SafeNet ネットワークの設定方法HSMそしてそれをパロアルトネットワークと統合します Firewall
19096
Created On 10/22/19 10:04 AM - Last Modified 12/01/24 12:58 PM
Objective
この記事の目的は、SafeNet ネットワークの構成に必要な手順を提供することです。HSMそしてそれをパロアルトネットワークと統合します Firewall
Environment
Firewall ランニングPAN-OS8.0.x 以上
SafeNet ネットワークHSMバージョン 6.2.2-5 を実行中
FirewallIPアドレス 1.2.3.4
Linux クライアントIPアドレス 192.168.1.100
Procedure
ステップ1:SSHにHSM実行中のバージョンを確認します。これは、HSMで実行されているクライアント バージョンfirewall
[local_host] lunash:>hsm show Appliance Details: ================== Software Version: 6.2.2-5
ステップ2:にパーティションを作成します。HSMまだ作成されていない場合
1)にログインHSMを使用してHSM管理者のパスワード (このパスワードは、HSMで初期化されます「hsm初期化」指図)
[local_host] lunash:>hsm login
Please enter the HSM Administrators' password:
> *********
'hsm login' successful.2)以下のコマンドを使用してパーティションを作成し、プロンプトが表示されたら「続行」と入力します。
partition create -partition <名前> [-password <パスワード>] [-domain <ドメイン>] [-size <サイズ>]
[local_host] lunash:>partition create -partition EXAMPLE -password EXAMPLE -label EXAMPLE -domain EXAMPLE.LOCAL
On completion, you will have this number of partitions: 1
Type 'proceed' to create the initialized partition, or
'quit' to quit now.
> proceed
'partition create' successful.
Command Result : 0 (Success)
ステップ 3:追加HSM IPへのアドレスfirewallそして変更をコミットします
デバイス ---> セットアップ --->HSM --->Hardwareセキュリティ モジュール プロバイダ
ステップ 4:変更HSM上のクライアント バージョンfirewallに合わせるHSM
1)チェックHSM上のバージョンfirewall
hsm クライアント バージョンを表示
admin@EXAMPLE> show hsm client-version
Current HSM Luna-SA client version is 6.2.2:2)変更HSMバージョン (再起動が必要)
要求 hsm クライアント バージョン xxx
admin@EXAMPLE> request hsm client-version 6.2.2
Executing this command will reboot the device.. Do you want to continue? (y or n)ステップ 5:認証するFirewallとともにHSM
request hsm authenticate server <サーバーの名前HSMで構成されたサーバーfirewall> パスワード
admin@EXAMPLE> request hsm authenticate server EXAMPLE password
Enter password :
HSM authentication server name EXAMPLE authentication success. Please register client on HSM server and login.ステップ 6:登録するfirewallとともにHSM
client register -c <クライアント名> -ip <FirewallIP通信する必要があるアドレスHSM>
[local_host] lunash:>client register -c EXAMPLE -ip 1.2.3.4
'client register' successful.
Command Result : 0 (Success)ステップ 7:新しく作成されたパーティションまたは既存のパーティションをクライアントに割り当てます
client assignpartition -c <クライアント名> -p <パーティション名>
[local_host] lunash:>client assignpartition -c EXAMPLE -p EXAMPLE
'client assignPartition' successful.
Command Result : 0 (Success)ステップ 8:に接続しますHSMパーティションパスワードを使用したパーティション
hsm ログイン パスワードを要求する
admin@EXAMPLE> request hsm login password
Enter password :
HSM Login succeeded.上記のすべての手順が完了すると、緑色のステータスがGUI
ステップ 9:への証明書公開鍵のインポートfirewall
1)に行くデバイス ----> 証明書の管理 ---> 証明書 ---> インポート
2)ファイル形式を使用PEMから証明書を選択します。PC
3) 「秘密鍵が存在する場所」にチェックを入れますHardwareセキュリティモジュール」チェックボックス
4)変更をコミットする
ステップ 10:秘密鍵をHSMパーティション
秘密鍵がHSMパーティションをインポートする 1 つの方法は、別のクライアントを構成して同じパーティションに接続し、キーをアップロードすることです。
Luna クライアントを搭載した Linux マシンでは、以下の手順に従って秘密鍵をHSM
1) Luna クライアントを含むフォルダーに移動します。
cd /usr/safenet/lunaclient/bin/
2)転送HSMクライアントへのサーバー証明書
sudo scp admin@<HSM IPアドレス>:server.pem /usr/safenet/lunaclient/cert/server/
3)追加HSMサーバーとして
cd /usr/safenet/lunaclient/bin/
sudo ./vtl addServer -n <HSM IPアドレス> -c /usr/safenet/lunaclient/cert/server/server.pem -htl
4)接続するクライアント証明書を生成するHSM
sudo ./vtl createCert -n <Linux クライアント ソースIP到達するために使用されるアドレスHSM>
5)クライアント証明書をエクスポートHSM
SCP /usr/safenet/lunaclient/cert/client/192.168.1.100.pem
6)クライアントを登録し、クライアントに割り当てられているのと同じパーティションを割り当てます。firewall
クライアント登録 -c Linux_client -ip 192.168.1.100
client assignPartition -c Linux_client -pEXAMPLE
7)に接続しますHSMadmin を使用して認証するSSHパスワード
./salogin -o -s 0 -v -i 1:1 -p <パーティションパスワード>
8)秘密鍵をHSMパーティション
/usr/safenet/lunaclient/bin/cmu importkey -in keyout.key -keyalgRSA
Additional Information
参考文献
SafeNet ネットワークとの接続をセットアップするHSM
https://docs.paloaltonetworks.com/pan-os /8-1/pan-os -admin/certificate-management/secure-keys-with-a-hardware -security-module/set-up-connectivity-with-hsm/set-up-connectivity-with-a-safenet-network-hsm.html