如何配置 SafeNet 网络HSM并将其与 Palo Alto Networks 集成 Firewall
20485
Created On 10/22/19 10:04 AM - Last Modified 12/01/24 12:58 PM
Objective
本文的目的是提供配置 SafeNet 网络所需的步骤HSM并将其与 Palo Alto Networks 集成 Firewall
Environment
Firewall 跑步PAN-OS8.0.x 或以上
安全网HSM运行版本 6.2.2-5
FirewallIP地址 1.2.3.4
Linux客户端IP地址 192.168.1.100
Procedure
步骤1:SSH到HSM并检查其运行版本,这将用于更改HSM上运行的客户端版本firewall
[local_host] lunash:>hsm show Appliance Details: ================== Software Version: 6.2.2-5
第2步:上创建一个分区HSM如果尚未创建
1)登入HSM使用HSM管理员密码(该密码是在HSM初始化为“hsm 初始化”命令)
[local_host] lunash:>hsm login
Please enter the HSM Administrators' password:
> *********
'hsm login' successful.2)使用以下命令创建分区并在出现提示时键入“继续”
partition create -partition <name> [-password <password>] [-domain <domain>] [-size <size>]
[local_host] lunash:>partition create -partition EXAMPLE -password EXAMPLE -label EXAMPLE -domain EXAMPLE.LOCAL
On completion, you will have this number of partitions: 1
Type 'proceed' to create the initialized partition, or
'quit' to quit now.
> proceed
'partition create' successful.
Command Result : 0 (Success)
第 3 步:添加HSM IP地址到firewall并提交更改
设备--->设置--->HSM --->Hardware安全模块提供商
步骤4:改变HSM上的客户端版本firewall匹配HSM
1)查看HSM上的版本firewall
显示 hsm 客户端版本
admin@EXAMPLE> show hsm client-version
Current HSM Luna-SA client version is 6.2.2:2)改变HSM版本(需要重启)
请求 hsm 客户端版本 xxx
admin@EXAMPLE> request hsm client-version 6.2.2
Executing this command will reboot the device.. Do you want to continue? (y or n)第 5 步:认证Firewall与HSM
请求 hsm 验证服务器 <Name of theHSM服务器上配置的firewall> 密码
admin@EXAMPLE> request hsm authenticate server EXAMPLE password
Enter password :
HSM authentication server name EXAMPLE authentication success. Please register client on HSM server and login.第 6 步:注册firewall与HSM
客户端注册 -c <客户端名称> -ip <FirewallIP需要通信的地址HSM>
[local_host] lunash:>client register -c EXAMPLE -ip 1.2.3.4
'client register' successful.
Command Result : 0 (Success)第 7 步:将新创建的或现有的分区分配给客户端
client assignpartition -c <client-name> -p <partition-name>
[local_host] lunash:>client assignpartition -c EXAMPLE -p EXAMPLE
'client assignPartition' successful.
Command Result : 0 (Success)第 8 步:连接到HSM使用分区密码分区
请求hsm登录密码
admin@EXAMPLE> request hsm login password
Enter password :
HSM Login succeeded.完成上述所有步骤后,您应该会在GUI
第 9 步:导入证书公钥到firewall
1)去设备---->证书管理--->证书--->导入
2)使用文件格式PEM并从您的PC
3)检查“私钥驻留在Hardware安全模块”复选框
4)提交更改
第 10 步:导入私钥到HSM分割
如果私钥不存在于HSM分区,那么导入它的一种方法是配置不同的客户端连接到同一个分区并上传密钥
在带有 Luna 客户端的 Linux 机器上,按照以下步骤将私钥导出到HSM
1)转到包含 Luna 客户端的文件夹
cd /usr/safenet/lunaclient/bin/
2)转移HSM服务器证书到客户端
sudo scp 管理员@<HSM IP地址>:server.pem /usr/safenet/lunaclient/cert/server/
3)添加HSM作为服务器
cd /usr/safenet/lunaclient/bin/
须藤 ./vtl addServer -n <HSM IP地址> -c /usr/safenet/lunaclient/cert/server/server.pem -htl
4)生成要连接的客户端证书HSM
sudo ./vtl createCert -n <Linux 客户端源IP用于到达的地址HSM>
5)将客户端证书导出到HSM
scp /usr/safenet/lunaclient/cert/client/192.168.1.100.pem
6)注册客户端并为其分配与分配给firewall
客户端注册-c Linux_client -ip 192.168.1.100
客户端assignPartition -c Linux_client -pEXAMPLE
7)连接到HSM并使用管理员进行身份验证SSH密码
./salogin -o -s 0 -v -i 1:1 -p <分区密码>
8)将私钥导出到HSM分割
/usr/safenet/lunaclient/bin/cmu importkey -in keyout.key -keyalgRSA
Additional Information
参考
设置与 SafeNet 网络的连接HSM
https://docs.paloaltonetworks.com/pan-os /8-1/pan-os -admin/certificate-management/secure-keys-with-a-hardware -security-module/set-up-connectivity-with-hsm/set-up-connectivity-with-a-safenet-network-hsm.html