ハードウェア・セキュリティ・モジュール(HSM)とは、サーバー・システムに接続してデジタル・キーを管理できるデバイスのことです。 これらの要素を認証されていないユーザーから論理的、物理的の両面で保護します。
RUEIでのHSMのサポートはOpenSSLに基づきます。 OpenSSLプロジェクトの詳細な説明は、http://www.openssl.org/
を参照してください。 RUEIで提供される監視のサポートは、Thales社のnCipher製品ラインに対して検証されています。 ただし、他のOpenSSLベースの実装でも機能します。
必須コレクタ・システムを構成する手順は、次のとおりです。
注意:
localhostによって認識されるレポータ・システム上のコレクタをHSM統合に使用しない場合や、これが環境内で無効化されている場合でも、このコレクタをHSM統合に向け準備しておく必要があります。 これは、SSLキー検証にlocalhostコレクタが使用されるためです。 HSMキーのRUEIへのアップロード中に、このコレクタが有効になっていることを確認してください。 キーがアップロードされた後、localhostコレクタは再び無効になる場合があります。
HSMで暗号化されたトラフィックの復号化をRUEIで可能にするには、最初に既存のHSMキーをRUEIにインポートする必要があります。 組込み形式でモジュールが保護されていることを確認する必要があります。 すべてのキーがモジュールによって保護された状態でHSMデバイスに格納される必要があります。 つまり、モジュールのキーを使用して、ユーザー認証トークンを保護します。 このようなキーにはパスフェーズがなく、対応するセキュリティ・ドメイン内でHSMデバイスに接続している任意のアプリケーションがアクセスできます。 この説明はThales社の製品ラインに特有であることに注意してください。
既存のキーが前述の要件を満たしていない場合は、それらをRUEIにインポートする前に再ターゲットする必要があります。 この手順の詳細は、HSMベンダーのマニュアルを参照してください。
生成または再ターゲット後、HSMソフトウェアによって専用のPEMファイルが作成されます。 このファイルは、RUEIにインポートできます(「SSL鍵の管理」を参照)。 PEMファイルには公開証明書が含まれている必要があります。 生成されたPEMファイルに公開証明書が含まれていない場合は、PEMファイルに手動で追加する必要があります。 実際には専用のPEMファイルにSSLキーは含まれていませんが、HSMで格納されているキーへの参照が含まれています。
HSMデバイスに格納されているキーが正常に暗号化されていることを検証するには、コレクタ統計ウィンドウでSSL暗号化タブの情報を確認します。 この機能の使用方法は、「コレクタのステータスの表示」で説明しています。