Módulo de seguridad de hardware BlackVault

A continuación, se proporcionan instrucciones paso a paso sobre cómo integrar EJBCA e implementar el HSM BlackVault de Engage Black. Las instrucciones se crearon utilizando el Módulo de Seguridad de Hardware (HSM) de BlackVault . con un panel táctil.

Inicializar BlackVault HSM

A continuación se describen los pasos necesarios para inicializar un dispositivo BlackVault HSM, equipado con una pantalla táctil.

Preparación y planificación

A continuación se detalla lo que debe preparar y planificar antes de comenzar:

  • Reúna la cantidad necesaria de tarjetas criptográficas seguras para los roles de Oficial y Usuario de Criptomonedas. La cantidad necesaria dependerá de la cantidad de tarjetas de Oficial y Usuario de Criptomonedas que se asignarán a los custodios.

  • Tipos de roles:

    • Oficial de cifrado : cuenta solo para administración de HSM, no se puede usar para administrar certificados

    • Usuario : Cuenta para administrar únicamente certificados.

  • Cada rol utilizará un conjunto separado de tarjetas criptográficas para la autorización.

  • (Se requieren M o N tarjetas para acceder a HSM, el mínimo es 1 de 1 para cada rol)

Inicializar HSM

Para inicializar el HSM, realice los siguientes pasos:

  1. Encienda la unidad HSM.

  2. Comience la secuencia de inicialización siguiendo las páginas en pantalla. imágenes/s/-2y7bau/8703/189cb2l/_/imagenes/iconos/emoticonos/advertencia.svg Las primeras páginas son informativas. Pulse "Aceptar" cuando se le solicite para continuar.

  3. Utilice el mensaje de aviso del modo FIPS:

    • Si se requiere cumplimiento de FIPS, haga clic en Sí.

    • De lo contrario, haga clic en No para continuar.

  4. Importar base de datos de tarjetas inteligentes:

    • Para la primera inicialización, haga clic en No para omitir.

  5. Conjunto de tarjetas inteligentes Crypto Officer:

    • Especifique la cantidad de tarjetas criptográficas de Crypto Officer (CO) necesarias para iniciar sesión (M de N, mínimo 1 de 1):

      • Introduzca el número total de tarjetas a crear.

      • Introduzca el número de tarjetas necesarias para iniciar sesión.

    • Haga clic en Listo .

  6. Introduzca el PIN de la tarjeta Crypto 1:

    • Introduzca un PIN utilizando el teclado táctil y presione ENTER para continuar (mínimo: 4 caracteres).

    • Vuelva a ingresar el PIN para verificar y presione ENTER.

  7. Creación de Crypto Officer - Insertar tarjeta número 1:

    • Inserte una tarjeta criptográfica en blanco en la ranura para tarjetas HSM.

    • Verifique el número de serie en pantalla con el que está impreso en la tarjeta criptográfica física.

    • Registre el número de serie de la tarjeta criptográfica, su uso asignado y su custodio (por ejemplo, Tarjeta criptográfica Crypto Officer N.° 1 asignada a John Doe) en un documento separado para referencia futura.

    • Haga clic en si los números de serie coinciden

    • Repita la configuración de PIN para las tarjetas criptográficas restantes de Crypto Officer.

  8. Es necesario iniciar sesión como Crypto Officer para continuar.

    1. Una vez asignadas todas las tarjetas criptográficas CO, inicie sesión como Oficial de Criptografía usando M o N tarjetas.

  9. Creación de usuario - Conjunto de tarjetas de usuario:

    • Especifique la cantidad de tarjetas criptográficas de usuario necesarias para iniciar sesión (M de N, mínimo 1 de 1)

    • Introduzca el número total de tarjetas a crear.

    • Introduzca el número de tarjetas necesarias para iniciar sesión.

    • Haga clic en Listo.

  10. Introduzca el PIN de la tarjeta de usuario 1:

    • Ingrese un PIN usando el teclado táctil y presione ENTER para continuar (Requisito de longitud mínima: 4 caracteres)

    • Vuelva a ingresar el PIN para verificar y presione ENTER.

  11. Creación de usuario - Insertar tarjeta número 1:

    • Inserte una tarjeta criptográfica en blanco en la ranura para tarjetas HSM.

    • Verifique el número de serie en pantalla con el que está impreso en la tarjeta criptográfica física.

    • Registre el número de serie de la tarjeta criptográfica, su uso asignado y su custodio (por ejemplo, Tarjeta criptográfica de usuario n.° 1 asignada a Jane Doe) en un documento separado para referencia futura.

    • Haga clic en si los números de serie coinciden.

    • Repita la configuración de PIN para las tarjetas criptográficas de usuario restantes.

  12. Inicialización - completada exitosamente:

    • Haga clic en Aceptar para completar la inicialización. imágenes/s/-2y7bau/8703/189cb2l/_/imagenes/iconos/emoticonos/advertencia.svg La inicialización no se completará hasta que se haga clic en Aceptar .

Configurar los ajustes del HSM

Para configurar los ajustes de HSM, haga lo siguiente:

  1. Inicie sesión en el HSM como Crypto Officer y haga clic en Configuración .

  2. Haga clic en Configuración de fecha :

    • Introduzca la fecha actual y haga clic en Guardar .

    • Haga clic en Aceptar .

  3. Haga clic en Configuración de hora :

    • Introduzca la hora actual y haga clic en Guardar .

    • Haga clic en Aceptar .

  4. Haga clic en Configuración de zona horaria :

    • En el primer campo, seleccione la región continental.

    • Tras seleccionar una región, aparecerá un segundo campo con las zonas horarias disponibles. Seleccione la zona horaria adecuada y haga clic en Guardar .

    • Haga clic en Aceptar .

  5. Desplácese hacia abajo para ver configuraciones adicionales y haga clic en Configuración de red :

    • Introduzca la dirección IP del HSM.

    • Introduzca la máscara de subred del HSM.

    • Ingrese la puerta de enlace predeterminada del HSM y haga clic en Guardar.

    • Haga clic en Aceptar.

Copia de seguridad de HSM

Hay dos bases de datos para respaldar en el HSM BlackVault: la exportación de tarjetas inteligentes (credenciales de usuario y oficial de criptografía) y la base de datos de usuario (certificados).

Requisitos

  • Mínimo de 4 tarjetas criptográficas, 2 para la base de datos de usuario y 2 para la exportación de tarjetas inteligentes. (Se requieren N o M tarjetas para la autorización de restauración de datos, 2 de 2 como mínimo para cada una).

  • Unidad flash USB, formateada con uno de los siguientes: ext2, ext3, FAT32 o VFAT. (La capacidad de la unidad USB depende del tamaño de la base de datos de usuario y de la exportación de tarjeta inteligente).

  • Tarjetas criptográficas para que tanto el Crypto Officer como el Usuario inicien sesión en el HSM.

Realizar una copia de seguridad de la base de datos de usuarios

Para realizar una copia de seguridad de la base de datos de usuarios, haga lo siguiente:

  1. Inicie sesión en el HSM como usuario.

  2. Seleccionar comandos del sistema.

  3. Seleccione Copia de seguridad de la base de datos de usuario.

  4. Inserte la unidad USB.

  5. Crear un conjunto de tarjetas de respaldo de la base de datos de usuarios (N de M, mínimo 2 de 2).

  6. Anote los números de serie de las tarjetas criptográficas utilizadas para el conjunto de tarjetas de respaldo.

  7. Responda a la pregunta "¿Permitir restauración de copia de seguridad sólo con esta tarjeta de usuario configurada?"

  8. Inserte la tarjeta inteligente con la clave de cifrado de la base de datos de usuario según se le solicite. Responda "Sí" si se le solicita sobrescribir los datos de la tarjeta inteligente.

  9. Cerrar sesión en el HSM.

Exportar tarjeta inteligente

Para exportar la tarjeta inteligente, haga lo siguiente:

  1. Inicie sesión en el HSM como Crypto Officer.

  2. Seleccionar comandos del sistema.

  3. Seleccione Exportar base de datos de tarjetas inteligentes.

  4. Inserte la unidad USB.

  5. Crear un conjunto de tarjetas de exportación (N de M, mínimo 2 de 2).

  6. Anote los números de serie de las tarjetas criptográficas utilizadas para el conjunto de tarjetas de exportación.

  7. Insertar base de datos de tarjetas inteligentes. Exportar tarjetas inteligentes según se le solicite. Responda "Sí" si se le solicita sobrescribir los datos de la tarjeta inteligente.

  8. Cerrar sesión en el HSM.

Restaurar/Clonar HSM

Los datos de respaldo del HSM de BlackVault se pueden usar para restaurar un HSM existente o clonar un HSM duplicado en hardware separado.

Requisitos

  • Conjunto mínimo de tarjetas inteligentes para autorización tanto del Oficial de Criptografía como del Usuario.

  • Unidad USB que contiene los datos de respaldo de la base de datos de usuario y de exportación de la tarjeta criptográfica.

  • Exportación de tarjetas inteligentes y copia de seguridad de bases de datos de usuarios de conjuntos de tarjetas criptográficas.

Restaurar HSM

Para restaurar el HSM, haga lo siguiente:

  1. Ponga a cero la unidad HSM para restablecer el estado predeterminado de fábrica, si es necesario (para reutilizar un HSM configurado previamente).

  2. Comience la secuencia de inicialización siguiendo las páginas en pantalla. imágenes/s/-2y7bau/8703/189cb2l/_/imagenes/iconos/emoticonos/advertencia.svg Las primeras páginas son informativas. Pulse "Aceptar" cuando se le solicite para continuar.

  3. Utilice el mensaje de aviso del modo FIPS:

    • Si se requiere cumplimiento de FIPS, haga clic en Sí.

    • De lo contrario, haga clic en No para continuar.

  4. Importar base de datos de tarjetas inteligentes:

    • Cuando se le solicite importar la base de datos de tarjetas inteligentes, haga clic en Sí.

  5. Siga las instrucciones para insertar la unidad USB e insertar las tarjetas inteligentes de exportación de clave de cifrado requeridas (M o N).

  6. Inserte la tarjeta Crypto Officer y verifique las credenciales cuando se le solicite.

  7. Después de restaurar la base de datos de la tarjeta inteligente, el HSM se reiniciará.

  8. Inicie sesión en el HSM como usuario.
    imágenes/s/-2y7bau/8703/189cb2l/_/imagenes/iconos/emoticonos/advertencia.svg Iniciar sesión correctamente también sirve como verificación de que la base de datos de la tarjeta inteligente se restauró/clonó correctamente.

  9. Seleccionar comandos del sistema.

  10. Seleccione Restaurar base de datos de usuario.

  11. Siga las instrucciones para insertar la unidad USB e insertar las tarjetas inteligentes de respaldo de la base de datos de usuario requeridas (M o N).

Verificar la base de datos de usuarios

Para verificar la base de datos de usuarios:

  • En una estación de trabajo con el software cliente BlackVault instalado, ejecute bvtool para verificar que se hayan restaurado los certificados:

    bvtool list -a

Procedimiento de integración de EJBCA

A continuación se proporcionan los pasos para la integración de EJBCA.

Prerrequisitos

  • BlackVault HSM se inicializó y configuró correctamente. Consulte la Guía del usuario de BlackVault HSM para obtener más información.

  • Determine el tipo de instalación de EJBCA. BlackVault HSM es compatible con dispositivos de software EJBCA e instalaciones de software EJBCA .

    • El host debe ejecutar Java 8 y estar configurado con EJBCA.

  • El puerto de red TCP 5002 está permitido entre el host EJBCA y BlackVault HSM

  • Se requieren privilegios elevados en el host EJBCA.

  • Juego de cartas BlackVault

    • Conjunto de tarjetas HSM y credenciales de usuarios de Crypto

  • CD de instalación de BlackVault HSM o área de descarga para acceder al paquete de controladores

Instalar el controlador

A continuación se proporcionan instrucciones para instalar el controlador y utiliza CentOS RPM ( bvhsm-7.0.47-1.x86_64.rpm ).

Para instalar el controlador:

  1. Descargue el paquete de instalación apropiado o extráigalo del CD de instalación de BlackVault HSM.

  2. Instalar el RPM:

    yum install bvhsm-7.0.47-1.x86_64.rpm

  3. Cree un archivo pkcs.dat y agregue la siguiente línea. imágenes/s/-2y7bau/8703/189cb2l/_/imagenes/iconos/emoticonos/advertencia.svg Asegúrese de reemplazar la IP del HSM según corresponda. El puerto predeterminado es 5002.

    vi /opt/ejbca/pkcs .dat
    192.168.1.10 5002

  4. Actualice la variable EJBCA. Para una instalación de software EJBCA, será /opt/ejbca/.profile.

    vi /etc/profile .d /ejbcaenv .sh
    #Add this line
    export BV_PKCS_PATH= "/opt/ejbca/pkcs.dat"

  5. Actualice la variable de entorno WildFly:

    vi /etc/wildfly/wildfly .conf
    #Add this line
    BV_PKCS_PATH= "/opt/ejbca/pkcs.dat"

  6. Actualice el archivo de propiedades EJBCA:

    vi /opt/ejbca/conf/web .properties
    #Add these values
    # Available PKCS#11 CryptoToken libraries and their display names
    # If a library file's presence is not detected it will not show up in the Admin GUI.
    # Default values (see src/java/defaultvalues.properties for most up to date values):
    cryptotoken.p11.lib.1.name=BlackVault
    cryptotoken.p11.lib.1. = /usr/lib64/libbvpkcs file .so

  7. Reiniciar Wildfly:

    sudo systemctl restart wildlfly

  8. Pruebe la conectividad del HSM con el siguiente comando bvtool para enumerar las claves en el HSM:

    bvtool list -a

Configurar el token criptográfico EJBCA y CA

Para crear un token criptográfico en EJBCA, haga lo siguiente:

  1. Abra un navegador y vaya a la URL https://fqdn:8443/ejbca/adminweb para acceder a EJBCA.

  2. Seleccione Crypto Tokens en Funciones de CA y luego haga clic en Crear nuevo .

  3. Ingrese lo siguiente en la página Nuevo token criptográfico:

    • Nombre : Ingrese RootCA-CryptoToken

    • Tipo : Seleccione PKCS#11

    • Código de autenticación : Ingrese la contraseña para la ranura (contraseña de la tarjeta de usuario HSM)

    • Repetir código de autenticación: Vuelva a ingresar la contraseña

    • PKCS#11: Biblioteca : Seleccionar BlackVault

      • PKCS#11 Tipo de referencia : Seleccionar ID de ranura

    • En la lista de referencias PKCS#11 , ingrese 1

  4. Haga clic en Guardar .

  5. Cree tres pares de claves dentro del Crypto Token en la página Crypto Token: <Nombre>:

    • Ingrese signKey como nombre para la nueva clave, elija ECDSA P-256 / prime256v1 / secp256r de la lista y haga clic en Generar nuevo par de claves.

    • Haga clic en Probar para la nueva clave creada, el resultado debería ser signKey probado exitosamente.

    • Ingrese defaultKey como nombre para la nueva clave, elija ECDSA P-256 / prime256v1 / secp256r de la lista y haga clic en Generar nuevo par de claves.

    • Haga clic en Probar para la nueva clave creada, el resultado debería ser "DefaultKey probado exitosamente".

    • Ingrese testKey como nombre para la nueva clave, elija ECDSA P-256 / prime256v1 / secp256r de la lista y haga clic en Generar nuevo par de claves.

    • Haga clic en Probar para la nueva clave creada, el resultado debería ser que testKey se probó exitosamente.

Las claves ya están creadas y el token criptográfico se puede usar para crear un perfil de certificado de CA y una CA. Para obtener más información, consulte Administración de perfiles de certificado y Administración de CA.

Recursos adicionales

Para comenzar a utilizar BlackVault HSM, consulte los videos instructivos disponibles en Videos de Engage Black .

Para obtener más información sobre EJBCA CA, consulte Descripción general de la autoridad de certificación .