Comment configurer le réseau HSM SafeNet et l’intégrer à Palo Alto Networks Firewall
19046
Created On 10/22/19 10:04 AM - Last Modified 12/01/24 12:58 PM
Objective
Le but de cet article est de fournir les étapes requises pour configurer SafeNet Network HSM et l’intégrer à Palo Alto Networks Firewall
Environment
Firewall exécutant 8.0.x ou une version ultérieure Réseau SafeNet exécutant PAN-OS la version
6.2.2-5
Firewall IP adresse 1.2.3.4
Adresse du client IP Linux 192.168.1.100 HSM
Procedure
Étape 1 : SSH à la et vérifiez sa version en cours d’exécution, cela sera utilisé pour modifier la HSM HSM version du client exécuté sur le firewall
[local_host] lunash:>hsm show Appliance Details: ================== Software Version: 6.2.2-5
Étape 2 : Créer une partition sur le si elle n'est pas déjà créée 1) Connectez-vous à l'aide du mot de passe des administrateurs (ce mot de passe est configuré lorsque le HSM
HSM est initialisé avec la commande « hsm init ») HSM HSM
[local_host] lunash:>hsm login
Please enter the HSM Administrators' password:
> *********
'hsm login' successful.2) Créez la partition à l'aide de la commande ci-dessous et tapez 'proceed' lorsque vous y êtes invité créer une partition -partition <nom> [-mot de passe <mot de passe>] [-domaine <domaine>]
[-size <taille>]
[local_host] lunash:>partition create -partition EXAMPLE -password EXAMPLE -label EXAMPLE -domain EXAMPLE.LOCAL
On completion, you will have this number of partitions: 1
Type 'proceed' to create the initialized partition, or
'quit' to quit now.
> proceed
'partition create' successful.
Command Result : 0 (Success)
Étape 3 : Ajoutez l’adresse à la et validez la modification Configuration de l’appareil ---> ---> ---> Fournisseur de modules de sécurité Étape 4: Modifiez la version du client sur le pour qu’elle HSM IP corresponde à la 1) Vérifiez la firewall
HSM version sur le firewall
show hsm client-version
HSM HSMfirewall
Hardware HSM
admin@EXAMPLE> show hsm client-version
Current HSM Luna-SA client version is 6.2.2:2 ) Modifier la version (nécessite un HSM redémarrage)
demande hsm client-version x.x.x
admin@EXAMPLE> request hsm client-version 6.2.2
Executing this command will reboot the device.. Do you want to continue? (y or n)Étape 5 : Authentifier le avec la demande hsm authenticate server <Nom du serveur configuré sur le Firewall HSM
mot de HSM passe > firewall
admin@EXAMPLE> request hsm authenticate server EXAMPLE password
Enter password :
HSM authentication server name EXAMPLE authentication success. Please register client on HSM server and login.Étape 6 : Enregistrez l’adresse firewall < avec le HSM
registre client -c <nom-client> -ip qui doit communiquer avec HSM>Firewall IP
[local_host] lunash:>client register -c EXAMPLE -ip 1.2.3.4
'client register' successful.
Command Result : 0 (Success)Étape 7 : Affectez la partition nouvellement créée ou existante au
client client assignpartition -c <nom_client> -p <nom_partition>
[local_host] lunash:>client assignpartition -c EXAMPLE -p EXAMPLE
'client assignPartition' successful.
Command Result : 0 (Success)Étape 8: Connectez-vous à la partition à l’aide de la HSM
demande de mot de passe de partition Mot de passe de connexion HSM
admin@EXAMPLE> request hsm login password
Enter password :
HSM Login succeeded.Une fois toutes les étapes ci-dessus terminées, vous devriez voir l’état vert dans l’Étape 9: Importation de la clé publique du certificat dans le 1) Accédez à Gestion des certificats ----> des appareils ---> Certificats ---> importer
2) Utilisez le format PEM de fichier et sélectionnez le certificat dans votre PC
3) Cochez la case « La clé privée réside sur Hardware GUI
le firewallmodule de
sécurité »
4) Validez les modifications
Étape 10 : Importer la clé privée dans la partition Si la clé privée n’existe pas dans la partition, une façon de l’importer consiste à configurer un client différent pour se connecter à la même partition et télécharger la clé Sur une machine Linux avec client Luna, suivez les étapes ci-dessous pour exporter la HSM
HSM clé
privée vers le HSM
1) Allez dans le dossier contenant le client Luna
cd /usr/safenet/lunaclient/bin/
2) Transférer le certificat du HSM serveur au client sudo scp admin@<
HSM IP
address>:server.pem /usr/safenet/lunaclient/cert/server/3) Ajouter HSM en tant que serveur cd /usr/safenet/lunaclient/bin/sudo ./vtl addServer -n < address> -c /
usr/safenet/lunaclient/cert/server/server.pem -htl 4) Générer un certificat client pour se connecter à sudo ./
vtl createCert -n <HSM IP
Adresse source
IP du client Linux utilisée pour atteindre HSM>
5) Exporter le client HSM cert à scp /usr/safenet/lunaclient/cert/client/192.168.1.100.pem
6) Enregistrez le client et attribuez-lui la même partition que celle affectée au firewall
registre client -c Linux_client -ip 192.168.1.100
client assignPartition -c Linux_client EXAMPLE
-p 7) Connectez-vous au et authentifiez-vous à HSM l’aide HSM du mot de passe administrateur SSH
./salogin -o -s 0 -v -i 1:1 -p <mot de passe de partition>
8) Exportez la clé privée vers le HSM
partition/
usr/safenet/lunaclient/bin/cmu importkey -in keyout.key -keyalg RSA
Additional Information
Références
Configurer la connectivité avec un réseau SafeNet HSM
https://docs.paloaltonetworks.com/pan-os/8-1/-admin/certificate-management/pan-ossecure-keys-with-a--hardwaresecurity-module/set-up-connectivity-with-hsm/set-up-connectivity-with-a-safenet-network-hsm.html