.4.2-37a8.zip

  • fxcl-hsm-redhat-1.2.4.2-37a8.tar

  • fxcl-hsm-linux-1.2.4.2-37a8.tar

  • fxcl-hsm-mac-1.2.4.2-37a8.tar

  • fxcli-hsm-commands.txt

鍵や証明書を管理するための FutureX CLI Utility が含まれています。

FutureX HSM クライアントワークステーションにインストールします。

フューチャーX証明書

 

FutureX HSMクライアントワークステーションとFutureX HSMサーバ間の信頼のためのFutureX証明書。

設定ステップ

Check Point Security ゲートウェイ / ClusterXL / Scalable Platform Security Group がFutureX HSM サーバ と連携するように設定するには、このワークフローを使用します。

重要- 以下の手順を実行する前に、FutureX 統合ガイドをお読みください。

FutureX HSMクライアントワークステーションを使用して、次のことを行います:

  • FutureX HSM サーバに CA 証明書を作成します。

    Check Point Security ゲートウェイ / ClusterXL / Scalable Platform Security Group は、この HTTPS 検査用 CA 証明書を使用して、FutureX HSM サーバの SSL キーを保存し、アクセスします。

  • Check Point Security ゲートウェイ / ClusterXL / Scalable Platform Security Group が作成した偽装証明書のキーを管理します。

ステップ 手順

1

FutureX HSMクライアントワークステーションとして使用するコンピュータをインストールします。

FutureX ベンダーから該当する HSM クライアントアプリケーションパッケージを入手します。

FutureX HSMクライアントワークステーションは、これらのオペレーティングシステムを実行できます(詳細については、FutureXベンダーにお問い合わせください):

  • Windows( から「FXToolsFutureX portal」パッケージをダウンロードしてインストールするには、FutureX のベンダーにお問い合わせください。)

  • レッドハット・Linux

  • Ubuntu Linux

  • Debian Linux

  • マックオス

2

該当するFutureX PKCS #11 Library パッケージを FutureX HSM クライアントワークステーションに転送します。

  • Windows OS用:

    fxpkcs11-windows-<BUILD>.zip

  • Red Hat Linux OSの場合:

    fxpkcs11-redhat-<BUILD>.tar

  • UbuntuおよびDebian Linux OS用:

    fxpkcs11-linux-<BUILD>.tar

  • macOSの場合:

    fxpkcs11-mac-<BUILD>.tar

重要- ファイルは必ずバイナリーモードで転送してください。

3

FutureX PKCS #11 Library パッケージの内容を FutureX HSM クライアントワークステーションのディレクトリに解凍します。

以下の説明では、このディレクトリを<PKCS#11 Dir>.

重要:

  • FutureX PKCS #11 Libraryパッケージ(fxpkcs11-<OS>-<BUILD>)には、"fxpkcs11"というネストされたディレクトリが含まれています。

    このネストしたディレクトリ "fxpkcs11" の内容を<PKCS#11 Dir> ディレクトリに展開する必要がある。

  • ネストされたディレクトリ "fxpkcs11" には、 "x64" (64ビットOS用)および "x86" (32ビットOS用)というネストされたディレクトリが含まれる。

    該当するネストされたディレクトリ "x64" または "x86" の内容を<PKCS#11 Dir> ディレクトリにアプリケーションする必要がある。

4

FutureXベンダーから受け取った証明書をFutureX HSMクライアントワークステーションのディレクトリに転送します。

5

PKCS#11 マネージャで動作するように HSM クライアントを準備します:

  1. LinuxベースのHSMクライアントで、OpenSSLパッケージをインストールします:

    • UbuntuとDebian Linuxでは、以下を実行する:

      sudo apt-get install openssl

    • Red Hat Linux上で、実行する:

      sudo yum install openssl

  2. この FutureX PKCS #11 Library ファイルが<PKCS#11 Dir> ディレクトリにあることを確認してください:

    • Linux OSの場合:

      libfxpkcs11.so

    • Windows OSの場合:

      fxpkcs11.dll

  3. 設定ファイルfxpkcs11.cfg が該当するディレクトリにあることを確認してください:

    • Linux OSの場合:

      このファイルを<PKCS#11 Dir> ディレクトリから/etc/ ディレクトリに転送する。

      (コピーしたファイルは、/etc/ ディレクトリで編集する必要があります)。

    • Windows OSの場合:

      このファイルは、<PKCS#11 Dir> ディレクトリに保管してください。

  4. これらの設定はファイルfxpkcs11.cfg で行う:

    • <LOG-FILE>

      この属性にログファイルへのパスを設定する。

    • <ADDRESS>

      この属性に FutureX HSM サーバの IP アドレスを設定します。

    • <PROD-PORT>

      この属性に FutureX HSM サーバのポートを設定します。

      デフォルトのポート9100を使用することも、別のポートを設定することもできる。

      クラウドFutureX HSMを使用する場合は、FutureXサポートからポート番号を入手してください。

    その他の関連属性:

    • <PROD-TLS-CA>

      認証局証明書ファイルへのパスを含む。

      この属性は複数回現れることがある。

      CAチェーンのすべての証明書を置くことができる。

    • <PROD-TLS-CERT>

      クライアント証明書ファイルへのパスを含む。

    • <PROD-TLS-KEY>

      クライアント秘密鍵ファイルへのパス。

6

PKCS#11ライブラリをテストする:

  1. 設定をテストするには、configTest ディレクトリからツール<PKCS#11 Dir> を実行する。

  2. キーを管理するには、PKCS11Manager ディレクトリからツール<PKCS#11 Dir> を実行する。

  3. <LOG-FILE> ファイルのfxpkcs11.cfg 属性で設定したログファイルを調べる。

重要- 設定ファイルやPKCS #11ライブラリファイルの場所に問題がある場合は、以下の環境変数を設定することができます:

  • FXPKCS11_CFGコンフィギュレーション・ファイルへのフル・パスを含むfxpkcs11.cfg

  • FXPKCS11_MODULEには、PKCS #11ライブラリファイルのフルパスを指定します。

環境変数を設定する:

  • Linux OSでは、このコマンドを使用する:

    export VARIABLE=VALUE

    例:

    export FXPKCS11_CFG=/home/user/fxpkcs11.cfg

  • Windows OSでは、このコマンドを使用する:

    set VARIABLE=VALUE

    例:

    set FXPKCS11_CFG=C:\Users\Futurex\Desktop\fxpkcs11.cfg

7

FutureX HSMクライアントワークステーションでのPKCS#11の設定についての詳細は、こちらを参照してください:

  1. FutureX portal にログインする。

  2. に行く:

    開発者向けドキュメント

    汎用

    汎用テクニカルレファレンス

    PKCS #11テクニカル・リファレンス

8

該当する FutureX CLI Utility アプリケーション パッケージを FutureX HSM クライアントワークステーションに転送します。

  • Windows OS用:

    fxcl-hsm-windows-<BUILD>.zip

  • Red Hat Linux OSの場合:

    fxcl-hsm-redhat-<BUILD>.tar

  • UbuntuおよびDebian Linux OS用:

    fxcl-hsm-linux-<BUILD>.tar

  • macOSの場合:

    fxcl-hsm-mac-<BUILD>.tar

重要- ファイルは必ずバイナリーモードで転送してください。

9

FutureX CLI Utilityパッケージの内容をFutureX HSMクライアントワークステーションのディレクトリに解凍します。

以下の説明では、このディレクトリを<CLI Dir>.

重要:

  • FutureX CLI Utility パッケージ (fxcl-hsm-<OS>-<BUILD>) には "fxcl" というネストされたディレクトリが含まれています。

  • ネストされたディレクトリfxcl には、"x64" (64ビットOS用)および "x86" (32ビットOS用)というネストされたディレクトリが含まれる。

  • ネストされたディレクトリx64x86 には、"OpenSSL-1.0.x" と "OpenSSL-1.1.x" というネストされたディレクトリが含まれている。

    該当するネストされたディレクトリ "OpenSSL-1.0.x" または "OpenSSL-1.1.x" の内容を<CLI Dir> ディレクトリにアプリケーションする必要がある。

    どのバージョンのOpenSSLを使用するかは管理者が決定します(詳細については、FutureXのベンダーにお問い合わせください)。

10

これらの証明書を FutureX HSM クライアントワークステーションの<CLI Dir> ディレクトリに転送します:

  • クライアント証明書(以下、<Client Certificate> )。

  • CA 証明書(以下、<CA Certificate> )。

11

FutureX HSM クライアントと FutureX HSM サーバの接続を確立します:

  1. <CLI Dir>

  2. シェルを起動する:

    fxcli-hsm

  3. これらのコマンドをリスト順に実行する:

    tls pki -f <Client Certificate> -p safest

    tls ca -f <CA Certificate>

    connect tcp -c <IP Address of URL of HSM Server>:<Port on HSM Server>

    login user -u <Username> -p <Password (default is "safest")>

    exit

12

FutureX HSMクライアントワークステーションでこれらのツールを使用して、FutureX HSMサーバに保存されている鍵と証明書を管理できます:

  1. PKCS11Manager

    • <PKCS#11 Dir> ディレクトリからこのコマンドを実行する。

    • このツールは、鍵を作成したり、HSMパーティション(鍵と証明書を格納)のコンテンツを参照したりできる。

    • ツールのメニューに従って、利用可能なオプションを確認してください。

  2. fxcli-hsm

    • <CLI Dir> ディレクトリからこのコマンドを実行する。

    • このシェルで利用可能なすべてのコマンドを見るには、以下を実行する:help

    • このシェルでコマンドに利用可能なすべてのオプションを表示するには、コマンドのみを実行するか、コマンドに "-h" オプションを付けて実行する。
ステップ 手順

1

FutureX HSM クライアントワークステーションで、FutureX CLI ユーティリティを開きます。

2

利用可能なスロットのリストを取得する。

以下のいずれかのコマンドを実行します。

keytable list

keytable reload

3

CA証明書のキー・ペアを生成する:

generate -a rsa -b 2048 --slot <Slot or Label of CA Certificate> --name <Name of CA Certificate Private Key File> --tpk-slot <Slot or Label of CA Certificate Public Key> --tpk-name <Name of CA Certificate Public Key File> -u sign,verify

例:

generate -a RSA -b 2048 --slot 0 --name CAPrivateKey --tpk-slot 1 --tpk-name CAPublicKey -u sign,verify

重要- 「 」オプションは使用しないで... slot nextください。Check Point Security ゲートウェイ / ClusterXL / Scalable Platform Security Group が作成した偽の証明書の鍵が上書きされる可能性があります。

4

CA証明書を生成する:

x509 sign --private-slot <Slot or Label of Private Key> --dn "<Distinguished Name of CA Certificate>" --ca 1 --key-usage DigitalSignature --key-usage CrlSign --key-usage KeyCertSign --save-slot <Slot to Save the CA Certificate> --save-name <Label of CA Certificate File> -o <Full Path and Name of CA Certificate File>.cer --validity-period '<Period>'

例:

x509 sign --private-slot 0 --dn "CN=www.futurexhsm.cp" --ca 1 --key-usage DigitalSignature --key-usage KeyCertSign --key-usage CrlSign --save-slot 2 --save-name CACert -o Z:\FutureXhsm.cer --validity-period '5 years'

重要- 「 」オプションは使用しないで... slot nextください。Check Point Security ゲートウェイ / ClusterXL / Scalable Platform Security Group が作成した偽の証明書の鍵が上書きされる可能性があります。

5

CA証明書とCA証明書のキー・ペアに使用されるスロットのリストを取得する。

以下のいずれかのコマンドを実行します。

keytable list

keytable reload

- コマンド "keytable list" は、スロット番号にPKCS#11ハンドルを1つ加えたものを表示します。例えば、スロット0はハンドル1、スロット1はハンドル2といった具合だ。

6

のハンドルを書き留める:

  • CA 証明書

  • CA 証明書の公開鍵

  • CA 証明書の秘密鍵

例:

CAPublicKey (1)

CAPrivateKey (2)

CACert (3)

重要- Check Point Security ゲートウェイ / ClusterXL / Scalable Platform Security Group で$FWDIR/conf/hsm_configuration.C ファイルを構成する際には、これら 3 つのハンドルの番号を使用します。

このステップには4つのサブステップがある。

重要:

ステップ 手順

1

SmartConsole閉じた Check Point環境の管理に使用されるCheck Point GUIアプリケーション。セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなどを行う。で、HTTPS検査を設定します。

詳細はR81.20 Security Management Administration Guide> HTTPSインスペクションの章

2

セキュリティ・ゲートウェイ/各クラスタ・メンバ/セキュリティ・グループで、$FWDIR/conf/hsm_configuration.C ファイルで HSM を無効にします。

  1. コマンドラインに接続します。

  2. エキスパートモードにログインします。

  3. ファイルを編集する:

    vi $FWDIR/conf/hsm_configuration.C

  4. パラメータ"no"に値"enabled"を設定する:

    :enabled ("no")

  5. 変更内容をファイルに保存し、エディタを終了します。

  6. Scalable Platformセキュリティグループ上で、更新されたファイルをすべてのセキュリティグループメンバにコピーする必要があります:

    asg_cp2blades $FWDIR/conf/hsm_configuration.C

3

SmartConsoleで、該当するAccess Control PolicyをSecurity ゲートウェイ / ClusterXLオブジェクトにインストールします。

4

HTTPS 検査が HSM サーバなしで正しく機能することを確認します:

  1. 社内のコンピュータから、任意のHTTPS Webサイトに接続する。

  2. 内部コンピュータのWebブラウザで、Security ゲートウェイ / ClusterXL / Security Groupから署名されたCA証明書を受け取る必要があります。

重要:

  • クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

  • VSX 環境では、VSX ゲートウェイまたはVSX クラスタメンバのコンテキスト(VS 0 の コンテキスト)で、この手順を実行する必要があります。

  • Scalable Platform(Maestro およびシャーシ)では、該当するセキュリティ・グループに接続する必要があります。
ステップ 手順

1

FutureX PKCS #11 バイナリファイルをセキュリティゲートウェイ/各クラスタメンバ/Scalable Platform セキュリティグループに転送します:

  1. コンピュータでFutureX PKCS#11 Library パッケージを開く。

  2. このフォルダに移動する:

    fxpkcs11-linux-<BUILD>> fxpkcs11 > x86 >OpenSSL-1.1.x

  3. これらのファイルをセキュリティゲートウェイ/各クラスタメンバ/セキュリティグループの/usr/lib/hsm_client/ ディレクトリに転送します:

    • libfxpkcs11.so

    • configTest

    Important- ファイルは必ずバイナリーモードで転送してください。

  4. Scalable Platform Security Groupでは、これらのファイルをすべてのSecurity Groupメンバにコピーする必要があります:

    asg_cp2blades /usr/lib/hsm_client/libfxpkcs11.so

    asg_cp2blades /usr/lib/hsm_client/configTest

2

FutureX PKCS #11 設定ファイルをセキュリティゲートウェイ /各クラスタメンバ / Scalable Platform セキュリティグループに転送します:

  1. コンピュータでFutureX PKCS#11 Library パッケージを開く。

  2. このフォルダに移動する:

    fxpkcs11-linux-<BUILD>>fxpkcs11

  3. このファイルをセキュリティゲートウェイ/各クラスタメンバ/Scalable Platformセキュリティグループの/etc/ ディレクトリに転送します:

    fxpkcs11.cfg

  4. Scalable Platform Security Groupでは、このファイルをすべてのSecurity Groupメンバにコピーする必要があります:

    asg_cp2blades /usr/lib/hsm_client/fxpkcs11.cfg

Check Point Security ゲートウェイ(HSMクライアント)とFutureX HSMサーバ間の接続を確立するには、Check Point Security ゲートウェイとFutureX HSMサーバ間のTLS認証用の証明書ファイルを作成する必要があります。これらは、必要な証明書ファイルを作成するためのオプションである:

  • HSM上で証明書を作成する(最も一般的な方法)。

  • FutureXベンダーから証明書を入手する。

  • HSM サーバの "Anonymous" 設定を有効にして、相互認証が不要になるようにします(FutureX 統合ガイドを参照)。

重要:

  • クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

  • VSX 環境では、VSX ゲートウェイまたはVSX クラスタメンバのコンテキスト(VS 0 の コンテキスト)で、この手順を実行する必要があります。

  • Scalable Platform(Maestro およびシャーシ)では、該当するセキュリティ・グループに接続する必要があります。
ステップ 手順

1

FutureX ベンダーから受け取った FutureX 証明書ファイルを、セキュリティゲートウェイ /各クラスタメンバ / Scalable Platform セキュリティグループの/usr/futurex/ ディレクトリに転送します。

Scalable Platform Security Groupでは、これらの証明書ファイルをすべてのSecurity Groupメンバにコピーする必要があります:

asg_cp2blades /usr/futurex/<Name of Certificate File>

2

セキュリティゲートウェイ/各クラスタメンバ/セキュリティグループのコマンドラインに接続します。

3

エキスパートモードにログインします。

4

設定ファイルのバックアップ/etc/fxpkcs11.cfg

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    cp -v /etc/fxpkcs11.cfg{,_BKP}

  • Scalable Platformセキュリティ グループで、次を実行します。

    g_cp -v /etc/fxpkcs11.cfg{,_BKP}

5

設定ファイル/etc/fxpkcs11.cfg を編集する:

vi /etc/fxpkcs11.cfg

6

これらの属性値を設定する:

属性 属性値

<LOG-FILE>

/var/log/fxpkcs11.log

<ADDRESS>

FutureX HSMサーバのIPアドレス(またはURL)。

<PROD-PORT>

FutureX HSM サーバのポート。

デフォルトのポート9100を使用することも、別のポートを設定することもできる。

<PROD-TLS-CA>

認証局証明書ファイルへのパス。

この属性は複数回現れることがある。

<PROD-TLS-CERT>

クライアント証明書ファイルへのパス。

<PROD-TLS-KEY>

クライアント秘密鍵ファイルへのパス。

7

変更内容をファイルに保存し、エディタを終了します。

8

Scalable Platformセキュリティグループ上で、更新されたファイルをすべてのセキュリティグループメンバにコピーする必要があります:

asg_cp2blades /etc/fxpkcs11.cfg

9

必要なシンボリックリンクを作成する:

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    ln -s /var/log/fxpkcs11.log /tmp/fxpkcs11.log

  • Scalable Platformセキュリティ グループで、次を実行します。

    g_all ln -s /var/log/fxpkcs11.log /tmp/fxpkcs11.log

重要:

  • クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

  • VSX 環境では、VSX ゲートウェイまたはVSX クラスタメンバのコンテキスト(VS 0 の コンテキスト)で、この手順を実行する必要があります。

  • Scalable Platform(Maestro およびシャーシ)では、該当するセキュリティ・グループに接続する必要があります。

注:

  • HSM設定を初めて適用すると、HSM接続エラーが発生することがあります。

    最も一般的なシナリオは、複数のセキュリティ・ゲートウェイ/クラスタ・メンバ/Scalable Platformセキュリティ・グループが同じHSMサーバを使用するように設定し、同時にアクセスする場合です。

    この場合

    1. HSM接続に問題があるセキュリティ・ゲートウェイ/fw fetch local各クラスタ・メンバ/セキュリティ・グループで "" コマンドを実行します。

      VSX 環境では、問題のある VSX バーチャルシステムのコンテキストでこのコマンドを実行する。

    2. 画面に "HSM on" と表示されたら、次のセキュリティ・ゲートウェイ、クラスタ・メンバ、セキュリ ティ・グループ、または VSX バーチャル・システムの設定を続行する。

  • $FWDIR/conf/hsm_configuration.C ファイルを変更したら、以下のいずれかを行う必要がある:

    • fw fetch local" コマンドでローカルポリシーを取得する。

    • SmartConsoleで、ポリシーをSecurity ゲートウェイ / ClusterXL / VSX Virtual Systemオブジェクトにインストールします。

  • ローカルポリシーを取得するとき、またはSmartConsoleでポリシーをインストールするときに、HSMサーバが利用可能でない場合、HTTPS検査は、送信HTTPSトラフィックを検査できません。その結果、Security ゲートウェイ / ClusterXL / VSX仮想システムの背後にある内部コンピュータは、HTTPS Webサイトにアクセスできなくなります。

    さらにセキュリティゲートウェイからHSMサーバへの通信を無効にする
ステップ 手順

1

セキュリティゲートウェイ/各クラスタメンバ/Scalable Platformセキュリティグループのコマンドラインに接続します。

2

エキスパートモードにログインします。

3

$FWDIR/conf/hsm_configuration.C ファイルをバックアップする:

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    cp -v $FWDIR/conf/hsm_configuration.C{,_BKP}

  • Scalable Platformセキュリティ グループで、次を実行します。

    g_cp -v $FWDIR/conf/hsm_configuration.C{,_BKP}

4

$FWDIR/conf/hsm_configuration.Cファイルを編集します。

vi $FWDIR/conf/hsm_configuration.C

5

これらの属性に必要な値を設定する:

(

:enabled ("yes")

:hsm_vendor_name ("FutureX HSM")

:lib_filename ("")

:CA_cert_public_key_handle (<Number of "CAPublicKey" Handle for CA certificate>)

:CA_cert_private_key_handle (<Number of "CAPrivateKey" Handle for CA certificate>)

:CA_cert_buffer_handle (<Number of "CACert" Handle for CA certificate>)

:token_id ("<Password for Partition on FutureX HSM Server>")

)

 

注:

  • :enabled ()" 属性の値は、"yes" (HSMを有効にする)、または"no" (HSMを無効にする)のいずれかでなければならない。

  • :hsm_vendor_name ()" 属性には、"FutureX HSM" という文字列を含める必要があります。

  • :lib_filename ()" 属性には、セキュリティゲートウェイ/libfxpkcs11.so各クラスターメンバ/セキュリティグループ上のファイル (FutureX PKCS #11 ライブラリ)へのフルパスを含める必要があります。

    このファイルがデフォルトのパスにない場合は、明示的にこのフルパスを設定する必要がある:/usr/lib/libfxpkcs11.so

  • :CA_cert_<XXX> ()" 属性には、FutureX HSM サーバ の "keytable" コマンドの出力から必要なハンドルの値を指定する必要があります。

    参照: ステップ 2/3: FutureX HSM サーバでの CA 証明書の作成

  • :token_id ()" 属性には、FutureX HSM サーバ上のパーティションのパスワードを指定します。

例:

コピー 
(:enabled ("yes") :hsm_vendor_name ("FutureX HSM") :lib_filename ("") :CA_cert_public_key_handle (1) :CA_cert_private_key_handle (2) :CA_cert_buffer_handle (3) :token_id ("p@ssw0rd") )

6

新しい設定を適用する。

  • :hsm_vendor_name ()" 属性の値を文字列 "FutureX HSM" に明示的に定義(または変更)した場合は、このコマンドを使用してすべてのCheck Pointサービスを再起動します:

    • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

      cprestart

    • Scalable Platformセキュリティ グループで、次を実行します。

      g_all cprestart

    重要- これは、すべてのサービスが再起動するまで、すべてのトラフィックをブロックする。クラスタでは、これがフェイルオーバーの原因となる。

  • もし ":hsm_vendor_name ()" 属性の値がすでに文字列 "FutureX HSM" を含んでいたら、このコマンドでローカル・ポリシーをフェッチする:

    • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

      fw fetch local

    • Scalable Platformセキュリティ グループで、次を実行します。

      g_fw fetch local

7

セキュリティゲートウェイ/各クラスターメンバ/セキュリティグループが HSM サーバに接続できること、および送信トラフィックで HTTPS 検査が正常に有効化されていることを確認します。

このコマンドを実行します。

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    cpstat https_inspection -f all

  • Scalable Platformセキュリティ グループで、次を実行します。

    g_all cpstat https_inspection -f all

出力には次が表示される必要があります。

  • HSM partition access (Accessible/Not Accessible): Accessible

  • Outbound status (HSM on/HSM off/HSM error): HSM on

詳しくはCLIでHSMによるHTTPSインスペクションをモニタする

8

アウトバウンド・トラフィックでHTTPS検査が正常に有効になっていることを確認する:

  1. 社内のコンピューターから、任意のHTTPS Webサイトに接続する。

  2. 内部コンピュータのWebブラウザで、HSMサーバから署名されたCA証明書を受け取る必要があります。

- Check Point Security Gateway / クラスタメンバ / セキュリティグループからFutureX HSMサーバへの接続に問題がある場合は、Security Gateway / クラスタメンバ / セキュリティグループに対して以下の手順を実行してください。

  1. /var/log/fxpkcs11.log

    このログファイルに根本原因が表示されない場合は、次のステップに進み、冗長ログを設定してください。

  2. /etc/fxpkcs11.cfg 、ログファイルにより多くの情報を見るために、これらのロギング設定を行う:

    • LOG-TRAFFIC: YES

    • LOG-MODE: INFO

      または

      LOG-MODE: ERROR