5.10. コントローラーの設定


この手順では、Ansible ロールを使用してコントローラーに nCipher クライアントソフトウェアをダウンロードしてインストールし、次に nCipher 設定ファイルを変更して、事前定義された HSM IP および認証情報に追加します。

  1. barbican-backend-pkcs11-thales.yaml という名前の OVERCLOUD_TEMPLATES に環境ファイルを作成し、nCipher nShield Connect XC の設定情報を入力します。以下に例を示します。

    tripleo_heat_templates:
        - /usr/share/openstack-tripleo-heat-templates/environments/services/barbican.yaml
        - /usr/share/openstack-tripleo-heat-templates/environments/barbican-backend-pkcs11-thales.yaml
    
    custom_templates:
        parameter_defaults:
            SwiftEncryptionEnabled: true
            ComputeExtraConfig:
                nova::glance::verify_glance_signatures: true
        nova::compute::verify_glance_signatures: true
            BarbicanPkcs11CryptoLogin: 'sample string'
            BarbicanPkcs11CryptoSlotId: '492971158'
            BarbicanPkcs11CryptoGlobalDefault: true
            BarbicanPkcs11CryptoLibraryPath: '/opt/nfast/toolkits/pkcs11/libcknfast.so'
            BarbicanPkcs11CryptoEncryptionMechanism: 'CKM_AES_CBC'
            BarbicanPkcs11CryptoHMACKeyType: 'CKK_SHA256_HMAC'
            BarbicanPkcs11CryptoHMACKeygenMechanism: 'CKM_NC_SHA256_HMAC_KEY_GEN'
            BarbicanPkcs11CryptoMKEKLabel: 'barbican_mkek_10'
            BarbicanPkcs11CryptoMKEKLength: '32'
            BarbicanPkcs11CryptoHMACLabel: 'barbican_hmac_10'
            BarbicanPkcs11CryptoThalesEnabled: true
            BarbicanPkcs11CryptoEnabled: true
            ThalesVars:
                thales_client_working_dir: /tmp/thales_client_install
                thales_client_tarball_location: https://your server/CipherTools-linux64-dev-12.40.2.tgz
                thales_client_tarball_name: CipherTools-linux64-dev-12.40.2.tgz
                thales_client_path: linux/libc6_11/amd64/nfast
                thales_client_uid: 42481
                thales_client_gid: 42481
                thales_km_data_location: https://your server/kmdata_post_card_creation.tar.gz
                thales_km_data_tarball_name: kmdata_post_card_creation.tar.gz
                thales_hsm_ip_address: 192.168.10.10
                thales_rfs_server_ip_address: 192.168.10.11
                thales_hsm_config_location: hsm-C90E-02E0-D947
                thales_rfs_user: root
                thales_rfs_key: |
                    -----BEGIN RSA PRIVATE KEY-----
    Sample private key
    -----END RSA PRIVATE KEY-----
    
    resource_registry:
        OS::TripleO::Services::BarbicanBackendPkcs11Crypto: /home/stack/tripleo-heat-templates/puppet/services/barbican-backend-pkcs11-crypto.yaml
    • BarbicanPkcs11CryptoGlobalDefault および BarbicanPkcs11CryptoEnabled: これらのオプションは、PKCS#11 をグローバルのデフォルトバックエンドとして設定します。
    • BarbicanPkcs11CryptoMKEKLabel: HSM で生成される mKEK の名前を定義します。director はこのキーを使用して HSM にこのキーを作成します。
    • BarbicanPkcs11CryptoHMACLabel: HSM で生成された HMAC 鍵の名前を定義します。director はこのキーを使用して HSM にこのキーを作成します。

      1. 既存の openstack overcloud deploy コマンドへのパスを追加して、スクリプトを再実行します。

5.10.1. HSM 接続のテスト

  1. テストシークレットを作成します。以下に例を示します。

    $ openstack secret store --name testSecret --payload 'TestPayload'
    +---------------+------------------------------------------------------------------------------------+
    | Field         | Value                                                                              |
    +---------------+------------------------------------------------------------------------------------+
    | Secret href   | https://192.168.123.163/key-manager/v1/secrets/4cc5ffe0-eea2-449d-9e64-b664d574be53 |
    | Name          | testSecret                                                                         |
    | Created       | None                                                                               |
    | Status        | None                                                                               |
    | Content types | None                                                                               |
    | Algorithm     | aes                                                                                |
    | Bit length    | 256                                                                                |
    | Secret type   | opaque                                                                             |
    | Mode          | cbc                                                                                |
    | Expiration    | None                                                                               |
    +---------------+------------------------------------------------------------------------------------+
  2. 作成したシークレットのペイロードを取得します。

    openstack secret get https://192.168.123.163/key-manager/v1/secrets/4cc5ffe0-eea2-449d-9e64-b664d574be53 --payload
    +---------+-------------+
    | Field   | Value       |
    +---------+-------------+
    | Payload | TestPayload |
    +---------+-------------+
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.