So konfigurieren Sie das SafeNet-Netzwerk HSM und integrieren es in Palo Alto Networks Firewall
19046
Created On 10/22/19 10:04 AM - Last Modified 12/01/24 12:58 PM
Objective
Der Zweck dieses Artikels besteht darin, die Schritte zu beschreiben, die erforderlich sind, um SafeNet Network HSM zu konfigurieren und in Palo Alto Networks zu integrieren Firewall
Environment
Firewall mit 8.0.x oder höher SafeNet-Netzwerk HSM mit PAN-OS Version 6.2.2-5
Firewall IP Adresse 1.2.3.4
Linux-Client-Adresse IP 192.168.1.100
Procedure
Schritt 1: SSH auf die und überprüfen Sie die laufende Version, wird dies verwendet, um die HSM Client-Version zu ändern, die HSM auf dem firewall
[local_host] lunash:>hsm show Appliance Details: ================== Software Version: 6.2.2-5
Schritt 2: Erstellen Sie eine Partition auf dem 1) Melden Sie sich mit dem Administratorkennwort an (Dieses Kennwort wird konfiguriert, wenn das mit dem HSM
HSM Befehl "hsm init" initialisiert wird) HSM HSM
[local_host] lunash:>hsm login
Please enter the HSM Administrators' password:
> *********
'hsm login' successful.2) Erstellen Sie die Partition mit dem folgenden Befehl und geben Sie "continue" ein, wenn Sie aufgefordert werden, partition create -partition <name> [-password <password>] [-domain <domain>]
[-size <size>]
[local_host] lunash:>partition create -partition EXAMPLE -password EXAMPLE -label EXAMPLE -domain EXAMPLE.LOCAL
On completion, you will have this number of partitions: 1
Type 'proceed' to create the initialized partition, or
'quit' to quit now.
> proceed
'partition create' successful.
Command Result : 0 (Success)
Schritt 3: Fügen Sie die Adresse hinzu firewall und übernehmen Sie die Änderung Device ---> Setup ---> ---> Security Module Provider Schritt 4: Ändern Sie die Client-Version auf dem so, dass sie mit der 1) Überprüfen Sie die HSM IP
Version auf der firewall
hsm-Client-Version anzeigen
HSM HSMfirewall
HSM Hardware
HSM
admin@EXAMPLE> show hsm client-version
Current HSM Luna-SA client version is 6.2.2:2 ) Ändern Sie die HSM Version (Neustart erforderlich)
Anfrage hsm client-version x.x.x
admin@EXAMPLE> request hsm client-version 6.2.2
Executing this command will reboot the device.. Do you want to continue? (y or n)Schritt 5: Authentifizieren Sie den Firewall mit der HSM
Anforderung hsm authentifizieren Server <Name des Servers, der HSM auf dem firewall> Kennwort konfiguriert ist
admin@EXAMPLE> request hsm authenticate server EXAMPLE password
Enter password :
HSM authentication server name EXAMPLE authentication success. Please register client on HSM server and login.Schritt 6: Registrieren Sie die <Adresse des HSMClientregisters -c <Clientname> -ip, die firewall
mit HSM> kommunizieren mussFirewall IP
[local_host] lunash:>client register -c EXAMPLE -ip 1.2.3.4
'client register' successful.
Command Result : 0 (Success)Schritt 7: Weisen Sie die neu erstellte oder vorhandene Partition dem
Clientclient zuzuweisenpartition -c <Clientname> -p <Partitionsname>
[local_host] lunash:>client assignpartition -c EXAMPLE -p EXAMPLE
'client assignPartition' successful.
Command Result : 0 (Success)Schritt 8: Verbinden Sie sich mit der HSM Partition mit dem Partitionskennwort
Fordern Sie das HSM-Anmeldekennwort an
admin@EXAMPLE> request hsm login password
Enter password :
HSM Login succeeded.Sobald alle oben genannten Schritte abgeschlossen sind, sollten Sie den grünen Status in GUI
Schritt 9: Importieren des öffentlichen Zertifikatschlüssels in die 1) Gehen Sie zu Device ----> Certificate Management ---> Zertifikate ---> Import 2) Verwenden Sie das Dateiformat und wählen Sie das Zertifikat aus Ihrem 3) Aktivieren Sie das Kontrollkästchen "Der private Schlüssel befindet sich im Sicherheitsmodul" 4) Übernehmen Sie die firewall
Änderungen
PC
Schritt 10:Hardware PEM
Importieren des privaten Schlüssels in die Partition Wenn der private Schlüssel nicht in der Partition vorhanden ist, besteht eine Möglichkeit, ihn zu importieren, darin, einen anderen Client zu konfigurieren, um eine Verbindung zu derselben Partition herzustellen und den Schlüssel hochzuladen. Führen Sie auf einem Linux-Computer mit Luna-Client die HSM
folgenden Schritte aus, um den privaten Schlüssel
in das Verzeichnis zu exportieren. HSM
1) Gehen Sie in den Ordner, der HSM Luna-Client-cd /
usr/safenet/lunaclient/bin/
2) Übertragen Sie das HSM Serverzertifikat zum Client sudo scp admin@<
HSM IP Adresse >:
server.pem /usr/safenet/lunaclient/cert/server/3) Fügen Sie als Server cd /usr/safenet/lunaclient/bin/sudo ./vtl addServer -n <Adresse hinzu> -c /usr/safenet/lunaclient/cert/server/server.pem -htl 4) Generieren Sie HSM ein Client-Zertifikat, um eine Verbindung zu
sudo ./vtl createCert -n herzustellen <Linux-Client-QuelladresseIP, die verwendet wird, um >5) Client zu erreichen HSM
HSM IP
HSM cert to HSM scp /usr/safenet/lunaclient/cert/client/192.168.1.100.pem
6) Registrieren Sie den Client und weisen Sie ihm dieselbe Partition zu, die firewall dem Client zugewiesen ist. register -c
Linux_client -ip 192.168.1.100
client assignPartition -c Linux_client EXAMPLE
-p 7) Verbinden Sie sich mit dem und authentifizieren Sie sich mit dem HSM
Admin-Passwort ./salogin -o -s 0 -v -i 1:1 -p <Partitionspasswort>
8) Exportieren Sie den privaten Schlüssel in das HSM
SSH partition/
usr/safenet/lunaclient/bin/cmu importkey -in keyout.key -keyalg RSA
Additional Information
Referenzen
Einrichten der Konnektivität mit einem SafeNet-Netzwerk HSM
https://docs.paloaltonetworks.com/pan-os/8-1/-admin/certificate-management/pan-ossecure-keys-with-a--hardwaresecurity-module/set-up-connectivity-with-hsm/set-up-connectivity-with-a-safenet-network-hsm.html