在上一篇《Open PGP与Luna Network HSM集成方案(1)》中,介绍了集成配置的一些基本情况和前期准备。这篇文章中对Luna Network HSM v5.1集成过程进行详细说明。
在Open PGP中设置Luna Network HSM
要为Symantec Encryption Desktop和PGP命令行设置Luna Network HSM,请执行以下步骤:
1。配置CA以颁发PGP用户证书
配置CA以创建证书模板并为PGP用户证书颁发属性。
1.1为测试环境配置证书模板
a)以域管理员身份登录系统。
b)从“开始”菜单中,选择“运行”。
c)在“运行”对话框中,键入mmc,然后单击“确定”。
d)在出现的mmc控制台中,选择文件>添加/删除管理单元…
e)在“添加或删除管理单元”对话框中,找到证书模板管理单元(在“可用管理单元”部分下),然后选择它。
f)单击“添加”,然后单击“确定”。
g)在控制台根目录下,展开证书模板管理单元。在中间部分列出的将是所有可用的证书模板,您可以使您的CA发行。
h)向下滚动列表,直到找到用户模板,右键单击并单击“复制模板”。
i)选择Windows Server 2008 Enterprise,然后单击“确定”。
j)在弹出的对话框中,单击“常规”选项卡。
k)在此处输入模板显示名称(例如pgp user),然后选择“在Active Directory中发布证书”。
l)单击“请求处理”选项卡。
m)点击CSP并选择“请求”可以使用受试者计算机上可用的任何CSP。
n)单击“确定”关闭窗口。
o)单击“主题名称”选项卡。
p)取消选中“主题名称”和“电子邮件名称”复选框中的电子邮件名称。
q)单击“安全”选项卡。
r)向以下对象添加并提供读取和注册权限:
•认证用户
•管理员
s)对于域管理员和企业管理员,请确保选中“读”、“写”和“注册”复选框。
t)单击“应用”,然后单击“确定”。
1.2配置CA以支持PGP证书模板
a)以域管理员身份登录系统。
b)从“开始”菜单中选择“控制面板>管理工具>证书颁发机构”。
c)在控制台树(左侧部分)中,展开CA(它旁边有一台计算机和一个绿色勾号)。
d)在证书颁发机构管理单元的控制台树中,右键单击证书模板,然后单击要颁发的新证书模板。
e)在“启用证书模板”中,选择PGP用户模板和以前配置的任何其他证书模板,然后单击“确定”。
f)在证书颁发机构中打开证书模板,并验证修改后的证书模板是否出现在列表中。
创建密钥并请求证书
a)以域管理员身份登录系统。
b)从“开始”菜单中,选择“运行”。
c)在“运行”对话框中,键入certmgr.msc,然后单击“确定”。如果您使用的是64位操作系统,请从位置“c:\windows\syswow64”打开certmgr.msc。
d)在出现的mmc控制台中,右键单击个人文件夹,然后选择“所有任务”->“申请新证书…”。
e)单击“下一步”,选择“Active Directory注册策略”,然后单击“下一步”。它将向您显示已配置的证书模板,即pgp用户
f)单击“详细信息”,然后单击“属性”。
g)证书属性窗口将打开并选择主题选项卡。
h)在“使用者名称”下选择“公用名”,并在“值”字段中为要安装证书的计算机提供完全限定的域名,然后单击“添加”。重复相同步骤以添加更多值。
i)单击“常规”选项卡并提供友好名称。例如,pgp用户。
j)单击“私钥”选项卡,并验证必须在“加密服务提供程序”下选择Luna Cryptographic Services for Microsoft Windows。
k)单击“证书颁发机构”选项卡,确保选择了企业根CA。l)单击“应用”,然后单击“确定”。
m)选择PGP用户证书模板或已配置的证书模板,然后单击“注册”。
n)注册需要一段时间,注册成功后,单击“完成”。
o)确保证书现在可以在Personal->Certificate Store中使用。
p)双击证书并查看“您有与此证书对应的私钥”。
此证书的密钥将在Luna Network HSM中生成。您可以看到Luna Network HSM上的内容
2。配置PGP应用程序以使用可用密钥
第一步是能够将受HSM保护的密钥与PGP应用程序一起使用,即使用加密桌面将它们导入到当前的密钥环文件中。
2.1在Symantec Encryption Desktop中导入密钥
1.打开Symantec Encryption Desktop并选择窗口左侧的PGP密钥
2.从“文件”菜单中选择“导入个人证书”,单击“完成”。
3.确认找到要导入到PGP密钥环中的密钥/证书列表。双击打开“属性”窗口以查看详细信息。
4.受HSM保护的证书现在可以在所有PGP应用程序中使用。
2.2使用pgp命令行列出密钥
将密钥/证书导入到密钥环后,现在可以使用pgp命令行列出这些密钥/证书。要列出键,请执行:
pgp --list-keys
这将显示pgp命令行的所有可用键
由于pgp命令行提供公共和私有部分,因此由hsm保护的密钥将显示为密钥对。
执行以下操作时,可以显示单个键的详细信息:
pgp --list-key-details 0xEB4F76F2
2.3使用带有PGP命令行的键
在这些步骤之后,受HSM保护的密钥可以与PGP密钥环中可用的任何其他密钥相同的方式使用。
要用ID为0xEB4F76F2(存储在HSM上)的密钥对名为“test.txt”的文件进行签名,并使用密钥ID 0xXXXXXXXX将其加密到收件人,请执行以下命令。
pgp --encrypt --sign --signer 0xEB4F76F2 --recipient 0xEB4F76F2 -i test.txt -o test1.pgp
注意:我们在这里为测试目的使用了相同的签名者和接收者ID。
它将在当前目录中创建加密的test1.pgp文件。
要使用ID为0xeb4f76f2(存储在hsm上)的密钥验证名为“test1.pgp”的加密文件,并将其加密到密钥ID为0xXXXXXXXX的收件人,请执行以下命令。
pgp --decrypt --verify --signer 0xEB4F76F2 --recipient 0xEB4F76F2 -i test1.pgp -o test1.txt
验证test1.txt和test.txt文件内容必须相同。您还可以使用Symantec Encryption Desktop来验证使用pgp-zip选项加密的文件。
打开Symantec Encryption Desktop,单击pgp-zip。点击打开一个pgp-zip
浏览文件test1.pgp并单击打开。它将使用密钥环中可用的密钥来验证和解密文件。
您可以提取文件来验证解密的内容。验证通过,意味着已经完成了PGP与Luna Network HSM的集成。
连载文章列表:
《Open PGP与Luna Network HSM集成方案(1)》
《Open PGP与Luna Network HSM集成方案 v5.1(2)》
《Open PGP与Luna Network HSM集成方案 v5.2.1或更高版本(3)》
联系揽阁信息,获取更多相关产品资料和解决方案信息。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!