Gemalto HSMとの連携

設定ステップ

このワークフローを使用して、Check Pointセキュリティゲートウェイ / ClusterXL / Scalable Platformセキュリティグループを構成し、Gemalto HSMサーバと連携させます。

Gemalto HSM環境を構成するには、Gemalto HSMの設定ドキュメントを使用します。

ステップ 手順

1

このパッケージをダウンロード:

Gemalto SafeNet HSM Help package

(007-011136-012_Net_HSM_6.2.2_Help_RevA)

- Software Subscription or Active Support plan is required to download this package.

2

Windowsベースのコンピュータを使用します。

3

Gemalto HSM Helpパッケージを任意のフォルダに解凍します。

4

解凍した Gemalto HSM Help フォルダを開きます。

5

START_HERE.htmlファイルをダブルクリックします。

Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメントが開きます。

Gemalto HSM のヘルプ文書を使用して、Gemalto HSM サーバをインストールおよび設定します。

ステップ 手順

1

Gemalto HSM アプライアンスをインストールします。

Gemalto SafeNetネットワーク HSM 6.2.2 製品ドキュメント から、インストールガイド>SafeNet ネットワーク HSM ハードウェアインストール に進みます。

2

Gemalto HSM アプライアンスとGemalto HSM サーバの初期設定を行います。

Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメント からConfiguration Guideに進み、[Step 1]から[Step 6] に進みます。

3

LunaSH で "sysconf recenCert" コマンドを実行し、Gemalto HSM サーバ用の新しい証明書を生成します (server.pem)。

Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメント構成ガイド>[ステップ7] 信頼できるリンクを作成し、クライアントとアプライアンスを相互に登録します

4

Check Point セキュリティゲートウェイ / ClusterXL / Security Group で動作するように、Gemalto HSM サーバの設定を完了します:

  1. 該当するパーティションをアクティブにして自動有効化を設定します。

    LunaSHでこれらのコマンドを実行します:

    lunash:> partition showPolicies -partition <Partition Name>

    lunash:> partition changePolicy -partition <Partition Name> -policy 22 -value 1

    lunash:> partition changePolicy -partition <Partition Name> -policy 23 -value 1

    lunash:> partition showPolicies -partition <Partition Name>

    - 自動起動を維持するように設定しない場合、マシンを2時間以上シャットダウンしても、パーティションは起動したままになりません。

  2. NTLAクライアント接続時に、NTLSによるクライアントのソースIPアドレスの検証を無効にします。

    LunaSHでこのコマンドを実行します:

    lunash:> ntls ipcheck disable

    - これにより、HSM サーバは、クラスタ VIP アドレスの背後にトラフィックを隠している Check Point クラスタメンバ、および NAT の背後に隠された Check Point セキュリティゲートウェイ/セキュリティグループからのトラフィックを受け入れることができるようになります。

Gemalto HSMクライアントワークステーションを使用して、Gemalto HSMサーバでCA証明書を作成します。

Check Pointセキュリティゲートウェイ / ClusterXL / Scalable Platformセキュリティグループは、このHTTPSインスペクション閉じた SSL(Secure Sockets Layer)プロトコルによって暗号化されたトラフィックにマルウェアや不審なパターンがないか検査するセキュリティゲートウェイの機能(同義語: SSLインスペクション、略語: HTTPSI、HTTPSi)。用CA証明書を使用して、Gemalto HSMサーバのSSLキーを保存し、アクセスします。

- HSMクライアントパッケージがインストールされたCheck Point Security Gateway / ClusterXL / Scalable Platform Security Groupを、HSMクライアントワークステーションとして使用することも可能です。
ステップ 手順

1

Gemaltoのベンダーからこの HSM クライアントパッケージを入手してください:

610-012382-017_SW_Client_HSM_6.2.2_RevA

2

Gemalto HSMクライアントワークステーションとして使用するWindowsベースまたはLinuxベースのコンピュータをインストールします。

3

コンピュータにHSMクライアントパッケージをインストールします:

Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメント から、インストールガイド>SafeNet HSM クライアントソフトウェアのインストール に進みます。

4

Gemalto HSMクライアントワークステーションとGemalto HSMサーバの間にトラストリンクを確立します。

Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメント構成ガイド>[ステップ7] 信頼できるリンクを作成し、クライアントとアプライアンスを相互に登録します

ジェムアルト HSM クライアントワークステーションで、LunaCM を実行します:

lunacm:> clientconfig deploy -c <IP Address of HSM Client Workstation> -n <IP Address of HSM Server> -par <Partition Name> -pw <Partition Password>

ステップ 手順

1

HSMクライアントワークステーションで、コマンドプロンプトまたはターミナルウィンドウを開きます。

2

"cmu generatekeypair" コマンドを使ってキーペアを作成します。

Gemalto SafeNetネットワーク HSM 6.2.2 製品ドキュメント から、ユーティリティリファレンスガイド > 証明書管理ユーティリティ (CMU)>cmu generatekeypair を開きます。

例:

# cd /usr/safenet/lunaclient/bin

# ./cmu generatekeypair -modulusBits=2048 -publicExponent=65537 -labelPublic="CAPublicKeyPairLabel" -labelPrivate="CAPrivateKeyPairLabel" -sign=T -verify=T

3

プロンプトが表示されたら、Gemalto HSMサーバのパーティションのパスワードを入力します(このパスワードはステップ 2/5: Check Point セキュリティゲートウェイ / ClusterXL / Scalable Platform セキュリティグループで動作する Gemalto HSM サーバの設定)。

例:

Enter a password for the token in slot 0:

4

対応する番号を入力してRSAメカニズムを選択します:

[1] PKCS [2] FIPS 186-3 Only Primes [3] FIPS 186-3 Auxiliary Primes

5

作成した鍵ペアのハンドルを表示します。

Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメント から、ユーティリティリファレンスガイド > 証明書管理ユーティリティ (CMU)>cmu list に進みます。

# ./cmu list

出力例:

Enter password for token in slot 0 : <Password for the Partition>

handle=17      label=CAPrivateKeyPairLabel

handle=18      label=CAPublicKeyPairLabel

6

前の手順のハンドル番号を使用して、CA 証明書を作成します。

Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメント から、ユーティリティリファレンスガイド > 証明書管理ユーティリティ (CMU) > cmu selfsigncertificate

例:

# ./cmu selfsigncertificate -privatehandle=17 CN="www.gemltoHSM.cp" -sha256WithRSA -startDate 20190720 -endDate 20240720 -serialNum=111aaa -keyusage digitalsignature,keycertsign,crlsign -basicconstraints=critical,ca:true

7

作成した CA 証明書のハンドルを表示します。

# ./cmu list

出力例:

Enter password for token in slot 0 : <Password for the Partition>

handle=13     label=www.myhsm.cp

handle=17     label=CAPrivateKeyPairLabel

handle=18     label=CAPublicKeyPairLabel

重要 - この3つのハンドルの番号は、後で $FWDIR/conf/hsm_configuration.CCheck Point セキュリティゲートウェイ /クラスタクラスタメンバ / Scalable Platform Security Group)で ファイルを構成するときに使用します。

8

CA証明書をファイルにエクスポートします。

Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメントユーティリティリファレンスガイド > 証明書管理ユーティリティ (CMU) > cmu export

# ./cmu export -handle=<Handle Number> -outputfile=<Name of Output File>

このステップには3つのサブステップがあります。

重要:

ステップ 手順

1

SmartConsole閉じた Check Point環境の管理に使用されるCheck Point GUIアプリケーション。セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなどを行う。で HTTPSインスペクションを有効にして設定します。

詳細はR82 Security Management Administration Guide> HTTPSインスペクションの章

2

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループで、$FWDIR/conf/hsm_configuration.C ファイルでHSMを無効にします。

  1. コマンドラインに接続します。

  2. エキスパート モードにログインします。

  3. ファイルを編集します:

    vi $FWDIR/conf/hsm_configuration.C

  4. パラメータ"enabled"の値"no"を設定します:

    :enabled ("no")

  5. ファイルの変更を保存してエディタを閉じます。

  6. Scalable Platform Security Groupで、更新されたファイルをすべてのSecurity Groupメンバにコピーします:

    asg_cp2blades $FWDIR/conf/hsm_configuration.C

3

SmartConsoleで、該当するAccess Control Policyをセキュリティゲートウェイ / ClusterXLオブジェクトにインストールします。

4

HTTPSインスペクションが HSMサーバなしで正しく機能することを確認します:

  1. 社内のコンピュータから、任意のHTTPS Webサイトに接続します。

  2. 内部コンピュータのWebブラウザで、セキュリティゲートウェイ / ClusterXL / セキュリティグループから署名されたCA証明書を受け取る必要があります。

重要:

  • クラスタで、同じ方法でクラスタ メンバを設定する必要があります。

  • VSX 環境では、VSX ゲートウェイまたはVSX クラスタメンバのコンテキスト(VS 0 の コンテキスト)で、この手順を実行する必要があります。

  • スケーラブルプラットフォーム(ElasticXL、Maestro、シャーシ)では、該当するセキュリティグループのGaia Portalに接続する必要があります。

注 -

  • 詳細については、Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメントを参照してください。

    トラストリンクの確立については、『アプライアンス管理ガイド>ワンステップNTLSを使用しない設定 > [ステップ7]クライアントとアプライアンス間にネットワークトラストリンクを作成する』を参照してください。

  • 新しいトラストリンクを確立する必要がある場合は、現在のトラストリンクを削除する必要があります。

    参照: HSMサーバとのトラストリンクの削除

セキュリティゲートウェイ / ClusterXLの手順:

ステップ 手順

1

Gemaltoから受け取ったGemalto HSM Clientパッケージを開きます:

610-012382-017_SW_Client_HSM_6.2.2_RevA

次のディレクトリに移動します: linux>32

2

HSMクライアントパッケージをインストールします。

Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメント から、インストールガイド>SafeNet HSM クライアントソフトウェアのインストール に進みます。

3

エキスパートモードで、 libCryptoki2.soファイルを /usr/lib/hsm_client/ディレクトリにコピーします:

cp -v /usr/safenet/lunaclient/lib/libCryptoki2.so /usr/lib/hsm_client/

重要 - セキュリティ上の理由から、このディレクトリにアクセスできるのはrootユーザだけです。

このディレクトリに物理ファイルをコピーする必要があります。シンボリックリンクは作成しないでください。

4

セキュリティゲートウェイ/クラスタメンバのGemalto HSMクライアントとGemalto HSMサーバの間にトラストリンクを確立します。

Gemalto SafeNetネットワークHSM 6.2.2製品ドキュメント設定ガイド > [ステップ7] 信頼できるリンクを作成し、クライアントとアプライアンスを相互に登録します

セキュリティゲートウェイ/クラスタメンバで、LunaCMを実行します:

lunacm:> clientconfig deploy -c <IP Address of Security Gateway or Cluster Member> -n <IP Address of HSM Server> -par <Partition Name> -pw <Partition Password>

5

セキュリティゲートウェイ/各クラスタメンバのパーティションアクセスを調べます:

# /usr/safenet/lunaclient/bin/vtl verify

Scalable Platformセキュリティグループの手順:

ステップ 手順

1

Gemaltoから受け取った Gemalto HSM Client パッケージを開きます:

610-012382-017_SW_Client_HSM_6.2.2_RevA

2

ソフトウェアパッケージをセキュリティグループのディレクトリに移します。

例えば、すべてのセキュリティグループメンバに/var/log/HSM_Client/を作成します:

g_all mkdir -v /var/log/HSM_Client/

3

Security Groupでコマンドラインに接続します。

4

エキスパート モードにログインします。

5

Gemalto HSM Clientパッケージを解凍します:

g_all cd /var/log/HSM_Client/

g_all tar -xvf <Name of Gemalto HSM Client Package>.tar

6

すべてのセキュリティグループのメンバにGemalto HSMクライアントパッケージをインストールします:

g_all rpm -Uvh /var/log/HSM_Client/configurator-6.2.2-4.i386.rpm

g_all rpm -Uvh /var/log/HSM_Client/libcryptoki-6.2.2-4.i386.rpm

g_all rpm -Uvh /var/log/HSM_Client/vtl-6.2.2-4.i386.rpm

7

セキュリティグループ上のGemalto HSMクライアントとGemalto HSMサーバの間にトラストリンクを確立します。

Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメント設定ガイド > [ステップ7] 信頼できるリンクを作成し、クライアントとアプライアンスを相互に登録します

セキュリティグループで、LunaCMで実行します:

lunacm:> clientconfig deploy -c <IP Address of Security Group> -n <IP Address of HSM Server> -par <Partition Name> -pw <Partition Password>

8

セキュリティグループのパーティションアクセスを調べます:

# /usr/safenet/lunaclient/bin/vtl verify

重要:

  • クラスタで、同じ方法でクラスタ メンバを設定する必要があります。

  • VSX 環境では、VSX ゲートウェイまたはVSX クラスタメンバのコンテキスト(VS 0 の コンテキスト)で、この手順を実行する必要があります。

  • スケーラブルプラットフォーム(ElasticXL、Maestro、シャーシ)では、該当するセキュリティグループのGaia Portalに接続する必要があります。

注 -

  • HSM設定を初めて適用すると、HSM接続エラーが発生することがあります。

    最も一般的なシナリオは、複数のセキュリティゲートウェイ(クラスタメンバ)が同じHSMサーバを使用するように設定し、同時にアクセスする場合です。

    この場合:

    1. HSM接続に問題があるセキュリティゲートウェイ(クラスタメンバ)で "fw fetch local" コマンドを実行します。

      VSX 環境では、問題のある VSX バーチャルシステムのコンテキストでこのコマンドを実行します。

    2. HSM on表示されるまで待ちます。

    3. 次のセキュリティゲートウェイ、クラスタメンバ、または VSX Virtual System の設定を続行します。

  • $FWDIR/conf/hsm_configuration.Cファイルを変更したら、以下のいずれかを行う必要があります:

    • "fw fetch local" コマンドでローカルポリシーを取得します

    • SmartConsoleで、ポリシーを セキュリティゲートウェイ / ClusterXL / VSX Virtual Systemオブジェクトにインストールします。

  • ローカルポリシーを取得するとき、またはSmartConsoleでポリシーをインストールするときに、HSMサーバが利用可能でない場合、HTTPSインスペクションは送信HTTPSトラフィックを検査できません。その結果、セキュリティゲートウェイ / ClusterXL / Security Group / VSX 仮想システムの背後にある内部コンピュータは、HTTPS Webサイトにアクセスできなくなります。

    加えて、セキュリティゲートウェイからHSMサーバへの通信を無効にする
ステップ 手順

1

セキュリティゲートウェイ/クラスタメンバ/Scalable Platformセキュリティグループのコマンドラインに接続します。

2

エキスパート モードにログインします。

3

$FWDIR/conf/hsm_configuration.C ファイルをバックアップします:

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    cp -v $FWDIR/conf/hsm_configuration.C{,_BKP}

  • Scalable Platformセキュリティ グループで、次を実行します。

    g_cp -v $FWDIR/conf/hsm_configuration.C{,_BKP}

4

$FWDIR/conf/hsm_configuration.Cファイルを編集します。

vi $FWDIR/conf/hsm_configuration.C

5

これらの属性に必要な値を設定します:

(

:enabled ("yes")

:hsm_vendor_name ("Luna Gemalto HSM")

:lib_filename ("libCryptoki2.so")

:CA_cert_public_key_handle (<Number of "Public" Handle for CA certificate>)

:CA_cert_private_key_handle (<Number of "Private" Handle for CA certificate>)

:CA_cert_buffer_handle (<Number of Handle for CA certificate>)

:token_id ("<Password for Partition on Gemalto HSM Server>")

)

 

注 -

例:

コピー 
(
:enabled ("yes")
:hsm_vendor_name ("Gemalto HSM")
:lib_filename ("libCryptoki2.so")
:CA_cert_public_key_handle (17)
:CA_cert_private_key_handle (18)
:CA_cert_buffer_handle (13)
:token_id ("p@ssw0rd")
)

6

新しい設定を適用します。

  • ":hsm_vendor_name ()" 属性の値を文字列Gemalto HSM "" に明示的に定義(または変更)した場合は、このコマンドを使用してすべてのCheck Pointサービスを再起動します:

    • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

      cprestart

    • Scalable Platformセキュリティ グループで、次を実行します。

      g_all cprestart

    重要 - これは、すべてのサービスが再起動するまで、すべてのトラフィックをブロックします。クラスタでは、これがフェイルオーバーの原因となります。

  • "" 属性の値を定義していない(空で:hsm_vendor_name ()ある)場合は、このコマンドでローカルポリシーを取得します:

    • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

      fw fetch local

    • Scalable Platformセキュリティ グループで、次を実行します。

      g_fw fetch local

7

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループがHSMサーバに接続できること、および送信トラフィックでHTTPSインスペクションが正常に有効化されていることを確認します。

次のコマンドを実行します。

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    cpstat https_inspection -f all

  • Scalable Platformセキュリティ グループで、次を実行します。

    g_all cpstat https_inspection -f all

出力には次が表示される必要があります。

  • HSM partition access (Accessible/Not Accessible): Accessible

  • Outbound status (HSM on/HSM off/HSM error): HSM on

詳細はこちら:CLIでHSMによるHTTPSインスペクションのモニタ

8

外部へのトラフィックでHTTPSインスペクションが正常に有効になっていることを確認します:

  1. 社内のコンピュータから、任意のHTTPS Webサイトに接続します。

  2. 内部コンピュータのWebブラウザで、HSMサーバから署名されたCA証明書を受け取る必要があります。

Gemalto HSMサーバの追加アクション

Check Point セキュリティゲートウェイとHSMサーバとの間に新しいトラスト リンクを確立する必要がある場合は、現在のトラスト リンクを削除する必要があります。

使用例:Check PointのセキュリティゲートウェイまたはHSMサーバを交換または再構成する場合。

ステップ 手順

1

Check Pointセキュリティゲートウェイ /クラスタメンバ / Scalable Platform セキュリティグループの現在のトラスト リンクを削除します:

  1. コマンドラインに接続します。

  2. エキスパート モードにログインします。

  3. SafeNet HSM Simplified Clientのインストール ディレクトリに移動します:

    • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

      cd /usr/safenet/lunaclient/bin/

    • Scalable Platformセキュリティ グループで、次を実行します。

      g_all cd /usr/safenet/lunaclient/bin/

  4. 古いトラストリンクを削除します:

    • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

      ./vtl deleteServer -n <IP Address of HSM Server>

    • Scalable Platformセキュリティ グループで、次を実行します。

      g_all ./vtl deleteServer -n <IP Address of HSM Server>

2

HSMアプライアンス上の現在のトラストリンクを削除します:

  1. SSHでHSMアプライアンスに接続します。

  2. 設定されているHSMクライアントワークステーションのリストを調べます:

    lunash:> client list

  3. Check Point HSMクライアントワークステーションを削除します:

    lunash:> client delete -client <Name of HSM Client>

- 詳細については、Gemalto SafeNet ネットワーク HSM 6.2.2 製品ドキュメントを参照してください。
ステップ 手順

1

SSHでHSMアプライアンスに接続します。

2

設定されているすべてのインタフェースを調べます:

lunash:> network show

3

新しいインタフェースを追加します:

lunash:> network interface -device <Name of Interface> -ip <IP Address> -netmask <NetMask> [-gateway <IP Address>]

4

すべてのインタフェースでネットワークトラストリンクサービス(NTLS)を有効にします。

- 詳細については、Gemalto SafeNetネットワークHSM 6.2.2 製品ドキュメント > LunaSHコマンドリファレンスガイド > LunaSHコマンド を参照してください。