機械翻訳について

U HSMサポートの構成

この付録では、RUEIを構成して、HSMデバイスに格納されている秘密キーにアクセスする方法について説明します。 この機能はベータ・ベースで使用できます。 開始する前に、HSMベンダーのマニュアルを参照してください。

U.1 概要

ハードウェア・セキュリティ・モジュール(HSM)とは、サーバー・システムに接続してデジタル・キーを管理できるデバイスのことです。 これらの要素を認証されていないユーザーから論理的、物理的の両面で保護します。

RUEIでのHSMのサポートはOpenSSLに基づきます。 OpenSSLプロジェクトの詳細な説明は、http://www.openssl.org/を参照してください。 RUEIで提供される監視のサポートは、Thales社のnCipher製品ラインに対して検証されています。 ただし、他のOpenSSLベースの実装でも機能します。

U.2 HSMベンダー・ソフトウェアのインストールおよび構成

HSMベンダー・ソフトウェアをインストールおよび構成するには、次の手順を実行します:

1. 必須コレクタ・システムごとにHSMベンダー・ソフトウェアをインストールします。 インストール手順の詳細は、HSMベンダーのドキュメントを参照してください。
2. HSMのセキュリティ・ドメイン内で各必須コレクタ・システムを構成します。 この方法の詳細は、HSMベンダーのドキュメントを参照してください。
3. (適用可能な場合)は、ldconfigを介して、またはLD_LIBRARY_PATH環境変数をエクスポートして、HSMベンダー・ライブラリをOpenSSLで使用可能にします。 たとえば、Thales nCipher製品ラインでソフトウェアが/opt/nfastディレクトリにインストールされていると仮定して、次のコマンドを実行:

   echo /opt/nfast/toolkits/hwcrhk > /etc/ld.so.conf.d/ncipher.conf
   ldconfig

U.3 コレクタ・システムの構成

必須コレクタ・システムを構成する手順は、次のとおりです。

1. レポータ・システムでRUEI_USERとして次のコマンドを実行して、現在定義されているコレクタ・プロファイルのリストを取得します:

   execsql config_get_profiles
   

   この項で後述しているように、関連するプロファイル内のすべてのコレクタ・システムが、HSMデバイスに接続できるように構成されている必要があります。

2. HSMデバイスに格納されている秘密キーにRUEIがアクセスするには、HSMデバイスへの接続が必要です。 これは、OpenSSLエンジン(chilなど)を介して確立できます。 次のコマンドを実行して、必要な各コレクタ・システムで必要なOpenSSLエンジンがサポートされているかどうかをテスト:

   openssl engine -c engine
   

   engineでは、ベンダーOpenSSLエンジンを指定します。 次の出力例は、cswiftエンジンのサポートを示しています。

   (cswift) CryptoSwift hardware engine support
     [RSA, DSA, DH, RAND]
   

3. 次のコマンドを実行して、選択したOpenSSLエンジンがHSMデバイスへの接続に実際に使用可能かどうかをテストします:

   openssl engine -c -tt engine
   

   次のような出力内容は、OpenSSLが使用できることを示しています。

   (cswift) CryptoSwift hardware engine support
   [RSA, DSA, DH, RAND]
   [ available ]
   

4. HSM実装のログ・ファイルをチェックして、コレクタ・システムからHSMデバイスに正常に接続できることを確認します。 たとえば、Thales社のnCipher製品ラインでは、これは/opt/nfast/log/hardserver.logにあります。 詳細は、HSMベンダーのドキュメントを参照してください。
5. レポータ・システムでRUEI_USERとして次のコマンドを実行して、各コレクタ・システムに必要なOpenSSLエンジンを構成します:

   execsql config_set_profile_value wg profile ssl SSLUseEngine replace engine
   

   ここで、profileは必要なコレクタ・プロファイルを指定します。

6. 各必須コレクタを再起動します。 それには、構成→コレクタ・プロファイルの順に選択します。 必須コレクタ・プロファイルを選択します。 選択したプロファイルに割り当てられているコレクタごとに、コンテキスト・メニューで再起動を選択します。

注意:

localhostによって認識されるレポータ・システム上のコレクタをHSM統合に使用しない場合や、これが環境内で無効化されている場合でも、このコレクタをHSM統合に向け準備しておく必要があります。 これは、SSLキー検証にlocalhostコレクタが使用されるためです。 HSMキーのRUEIへのアップロード中に、このコレクタが有効になっていることを確認してください。 キーがアップロードされた後、localhostコレクタは再び無効になる場合があります。

U.4 HSMキーの構成

HSMで暗号化されたトラフィックの復号化をRUEIで可能にするには、最初に既存のHSMキーをRUEIにインポートする必要があります。 組込み形式でモジュールが保護されていることを確認する必要があります。 すべてのキーがモジュールによって保護された状態でHSMデバイスに格納される必要があります。 つまり、モジュールのキーを使用して、ユーザー認証トークンを保護します。 このようなキーにはパスフェーズがなく、対応するセキュリティ・ドメイン内でHSMデバイスに接続している任意のアプリケーションがアクセスできます。 この説明はThales社の製品ラインに特有であることに注意してください。

既存のキーが前述の要件を満たしていない場合は、それらをRUEIにインポートする前に再ターゲットする必要があります。 この手順の詳細は、HSMベンダーのマニュアルを参照してください。

生成または再ターゲット後、HSMソフトウェアによって専用のPEMファイルが作成されます。 このファイルは、RUEIにインポートできます(「SSL鍵の管理」を参照)。 PEMファイルには公開証明書が含まれている必要があります。 生成されたPEMファイルに公開証明書が含まれていない場合は、PEMファイルに手動で追加する必要があります。 実際には専用のPEMファイルにSSLキーは含まれていませんが、HSMで格納されているキーへの参照が含まれています。

U.5 HSMベース・トラフィックの正しいモニタリングの確認

HSMデバイスに格納されているキーが正常に暗号化されていることを検証するには、コレクタ統計ウィンドウでSSL暗号化タブの情報を確認します。 この機能の使用方法は、「コレクタのステータスの表示」で説明しています。