Clave de autenticación de HSM

La clave de autenticación del HSM, abreviada como HSMAuthKey, es utilizada por CryptoServer CP5 para autenticarse ante un usuario durante la fase de inicialización de una sesión de mensajería segura (canal seguro). Debe recuperar la parte pública de la clave de autenticación del HSM mediante el comando csadm GetHSMAuthKey y exportarla a un archivo de texto llamado <serial number>.key. La variable de entorno CS_AUTH_KEYS debe configurarse para que apunte al archivo de clave del número de serie. Este archivo puede contener varias entradas separadas por una línea en blanco, por ejemplo, si se implementa un clúster de CryptoServer CP5.

Archivo de configuración

El archivo de configuración PKCS#11 de CryptoServer cs_pkcs11_R2.cfg debe copiarse en /etc/utimaco/cs_pkcs11_R2.cfg .

Abra el archivo de configuración /etc/utimaco/cs_pkcs11_R2.cfg con un editor de texto y actualice el parámetro "SlotMultiSession" según el siguiente ejemplo. Opcionalmente, también se pueden modificar el nivel de registro, la ruta de salida del registro y los tiempos de espera.

 [Global] Logpath = /tmp Logging = 0 Logsize = 10mb RandomizeKeyHandles = false SlotMultiSession = false SlotCount = 10 KeepLeadZeros = false FallbackInterval = 0 KeepAlive = false ConnectionTimeout = 5000 CommandTimeout = 60000 [CryptoServer] Device = TCP:3001@172.16.175.128 

Generando claves

Al utilizar un token CP5 PKCS#11, primero cree claves utilizando el siguiente comando CLI P11Ng :

Tenga en cuenta que cada CA debe tener su propia ranura, y cada ranura debe inicializarse antes de generar las claves. La inicialización incluye la configuración de un PIN de usuario para la ranura, que también requiere inicio de sesión. Las herramientas para la inicialización de la ranura deben ser proporcionadas por el proveedor del HSM; PrimeKey no las proporciona.

A continuación se muestra un ejemplo de generación de claves: generación y asociación de una "Clave de Autorización de Clave" con cada clave HSM y autorización de uso. Al inicializar la ranura con los dos primeros comandos p11tool2, se creará el usuario HSM USR_0000, que se utilizará en comandos posteriores. Puede listar usuarios con "csadm ListUsers"; consulte el manual de CryptoServerCP5 para obtener más información.

Lista de objetos

Para ver los objetos PKCS#11 creados, ejecute lo siguiente:

Propiedades de ejemplo

A continuación se muestra un ejemplo de las propiedades (catoken.properties) para el token PKCS#11 al crear una nueva CA mediante la CLI:

 sharedLibrary /opt/utimaco/p11/libcs2_pkcs11.so slotLabelType=SLOT_NUMBER slotLabelValue=0 pin user1 defaultKey defaultKey certSignKey signKey crlSignKey signKey testKey testKey

También puede crear tokens criptográficos en la interfaz de administración, asegúrese de que ' CS_AUTH_KEYS ' esté configurado para el servidor de aplicaciones en ejecución.

Emulador de LAN de CryptoServer

El emulador Utimaco para su HSM LAN CryptoServer se puede usar para pruebas y desarrollo. Si tiene el kit de emulación, consulte la información en doc/howto/cryptoserver-lan-emulator.txt con instrucciones sobre cómo usarlo con EJBCA.

Para comprobar el estado de un dispositivo LAN CryptoServer, ejecute el emulador con un comando según el siguiente ejemplo: