Red Hat Summit6.4. ハードウェアセキュリティーモジュール
ハードウェアセキュリティーモジュール (HSM) を使用するには、FIPS (Federal Information Processing Standard) 140-2 で検証された HSM が必要です。HSM をインストール、設定、および FIPS モードでセットアップする方法については、HSM のドキュメントを参照してください。
6.4.1. HSM 用の SELinux の設定
リンクのコピーリンクがクリップボードにコピーされました!
特定の HSM では、Certificate System をインストールする前に、手動で SELinux 設定を更新する必要があります。
以下のセクションでは、対応している HSM に必要なアクションを説明します。
- nCipher nShield
- HSM をインストールし、Certificate System をインストールする前に、以下を行います。
/opt/nfast/ディレクトリー内のファイルのコンテキストをリセットします。restorecon -R /opt/nfast/
# restorecon -R /opt/nfast/Copy to Clipboard Copied! Toggle word wrap Toggle overflow - nfast ソフトウェアを再起動します。
/opt/nfast/sbin/init.d-ncipher restart
# /opt/nfast/sbin/init.d-ncipher restartCopy to Clipboard Copied! Toggle word wrap Toggle overflow
- Gemalto Safenet LunaSA HSM
- Certificate System をインストールする前に、SELinux 関連のアクションは必要ありません。
対応している HSM の詳細は、「サポート対象のハードウェアセキュリティーモジュール」を参照してください。
6.4.2. HSM での FIPS モードの有効化
リンクのコピーリンクがクリップボードにコピーされました!
HSM で FIPS モードを有効にするには、特定の手順については、HSM ベンダーのドキュメントを参照してください。
重要
- nCipher HSM
- nCipher HSM では、FIPS モードが Security World を生成する場合にのみ有効にできます。これは後で変更することはできません。Security World を生成するにはさまざまな方法がありますが、常に new-world コマンドを使用することが推奨されます。FIPS 準拠の Security World を生成する方法は、nCipher HSM ベンダーのドキュメントを参照してください。
- LunaSA HSM
- 同様に、Luna HSM で FIPS モードを有効にするには、初期設定時に行う必要があります。これは、このポリシーを変更すると、セキュリティー対策として HSM がゼロになるためです。詳細は、Luna HSM ベンダーのドキュメントを参照してください。
6.4.3. FIPS モードが HSM で有効になっているかどうかの確認
リンクのコピーリンクがクリップボードにコピーされました!
本セクションでは、特定の HSM に対して FIPS モードが有効になっているかどうかを確認する方法を説明します。その他の HSM は、ハードウェアの製造元のドキュメントを参照してください。
6.4.3.1. FIPS モードが nCipher HSM で有効にされているかどうかの確認
リンクのコピーリンクがクリップボードにコピーされました!
注記
完全な手順については、HSM ベンダーのドキュメントを参照してください。
FIPS モードが nCipher HSM で有効になっているかどうかを確認するには、次のコマンドを実行します。
/opt/nfast/bin/nfkminfo
# /opt/nfast/bin/nfkminfo
古いバージョンのソフトウェアでは、
StrictFIPS140 が state フラグに一覧表示されると、FIPS モードが有効になります。ただし、新しいバージョンでは、新しい mode 行を確認して fips1402level3 を検索することが推奨されます。いずれの場合も、nfkminfo 出力に hkfips キーも存在しているはずです。
6.4.3.2. FIPS モードが Luna SA HSM で有効にされているかどうかの確認
リンクのコピーリンクがクリップボードにコピーされました!
注記
完全な手順については、HSM ベンダーのドキュメントを参照してください。
FIPS モードが Luna SA HSM で有効になっているかどうかを確認するには、次を実行します。
- lunash 管理コンソールを開きます。
- hsm show コマンドを使用して、出力に The HSM is in FIPS 140-2 approved operation mode というテキストが含まれていることを確認します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
6.4.4. HSM を使用した証明書システムのインストールの準備
リンクのコピーリンクがクリップボードにコピーされました!
「pkispawn ユーティリティーを使用したインストール」 では、HSM を使用して Certificate System をインストールする場合は、
pkispawn ユーティリティーに渡す設定ファイルで以下のパラメーターを使用します。
pki_hsm_libfileパラメーターおよびpki_token_nameパラメーターの値は、特定の HSM インストールにより異なります。これらの値により、pkispawnユーティリティーは HSM を設定し、Certificate System が接続できるようにします。pki_token_passwordの値は、特定の HSM トークンのパスワードによって異なります。パスワードは、HSM で新しいキーを作成するためのpkispawnユーティリティーの読み取りおよび書き込み権限を付与します。pki_hsm_modulenameの値は、HSM を識別するために後の pkispawn 操作で使用される名前です。文字列は、任意のものとして設定できる識別子です。これにより、pkispawnおよび Certificate System は、後続の操作で HSM および設定情報を名前で参照できます。
以下のセクションでは、各 HSM の設定を説明します。HSM が一覧にない場合は、HSM の製造元のドキュメントを参照してください。
6.4.4.1. NCipher HSM パラメーター
リンクのコピーリンクがクリップボードにコピーされました!
nCipher nShield Connect 6000 などの nCipher HSM の場合は、次のパラメーターを設定します。
pki_hsm_libfile=/opt/nfast/toolkits/pkcs11/libcknfast.so pki_hsm_modulename=nfast
pki_hsm_libfile=/opt/nfast/toolkits/pkcs11/libcknfast.so
pki_hsm_modulename=nfastpki_hsm_modulename の値を任意の値に設定することができることに注意してください。上記の値は推奨値です。
例6.1 トークン名の特定
トークン名を特定するには、
root ユーザーで以下のコマンドを実行してください。
Cardset セクションの name フィールドの値には、トークン名が一覧表示されます。
以下のようにトークン名を設定します。
pki_token_name=NHSM6000-OCS
pki_token_name=NHSM6000-OCS6.4.4.2. SafeNet / Luna SA HSM パラメーター
リンクのコピーリンクがクリップボードにコピーされました!
SafeNet Luna Network HSM などの SafeNet / Luna SA HSM の場合は、次のパラメーターを指定します。
pki_hsm_libfile=/usr/safenet/lunaclient/lib/libCryptoki2_64.so pki_hsm_modulename=lunasa
pki_hsm_libfile=/usr/safenet/lunaclient/lib/libCryptoki2_64.so
pki_hsm_modulename=lunasapki_hsm_modulename の値を任意の値に設定することができることに注意してください。上記の値は推奨値です。
例6.2 トークン名の特定
トークン名を特定するには、
root ユーザーで以下のコマンドを実行してください。
label 列の値は、トークン名を表示します。
以下のようにトークン名を設定します。
pki_token_name=lunasaQE
pki_token_name=lunasaQE6.4.5. ハードウェアセキュリティーモジュールでのキーのバックアップ
リンクのコピーリンクがクリップボードにコピーされました!
HSM に保存されている鍵と証明書を
.p12 ファイルにエクスポートすることはできません。このようなインスタンスをバックアップする必要がある場合には、HSM の製造元に連絡してサポートしてください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}