5.11. Barbican と HSM 間の TLS アクティビティーの確認
barbican は、ベンダーが提供する PKCS#11 ライブラリーを介して HSM と通信します。たとえば、ATOS Proteccio HSM の場合、proteccio.rc
ファイルを設定することで、HSM クライアントが TLS を使用して HSM と通信するように設定できます。
Atos HSM の場合、CA、サーバー証明書、およびキーを含むファイルがコントローラーにあり、barbican
ユーザーによって所有されます。barbican
ユーザーはコントローラー上に存在せず、Barbican コンテナーで定義される barbican
ユーザーであることに注意してください。これにより、これはファイルに数字の識別子として示されます。ファイルは barbican
ユーザーの読み取り可能でなければなりません(0400
)。これらのファイルは、Barbican コンテナーによってバインドマウントされます。
nCipher nShield Connect XC については、HSM とクライアントソフトウェア間の pkcs#11 トランザクションの追加ログを表示するには、/opt/nfast/cknfastrc
に以下のエントリーを追加します。
CKNFAST_DEBUG=9 CKNFAST_DEBUGFILE=/tmp/hsm_log.txt