Cómo configurar SafeNet Network HSM e integrarlo con Palo Alto Networks Firewall

Cómo configurar SafeNet Network HSM e integrarlo con Palo Alto Networks Firewall

19044
Created On 10/22/19 10:04 AM - Last Modified 12/01/24 12:58 PM


Objective


El propósito de este artículo es proporcionar los pasos necesarios para configurar SafeNet Network HSM e integrarla con Palo Alto Networks Firewall

Environment


Firewall ejecutando PAN-OS 8.0.x o superior
SafeNet Network HSM con la versión 6.2.2-5

Firewall IP dirección 1.2.3.4
Dirección del cliente IP Linux 192.168.1.100

Procedure


Paso 1: SSH HSM y compruebe su versión en ejecución, se utilizará para cambiar la versión del HSM cliente que se ejecuta en el firewall 
 
[local_host] lunash:>hsm show

   Appliance Details:
   ==================
   Software Version:                6.2.2-5

Paso 2: Crear una partición en el si aún no se ha creado 1) Inicie sesión con la contraseña de los administradores (esta contraseña se configura cuando se inicializa con el HSM

comando "hsm init") HSM HSM HSM
 
[local_host] lunash:>hsm login

  Please enter the HSM Administrators' password:
  > *********

'hsm login' successful.

2) Cree la partición usando el siguiente comando y escriba 'proceed' cuando se le solicite partition create -partition <name> [-password <password>] [-domain <domain>]

[-size <size>]
 
[local_host] lunash:>partition create -partition EXAMPLE -password EXAMPLE -label EXAMPLE -domain EXAMPLE.LOCAL

On completion, you will have this number of partitions: 1

          Type 'proceed' to create the initialized partition, or
          'quit' to quit now.
          > proceed
'partition create' successful.

Command Result : 0 (Success)

Paso 3: Agregue la dirección al firewall y confirme el cambio Dispositivo ---> Configuración ---> ---> Proveedor de módulos de seguridad Paso 4: Cambie la versión del cliente en el para que coincida con el 1) Verifique la versión en el mostrar la HSM IP

firewall versión del HSM cliente hsm firewall HSM 




HSM Hardware


Imagen de usuario añadido

HSM  
admin@EXAMPLE> show hsm client-version

Current HSM Luna-SA client version is 6.2.2:

2 ) Cambiar la HSM versión (requiere reinicio)

solicitud hsm client-version x.x.x
 
admin@EXAMPLE> request hsm client-version 6.2.2
Executing this command will reboot the device.. Do you want to continue? (y or n)

Paso 5: Autenticar el con la solicitud hsm autenticar el Firewall HSM

servidor <Nombre del HSM servidor configurado en la contraseña de >firewall 
admin@EXAMPLE> request hsm authenticate server EXAMPLE password
Enter password :

HSM authentication server name EXAMPLE authentication success. Please register client on HSM server and login.

Paso 6: Registre la firewall dirección de < -ip -c con el cliente register -c <client-name> que necesita comunicarse con >HSM 

HSMFirewall IP
 
[local_host] lunash:>client register -c EXAMPLE -ip 1.2.3.4

'client register' successful.

Command Result : 0 (Success)

Paso 7: Asigne la partición recién creada o existente al cliente assignpartition

-c <client-name> -p <partition-name>
 
[local_host] lunash:>client assignpartition -c EXAMPLE -p EXAMPLE

'client assignPartition' successful.

Command Result : 0 (Success)


Paso 8: Conéctese a la partición usando la HSM contraseña

de solicitud de contraseña de partición hsm contraseña de inicio de sesión
 
admin@EXAMPLE> request hsm login password
Enter password :

HSM Login succeeded.

Una vez que se completen todos los pasos anteriores, debería ver el estado verde en el Paso GUI

Imagen de usuario añadido

9: Importación de la clave pública del certificado a 1firewall 

) Vaya a Administración de certificados ----> de dispositivos ---> certificados ---> importar

2) Use el formato PEM de archivo y seleccione el certificado de su PC

3) Marque la casilla de verificación "La clave privada reside en Hardware el módulo de seguridad"

Imagen de usuario añadido

4) Confirme los cambios

Paso 10: Importar la clave privada a la partición Si la clave privada no existe en la partición, una forma de importarla es configurando un cliente diferente para conectarse a la misma partición y cargar la clave En una máquina Linux con cliente Luna, siga los pasos a continuación para exportar la clave privada a la 1) Vaya a la HSM

HSM carpeta que contiene el cd del cliente Luna /

usr/safenet/lunaclient/bin/

2) Transferir el certificado del HSM servidor HSM



al cliente sudo scp admin@<

HSM IP

dirección>:server.pem /usr/safenet/lunaclient/cert/server/3) Agregar HSM como servidor cd /usr/safenet/lunaclient/bin/sudo ./vtl addServer -n dirección <

HSM IP> -c /usr/safenet/lunaclient/cert/server/server.pem -htl 4) Generar certificado de cliente para conectarse a sudo ./
vtl



createCert -n <Dirección de origen IP del cliente Linux que se utiliza para llegar HSMa

HSM >5) Exportar cliente cert to HSM scp /usr/safenet/lunaclient/cert/client/192.168.1.100.pem
6) Registre el cliente y asígnele la misma partición que se asigna para el firewall cliente register -c Linux_client -

ip 192.168.1.100
client assignPartition -c Linux_client EXAMPLE

-p 7) Conéctese al HSM y autentique usando la contraseña de administrador SSH

./salogin -o -s 0 -v -i 1:1 -p <Contraseña de partición>

8) Exporte la clave privada al HSM


partition/

usr/safenet/lunaclient/bin/cmu importkey -in keyout.key -keyalg RSA    

Additional Information


Referencias

Configurar la conectividad con una red SafeNet HSM
https://docs.paloaltonetworks.com/pan-os/8-1/-admin/certificate-management/pan-ossecure-keys-with-a-hardware-security-module/set-up-connectivity-with-hsm/set-up-connectivity-with-a-safenet-network-hsm.html

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PN8zCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language