Gemalto HSMとの連携

設定ステップ

このワークフローを使用して、Check Point Security ゲートウェイ / ClusterXL / Scalable Platform Security Group を構成し、Gemalto HSM サーバ と連携させます。

Gemalto HSM 環境を構成するには、Gemalto の構成ドキュメントを使用します。

ステップ 手順

1

このパッケージをダウンロードする

Gemalto SafeNet HSM Help package

(007-011136-012_Net_HSM_6.2.2_Help_RevA)

- Software Subscription or Active Support plan is required to download this package.

2

Windowsベースのコンピュータを使用する。

3

Gemalto HSM Help パッケージを任意のフォルダに解凍します。

4

解凍した Gemalto HSM Help フォルダを開きます。

5

START_HERE.htmlファイルをダブルクリックする。

Gemalto SafeNet ネットワーク HSM 6.2.2 Product Documentationが開きます。

ジェムアルトのヘルプ文書を使用して、Gemalto HSM サーバをインストールおよび設定します。

ステップ 手順

1

Gemalto HSM アプライアンスをインストールします。

Gemalto SafeNet ネットワーク HSM 6.2.2 Product Documentation から、Installation Guide>SafeNet ネットワーク HSM Hardware Installation に進みます。

2

Gemalto HSM アプライアンスとGemalto HSM サーバの初期設定を行います。

Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメント からConfiguration Guideに進み、[Step 1]から[Step 6] に進みます。

3

LunaSH で "sysconf recenCert" コマンドを実行し、Gemalto HSM サーバ (server.pem) の新しい証明書を生成します。

Gemalto SafeNet ネットワーク HSM 6.2.2 Product Documentation の Configuration Guide>[Step 7] Create trusted link and register Client and Appliance with each other.

4

Check Point Security ゲートウェイ / ClusterXL / Security Group で動作するように、Gemalto HSM サーバの設定を完了します:

  1. 該当するパーティションをアクティブにし、自動起動するように設定する。

    LunaSHでこれらのコマンドを実行する:

    lunash:> partition showPolicies -partition <Partition Name>

    lunash:> partition changePolicy -partition <Partition Name> -policy 22 -value 1

    lunash:> partition changePolicy -partition <Partition Name> -policy 23 -value 1

    lunash:> partition showPolicies -partition <Partition Name>

    - 自動起動を維持するように設定しない場合、マシンを2時間以上シャットダウンしても、パーティションは起動したままになりません。

  2. NTLAクライアント接続時に、NTLSによるクライアントのソースIPアドレスの検証を無効にする。

    LunaSHでこのコマンドを実行する:

    lunash:> ntls ipcheck disable

    - これにより、HSM サーバは、クラスタ VIP アドレスの背後にトラフィックを隠している Check Point クラスタメンバ、および NAT の背後に隠された Check Point セキュリティゲートウェイ/セキュリティグループからのトラフィックを受け入れることができるようになります。

Gemalto HSMクライアントワークステーションを使用して、Gemalto HSMサーバで CA 証明書を作成します。

Check Point Security ゲートウェイ / ClusterXL / Scalable Platform Security Group は、この HTTPS 検査用 CA 証明書を使用して、Gemalto HSM サーバの SSL キーを保存し、アクセスします。

- HSMクライアントパッケージがインストールされたCheck Point Security Gateway / ClusterXL / Scalable Platform Security Groupを、HSMクライアントワークステーションとして使用することも可能です。
ステップ 手順

1

ジェムアルトのベンダーからこの HSM クライアント・パッケージを入手してください:

610-012382-017_SW_Client_HSM_6.2.2_RevA

2

Gemalto HSMクライアントワークステーションとして使用するWindowsベースまたはLinuxベースのコンピュータをインストールします。

3

コンピュータにHSMクライアントパッケージをインストールします:

Gemalto SafeNet ネットワーク HSM 6.2.2 Product Documentation から、Installation Guide>SafeNet HSM Client Software Installation に進みます。

4

Gemalto HSMクライアントワークステーションとGemalto HSMサーバの間にトラストリンクを確立します。

Gemalto SafeNet ネットワーク HSM 6.2.2 Product Documentation の Configuration Guide>[Step 7] Create trusted link and register Client and Appliance with each other.

Gemalto HSM クライアントワークステーションで、LunaCM を実行します:

lunacm:> clientconfig deploy -c <IP Address of HSM Client Workstation> -n <IP Address of HSM Server> -par <Partition Name> -pw <Partition Password>

ステップ 手順

1

HSMクライアントワークステーションで、コマンド プロンプトまたはターミナル ウィンドウを開きます。

2

cmu generatekeypair" コマンドを使ってキー・ペアを作成する。

Gemalto SafeNet ネットワーク HSM 6.2.2 Product Documentation から、Utilities Reference Guide>証明書 Management Utility (CMU)>cmu generatekeypair を開きます。

例:

# cd /usr/safenet/lunaclient/bin

# ./cmu generatekeypair -modulusBits=2048 -publicExponent=65537 -labelPublic="CAPublicKeyPairLabel" -labelPrivate="CAPrivateKeyPairLabel" -sign=T -verify=T

3

プロンプトが表示されたら、Gemalto HSM サーバのパーティションのパスワードを入力します(このパスワードはステップ 2/5: Check Point Security ゲートウェイ / ClusterXL / Scalable Platform Security Group と連携するGemalto HSMサーバの設定)。

例:

Enter a password for the token in slot 0:

4

対応する番号を入力してRSAメカニズムを選択する:

[1] PKCS [2] FIPS 186-3 Only Primes [3] FIPS 186-3 Auxiliary Primes

5

作成した鍵ペアのハンドルを表示します。

Gemalto SafeNet ネットワーク HSM 6.2.2 Product Documentation から、Utilities Reference Guide>証明書 Management Utility (CMU)>cmu list に進みます。

# ./cmu list

出力例:

Enter password for token in slot 0 : <Password for the Partition>

handle=17      label=CAPrivateKeyPairLabel

handle=18      label=CAPublicKeyPairLabel

6

前のステップのハンドル番号を使用して、CA証明書を作成する。

Gemalto SafeNet ネットワーク HSM 6.2.2 Product Documentation から、Utilities Reference Guide>証明書 Management Utility (CMU)>cmu selfsigncertificateに進みます。

例:

# ./cmu selfsigncertificate -privatehandle=17 CN="www.gemltoHSM.cp" -sha256WithRSA -startDate 20190720 -endDate 20240720 -serialNum=111aaa -keyusage digitalsignature,keycertsign,crlsign -basicconstraints=critical,ca:true

7

作成したCA証明書のハンドルを表示する。

# ./cmu list

出力例:

Enter password for token in slot 0 : <Password for the Partition>

handle=13     label=www.myhsm.cp

handle=17     label=CAPrivateKeyPairLabel

handle=18     label=CAPublicKeyPairLabel

重要- この 3 つのハンドルの番号は、後で Check Point Security ゲートウェイ /$FWDIR/conf/hsm_configuration.C各クラスタ・メンバ / Scalable Platform Security Group の ファイルを構成する際に使用します)。

8

CA証明書をファイルにエクスポートする。

ジェムアルト SafeNet ネットワーク HSM 6.2.2 製品ドキュメントからユーティリティ リファレンス ガイド>証明書管理ユーティリティ (CMU)>cmu exportを開きます。

# ./cmu export -handle=<Handle Number> -outputfile=<Name of Output File>

このステップには3つのサブステップがある。

重要:

ステップ 手順

1

SmartConsole閉じた Check Point環境の管理に使用されるCheck Point GUIアプリケーション。セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなどを行う。で、HTTPS検査を有効にして設定します。

詳細はR81.20 Security Management Administration Guide> HTTPSインスペクションの章

2

セキュリティ・ゲートウェイ/各クラスタ・メンバ/セキュリティ・グループで、$FWDIR/conf/hsm_configuration.C ファイルで HSM を無効にします。

  1. コマンドラインに接続します。

  2. エキスパートモードにログインします。

  3. ファイルを編集する:

    vi $FWDIR/conf/hsm_configuration.C

  4. パラメータ"no"に値"enabled"を設定する:

    :enabled ("no")

  5. 変更内容をファイルに保存し、エディタを終了します。

  6. Scalable Platformセキュリティグループ上で、更新されたファイルをすべてのセキュリティグループメンバにコピーする必要があります:

    asg_cp2blades $FWDIR/conf/hsm_configuration.C

3

SmartConsoleで、該当するAccess Control PolicyをSecurity ゲートウェイ / ClusterXLオブジェクトにインストールします。

4

HTTPS 検査が HSM サーバなしで正しく機能することを確認します:

  1. 社内のコンピュータから、任意のHTTPS Webサイトに接続する。

  2. 内部コンピュータのWebブラウザで、Security ゲートウェイ / ClusterXL / Security Groupから署名されたCA証明書を受け取る必要があります。

重要:

  • クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

  • VSX 環境では、VSX ゲートウェイまたはVSX クラスタメンバのコンテキスト(VS 0 の コンテキスト)で、この手順を実行する必要があります。

  • Scalable Platform(Maestro およびシャーシ)では、該当するセキュリティ・グループに接続する必要があります。

注:

  • 詳細については、Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメントを参照してください。

    トラストリンクの確立については、『アプライアンス管理ガイド>ワンステップNTLSを使用しない構成>[ステップ7]クライアントとアプライアンス間にネットワークトラストリンクを作成する』を参照してください。

  • 新しいトラストリンクを確立する必要がある場合は、現在のトラストリンクを削除する必要があります。

    参照: HSMサーバとのトラストリンクの削除

セキュリティゲートウェイ / ClusterXLの手順:

ステップ 手順

1

ジェムアルトから受け取った Gemalto HSM Client パッケージを開きます:

610-012382-017_SW_Client_HSM_6.2.2_RevA

次のディレクトリに移動する:linux >32

2

HSMクライアントパッケージをインストールします。

Gemalto SafeNet ネットワーク HSM 6.2.2 Product Documentation から、Installation Guide>SafeNet HSM Client Software Installation に進みます。

3

エキスパートモードで、libCryptoki2.so ファイルを/usr/lib/hsm_client/ ディレクトリにコピーする:

cp -v /usr/safenet/lunaclient/lib/libCryptoki2.so /usr/lib/hsm_client/

重要- セキュリティ上の理由から、このディレクトリにアクセスできるのはrootユーザだけです。

このディレクトリに物理ファイルをコピーする必要がある。シンボリックリンクは作成しないでください。

4

セキュリティ・ゲートウェイ/各クラスタ・メンバのGemalto HSMクライアントとGemalto HSMサーバの間にトラスト・リンクを確立します。

Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメントの Configuration Guide>[Step 7] 信頼できるリンクを作成し、クライアントとアプライアンスを相互に登録する

セキュリティゲートウェイ/各クラスタメンバで、LunaCMを実行します:

lunacm:> clientconfig deploy -c <IP Address of Security Gateway or Cluster Member> -n <IP Address of HSM Server> -par <Partition Name> -pw <Partition Password>

5

セキュリティ・ゲートウェイ/各クラスタ・メンバのパーティション・アクセスを調べます:

# /usr/safenet/lunaclient/bin/vtl verify

Scalable Platform・セキュリティ・グループの手順:

ステップ 手順

1

ジェムアルトから受け取った Gemalto HSM Client パッケージを開きます:

610-012382-017_SW_Client_HSM_6.2.2_RevA

2

ソフトウェアパッケージをセキュリティグループのディレクトリに移す。

例えば、すべてのセキュリティグループメンバに/var/log/HSM_Client/を作成します:

g_all mkdir -v /var/log/HSM_Client/

3

Security Groupでコマンドラインに接続します。

4

エキスパートモードにログインします。

5

Gemalto HSM Client パッケージを解凍します:

g_all cd /var/log/HSM_Client/

g_all tar -xvf <Name of Gemalto HSM Client Package>.tar

6

すべてのセキュリティ グループ メンバにGemalto HSMクライアント パッケージをインストールします:

g_all rpm -Uvh /var/log/HSM_Client/configurator-6.2.2-4.i386.rpm

g_all rpm -Uvh /var/log/HSM_Client/libcryptoki-6.2.2-4.i386.rpm

g_all rpm -Uvh /var/log/HSM_Client/vtl-6.2.2-4.i386.rpm

7

セキュリティグループ上のGemalto HSMクライアントとGemalto HSMサーバの間にトラストリンクを確立します。

Gemalto SafeNet ネットワーク HSM 6.2.2 Product Documentation の Configuration Guide>[Step 7] Create trusted link and register Client and Appliance with each other.

セキュリティグループで、LunaCMで実行する:

lunacm:> clientconfig deploy -c <IP Address of Security Group> -n <IP Address of HSM Server> -par <Partition Name> -pw <Partition Password>

8

セキュリティグループのパーティションアクセスを調べる:

# /usr/safenet/lunaclient/bin/vtl verify

重要:

  • クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

  • VSX 環境では、VSX ゲートウェイまたはVSX クラスタメンバのコンテキスト(VS 0 の コンテキスト)で、この手順を実行する必要があります。

  • Scalable Platform(Maestro およびシャーシ)では、該当するセキュリティ・グループに接続する必要があります。

注:

  • HSM設定を初めて適用すると、HSM接続エラーが発生することがあります。

    最も一般的なシナリオは、複数のセキュリティゲートウェイ(クラスタメンバ)が同じHSMサーバを使用するように設定し、同時にアクセスする場合です。

    この場合

    1. HSM接続に問題があるセキュリティゲートウェイ(クラスタメンバ)で「fw fetch local 」コマンドを実行します。

      VSX 環境では、問題のある VSX バーチャルシステムのコンテキストでこのコマンドを実行する。

    2. HSM on" が表示されるまで待つ。

    3. 次のセキュリティゲートウェイ、クラスタメンバ、または VSX 仮想システムの設定を続行する。

  • $FWDIR/conf/hsm_configuration.C ファイルを変更したら、以下のいずれかを行う必要がある:

    • fw fetch local" コマンドでローカルポリシーを取得する。

    • SmartConsoleで、ポリシーをSecurity ゲートウェイ / ClusterXL / VSX Virtual Systemオブジェクトにインストールします。

  • ローカルポリシーを取得するとき、またはSmartConsoleでポリシーをインストールするときに、HSMサーバが利用可能でない場合、HTTPS検査は、送信HTTPSトラフィックを検査できません。その結果、セキュリティゲートウェイ/ClusterXL/セキュリティグループ/VSX仮想システムの背後にある内部コンピュータは、HTTPS Webサイトにアクセスできなくなります。

    さらにセキュリティゲートウェイからHSMサーバへの通信を無効にする
ステップ 手順

1

セキュリティゲートウェイ/各クラスタメンバ/Scalable Platformセキュリティグループのコマンドラインに接続します。

2

エキスパートモードにログインします。

3

$FWDIR/conf/hsm_configuration.C ファイルをバックアップする:

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    cp -v $FWDIR/conf/hsm_configuration.C{,_BKP}

  • Scalable Platformセキュリティ グループで、次を実行します。

    g_cp -v $FWDIR/conf/hsm_configuration.C{,_BKP}

4

$FWDIR/conf/hsm_configuration.Cファイルを編集します。

vi $FWDIR/conf/hsm_configuration.C

5

これらの属性に必要な値を設定する:

(

:enabled ("yes")

:hsm_vendor_name ("Luna Gemalto HSM")

:lib_filename ("libCryptoki2.so")

:CA_cert_public_key_handle (<Number of "Public" Handle for CA certificate>)

:CA_cert_private_key_handle (<Number of "Private" Handle for CA certificate>)

:CA_cert_buffer_handle (<Number of Handle for CA certificate>)

:token_id ("<Password for Partition on Gemalto HSM Server>")

)

 

注:

  • :enabled ()" 属性の値は、"yes" (HSMを有効にする)、または"no" (HSMを無効にする)のいずれかでなければならない。

  • ":hsm_vendor_name ()"属性には、文字列 "Luna Gemalto HSM" を含める必要があります(または空である必要があります)。

  • :lib_filename ()" 属性には、Gemalto HSM ベンダーの PKCS#11 ライブラリ名(セキュリティ・ゲートウェイ //usr/lib/hsm_client/各クラスタ・メンバ / セキュリティ・グループの ディレクトリにある)を含める必要があります。

  • :CA_cert_<XXX> ()" 属性には、Gemalto HSM サーバ上の "cmu list" コマンドの出力から必要なハンドルの値を指定する必要があります。

    参照: ステップ 4/5: Gemalto HSM サーバでの CA 証明書の作成

  • :token_id ()" 属性には、Gemalto HSM サーバ上のパーティションのパスワードが含まれている必要があります。

    参照: ステップ 2/5: Check Point Security ゲートウェイ / ClusterXL / Scalable Platform Security Group と連携するGemalto HSMサーバの設定

例:

コピー 
( :enabled ("yes") :hsm_vendor_name ("Gemalto HSM") :lib_filename ("libCryptoki2.so") :CA_cert_public_key_handle (17) :CA_cert_private_key_handle (18) :CA_cert_buffer_handle (13) :token_id ("p@ssw0rd") )

6

新しい設定を適用する。

  • :hsm_vendor_name ()" 属性の値を文字列 "Gemalto HSM" に明示的に定義(または変更)した場合は、このコマンドを使用してすべてのCheck Pointサービスを再起動します:

    • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

      cprestart

    • Scalable Platformセキュリティ グループで、次を実行します。

      g_all cprestart

    重要- これは、すべてのサービスが再起動するまで、すべてのトラフィックをブロックする。クラスタでは、これがフェイルオーバーの原因となる。

  • " 属性の値を定義していない:hsm_vendor_name ()(空である)場合は、このコマンドでローカル・ポリシーを取得します:

    • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

      fw fetch local

    • Scalable Platformセキュリティ グループで、次を実行します。

      g_fw fetch local

7

セキュリティゲートウェイ/各クラスターメンバ/セキュリティグループが HSM サーバに接続できること、および送信トラフィックで HTTPS 検査が正常に有効化されていることを確認します。

このコマンドを実行します。

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    cpstat https_inspection -f all

  • Scalable Platformセキュリティ グループで、次を実行します。

    g_all cpstat https_inspection -f all

出力には次が表示される必要があります。

  • HSM partition access (Accessible/Not Accessible): Accessible

  • Outbound status (HSM on/HSM off/HSM error): HSM on

詳しくはCLIでHSMによるHTTPSインスペクションをモニタする

8

アウトバウンド・トラフィックでHTTPS検査が正常に有効になっていることを確認する:

  1. 社内のコンピュータから、任意のHTTPS Webサイトに接続する。

  2. 内部コンピュータのWebブラウザで、HSMサーバから署名されたCA証明書を受け取る必要があります。

Gemalto HSMサーバの追加アクション

Check Point セキュリティ・ゲートウェイと HSM サーバとの間に新しい Trust Link を確立する必要がある場合は、現在の Trust Link を削除する必要があります。

使用例Check Pointのセキュリティ・ゲートウェイまたは HSM サーバを交換または再構成する場合。

ステップ 手順

1

Check Point Security ゲートウェイ /各クラスタ・メンバ / Scalable Platform Security Group の現在の Trust Link を削除します:

  1. コマンドラインに接続します。

  2. エキスパートモードにログインします。

  3. SafeNet HSM Simplified Client のインストール ディレクトリに移動します:

    • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

      cd /usr/safenet/lunaclient/bin/

    • Scalable Platformセキュリティ グループで、次を実行します。

      g_all cd /usr/safenet/lunaclient/bin/

  4. 古いトラストリンクを削除する:

    • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

      ./vtl deleteServer -n <IP Address of HSM Server>

    • Scalable Platformセキュリティ グループで、次を実行します。

      g_all ./vtl deleteServer -n <IP Address of HSM Server>

2

HSMアプライアンス上の現在のトラストリンクを削除します:

  1. SSHでHSMアプライアンスに接続します。

  2. 設定されているHSMクライアントワークステーションのリストを調べます:

    lunash:> client list

  3. Check Point HSMクライアントワークステーションを削除します:

    lunash:> client delete -client <Name of HSM Client>

- 詳細については、Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメントを参照してください。
ステップ 手順

1

SSHでHSMアプライアンスに接続します。

2

設定されているすべてのインタフェースを調べる:

lunash:> network show

3

新しいインタフェースを追加する:

lunash:> network interface -device <Name of Interface> -ip <IP Address> -netmask <NetMask> [-gateway <IP Address>]

4

すべてのインタフェースでNTLS(ネットワーク Trust Link Service)を有効にする。

- 詳細については、Gemalto SafeNet ネットワーク HSM 6.2.2 Product Documentation>LunaSH Command Reference Guide>LunaSH Commands を参照してください。