Как клиенты Safenet Luna SA HSM проверяются при регистрации клиентов с использованием имени хоста?Как клиенты проверяются в Safenet Luna SA HSM?
ответ
Safenet Luna HSM используют аутентификацию на основе сертификатов для клиентов. Сертификат должен быть скопирован в HSM и иметь имя файла, которое совпадает с именем хоста, используемым в команде регистра клиента в HSM.
Типичный процесс регистрации является:
Скопируйте сертификат сервера к установке клиента.
УПП [email protected]: server.pem/USR/Lunasa/CERT/сервер
Зарегистрируйте сервер локально
VTL addServer -n 10.10.10.10 -c/USR/Lunasa/серт /server/server.pem
Создание сертификата клиента на клиенте:
VTL createCert -n HOSTNAME
Этот создает сертификат и секретный ключ в каталоге CERT/клиента с именем:
HOSTNAME.pem (сертификат)
HOSTNAMEKey.pem (секретный ключ)Скопируйте сертификат клиента в Luna SA HSM с помощью УПП.
УПП /usr/lunasa/cert/client/HOSTNAME.pem [email protected]:
На HSM, зарегистрировать клиента и назначить его к перегородке.
клиент регистр -client HOSTNAME -hostname HOSTNAME
клиент assignPartition -client HOSTNAME -разбиение PARTITIONNAMEНа клиенте, убедитесь, что клиент зарегистрирован и работает должным образом:
$ VTL проверить
Следующие лоты/перегородки Luna SA были найдены:
Слот Серийный номер #
==== ======== =====
1 123456789 myPartition1
Я знаю процесс создания сертификата на основе имени хоста. Но, если я не настрою dns в HSM или, по крайней мере, не сделаю хостинг для HSM, чтобы разрешить соединение с IP-адресом с этим сертификатом. –
Причина, по которой я задал этот вопрос, состоит в том, что теперь у нас есть клиент, который подключается от 2 разных IP-адресов. Но физически существует только одна машина, с которой клиент соединяется. –
Мы можем настроить DNS в HSM из-за соображений безопасности. Таким образом, проверка имени хоста не может быть выполнена из HSM. –
Глядя на вас комментарии после Кит помогли с процессом обмена доверия/Cert. Ниже приводится команда, которую вы могли бы need-
ntls ipcheck отключить
проверяется полное доменное имя клиента? или это только аутентификация сертификата? –
Обратите внимание, что это клиенты на основе PKCS # 11. PKCS # 11 - это стандартизованный интерфейс C для защищенных токенов. Поэтому я думаю, что это делает его по теме, хотя сайт безопасности, вероятно, лучше подходит. Или, конечно, Сафене. –
Я бы * ожидал * только аутентификацию сертификата, поскольку PKI должен быть ограничен определенными устройствами внутри организации (сертификат, как правило, не получен из коммерческого ЦС, которого я предполагаю, требуется больше забот во время создания сертификата); было бы довольно легко попробовать это, конечно, просто подключиться с устройства без имени домена. –