CLIでHSMによるHTTPSインスペクションをモニタする

Security ゲートウェイ / クラスタメンバ / Scalable Platform Security Group 上で "cpstat https_inspection" コマンドを実行し、HTTPS 検査ステータスと HSM サーバへの接続ステータスを確認してください。

構文

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    cpstat -h

    cpstat https_inspection -f {default | hsm_status | all}

  • Scalable Platformセキュリティ グループで、次を実行します。

    cpstat -h

    g_all cpstat https_inspection -f {default | hsm_status | all}

このコマンドの詳細についてはR81.20 CLI Reference Guide> セキュリティゲートウェイコマンドの章 > セクション cpstat

[Expert@GW:0]# cpstat https_inspection -f default
 
HTTPS inspection status (On/Off):    On
HTTPS inspection status description: HTTPS Inspection is on
 
[Expert@GW:0]#
 
[Expert@GW:0]# cpstat https_inspection -f hsm_status
 
HSM enabled (Enabled/Disabled):                  Enabled
HSM enabled description:                         HSM is enabled for HTTPS inspection with Gemalto HSM
HSM partition access (Accessible/Not Accessible): Accessible
HSM partition access description:                 Gateway can access to HSM partition for HTTPS inspection
Outbound status (HSM on/HSM off/HSM error):      HSM on
Outbound status description:                     Outbound HTTPS inspection works with HSM
 
[Expert@GW:0]#
 
[Expert@GW:0]# cpstat https_inspection -f all
 
HTTPS inspection status (On/Off):                On
HTTPS inspection status description:             HTTPS Inspection is on
HSM enabled (Enabled/Disabled):                  Enabled
HSM enabled description:                         HSM is enabled for HTTPS inspection with Gemalto HSM
HSM partition access (Accessible/Not Accessible): Accessible
HSM partition access description:                 Gateway can access to HSM partition for HTTPS inspection
Outbound status (HSM on/HSM off/HSM error):      HSM on
Outbound status description:                     Outbound HTTPS inspection works with HSM
 
[Expert@GW:0]#

項目

返される可能性のある文字列

説明

HTTPS inspection status (On/Off)

On

HTTPS 検査機能は、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループで設定されます。

Off

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループにHTTPS検査機能が設定されていません

項目

返される可能性のある文字列

説明

HTTPS inspection status description

HTTPS Inspection is on

HTTPS 検査機能は、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループで設定されます。

HTTPS Inspection is off

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループにHTTPS検査機能が設定されていません

項目

返される可能性のある文字列

説明

HSM enabled (Enabled/Disabled)

Enabled

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.Cに設定されています。

Disabled

いずれかの方法を実行します。

  • HSMクライアントのソフトウェアパッケージが、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループにインストールされていません

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループに$FWDIR/conf/hsm_configuration.C ファイルが存在しません

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"no" 属性の値が$FWDIR/conf/hsm_configuration.Cに設定されています。

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled()ファイルで、$FWDIR/conf/hsm_configuration.C属性が破損しています。

重要- このような場合、アウトバウンドのHTTPS検査はHSMサーバなしで機能し、SSLキーはセキュリティゲートウェイ(クラスタメンバ)に保存されます。

項目

返される可能性のある文字列

説明

HSM enabled description

HSM is enabled for HTTPS inspection with <HSM Vendor>

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.Cに設定されています。

  • <HSM Vendor>は、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:hsm_vendor_name ()ファイル内の "$FWDIR/conf/hsm_configuration.C" 属性の値です。

HSM is disabled for HTTPS inspection

いずれかの方法を実行します。

  • HSMクライアントのソフトウェアパッケージが、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループにインストールされていません

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループに$FWDIR/conf/hsm_configuration.C ファイルが存在しません

  • HTTPS 検査デーモンwstlsdが、セキュリティゲートウェイ / クラスタメンバ / セキュリティグループの:enabled() ファイルで "$FWDIR/conf/hsm_configuration.C" 属性の値の読み取りに失敗しました。

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルの "$FWDIR/conf/hsm_configuration.C" 属性が壊れています。

重要- このような場合、アウトバウンドのHTTPS検査はHSMサーバなしで機能し、SSLキーはセキュリティゲートウェイ(クラスタメンバ)に保存されます。

項目

返される可能性のある文字列

説明

HSM partition access (Accessible/Not Accessible)

N/A

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションへのアクセスチェックに失敗しました。

Accessible

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションにアクセス。

Not Accessible

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、エラーによりHSMサーバ上のパーティションにアクセスできませんでした。

重要- この場合、アウトバウンドHTTPSインスペクション閉じた SSL(Secure Sockets Layer)プロトコルによって暗号化されたトラフィックにマルウェアや不審なパターンがないか検査するセキュリティゲートウェイの機能(同義語: SSLインスペクション、略語: HTTPSI、HTTPSi)。は機能せず、HTTPSトラフィックは通過しない

項目

返される可能性のある文字列

説明

HSM partition access description

HSM partition access cannot be checked

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションへのアクセスチェックに失敗しました。

おそらく、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループでHSMの設定が無効になっているためでしょう。

Gateway can access HSM partition for HTTPS inspection

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションにアクセス。

Gateway cannot access HSM partition for HTTPS inspection: <Error Message>

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、エラーによりHSMサーバ上のパーティションにアクセスできませんでした。

これらの条件はすべて満たされていた:

  1. セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.Cに設定されています。

  2. エラーが発生しました。

考えられるエラーメッセージは以下の通り:

  • HSM configuration file is corrupted

  • Loading HSM library failed

  • There is no trust or no connectivity with HSM server

  • Login to HSM partition failed

重要- この場合、アウトバウンドHTTPSインスペクションは機能せず、HTTPSトラフィックは通過しない

項目

返される可能性のある文字列

説明

Outbound status (HSM on/HSM off/HSM error)

N / A

HTTPS 検査デーモンwstlsd が起動すると、実際のステータスを取得できるようになるまで、1 分以内は待つ必要がある。

HSM on

これらの条件はすべて満たされていた:

  1. セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.Cに設定されています。

  2. HSMサーバに接続されているセキュリティゲートウェイ/クラスターメンバ/セキュリティグループ。

HSM off

いずれかの方法を実行します。

  • HSMクライアントのソフトウェアパッケージが、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループにインストールされていません

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループに$FWDIR/conf/hsm_configuration.C ファイルが存在しません

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"no" 属性の値が$FWDIR/conf/hsm_configuration.Cに設定されています。

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルの "$FWDIR/conf/hsm_configuration.C" 属性が壊れています。

重要- このような場合、アウトバウンドのHTTPS検査はHSMサーバなしで機能し、SSLキーはセキュリティゲートウェイ(クラスタメンバ)に保存されます。

HSM error

これらの条件はすべて満たされていた:

  1. セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.Cに設定されています。

  2. エラーが発生しました。

重要- この場合、アウトバウンドHTTPSインスペクションは機能せず、HTTPSトラフィックは通過しない

- 返される文字列の条件は、HTTPS インスペクションデーモンwstlsdの開始時、またはポリシーのインストール時にセキュリティゲートウェイ/クラスタメンバ/セキュリティグループ上で計算されます。たとえば、"HSM enabled (Enabled/Disabled) = Enabled"と"Outbound status (HSM on/HSM off/HSM error) = HSM off"が表示されることがあります。これは、wstlsd デーモンが起動したとき、または前回のポリシーインストール時に、HSM構成が無効になっていたためです。

項目

返される可能性のある文字列

説明

Outbound status description

Cannot get HTTPS inspection outbound status. Process may be under initialization. Please try again in a minute.

HTTPS 検査デーモンwstlsd が起動すると、実際のステータスを取得できるようになるまで、1 分以内は待つ必要がある。

 

Outbound HTTPS inspection works with HSM

これらの条件はすべて満たされていた:

  1. セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.Cに設定されています。

  2. HSMサーバに接続されているセキュリティゲートウェイ/クラスターメンバ/セキュリティグループ。

 

Outbound HTTPS inspection works without HSM

セキュリティ・ゲートウェイ/クラスタ・メンバ/セキュリティ・グループ上の:enabled() ファイルで、"no" 属性の値が$FWDIR/conf/hsm_configuration.C に設定されているか、このファイルが存在しない

 

Outbound HTTPS inspection is off due to HSM error: <Error Message>

これらの条件はすべて満たされていた:

  1. セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.Cに設定されています。

  2. エラーが発生しました。

考えられるエラーメッセージ:

  • HSM configuration file is corrupted

  • Loading HSM library failed

  • There is no trust or no connectivity with HSM server

  • Login to HSM partition failed

  • Error importing CA certificate from HSM server

  • Error generating key pair on HSM server

重要 - この場合、アウトバウンドHTTPSインスペクションは機能せず、HTTPSトラフィックは通過しません

- 返される文字列の条件は、HTTPS インスペクションデーモンwstlsdの開始時、またはポリシーのインストール時にセキュリティゲートウェイ/クラスタメンバ/セキュリティグループ上で計算されます。たとえば、"HSM enabled (Enabled/Disabled) = Enabled"と"Outbound status description = Outbound HTTPS inspection works without HSM"が表示されることがあります。これは、wstlsd デーモンが起動したとき、または前回のポリシーインストール時に、HSM構成が無効になっていたためです。