在上一篇《Open PGP与Luna Network HSM集成方案（1）》中，介绍了集成配置的一些基本情况和前期准备。这篇文章中对Luna Network HSM v5.1集成过程进行详细说明。

在Open PGP中设置Luna Network HSM

要为Symantec Encryption Desktop和PGP命令行设置Luna Network HSM，请执行以下步骤：

1。配置CA以颁发PGP用户证书

配置CA以创建证书模板并为PGP用户证书颁发属性。

1.1为测试环境配置证书模板

a）以域管理员身份登录系统。

b）从“开始”菜单中，选择“运行”。

c）在“运行”对话框中，键入mmc，然后单击“确定”。

d）在出现的mmc控制台中，选择文件>添加/删除管理单元…

e）在“添加或删除管理单元”对话框中，找到证书模板管理单元（在“可用管理单元”部分下），然后选择它。

f）单击“添加”，然后单击“确定”。

g）在控制台根目录下，展开证书模板管理单元。在中间部分列出的将是所有可用的证书模板，您可以使您的CA发行。

h）向下滚动列表，直到找到用户模板，右键单击并单击“复制模板”。

i）选择Windows Server 2008 Enterprise，然后单击“确定”。

j）在弹出的对话框中，单击“常规”选项卡。

k）在此处输入模板显示名称（例如pgp user），然后选择“在Active Directory中发布证书”。

l）单击“请求处理”选项卡。

m）点击CSP并选择“请求”可以使用受试者计算机上可用的任何CSP。

n）单击“确定”关闭窗口。

o）单击“主题名称”选项卡。

p）取消选中“主题名称”和“电子邮件名称”复选框中的电子邮件名称。

q）单击“安全”选项卡。

r）向以下对象添加并提供读取和注册权限：

•认证用户

•管理员

s）对于域管理员和企业管理员，请确保选中“读”、“写”和“注册”复选框。

t）单击“应用”，然后单击“确定”。 

1.2配置CA以支持PGP证书模板

a）以域管理员身份登录系统。

b）从“开始”菜单中选择“控制面板>管理工具>证书颁发机构”。

c）在控制台树（左侧部分）中，展开CA（它旁边有一台计算机和一个绿色勾号）。

d）在证书颁发机构管理单元的控制台树中，右键单击证书模板，然后单击要颁发的新证书模板。

e）在“启用证书模板”中，选择PGP用户模板和以前配置的任何其他证书模板，然后单击“确定”。

f）在证书颁发机构中打开证书模板，并验证修改后的证书模板是否出现在列表中。

创建密钥并请求证书

a）以域管理员身份登录系统。

b）从“开始”菜单中，选择“运行”。

c）在“运行”对话框中，键入certmgr.msc，然后单击“确定”。如果您使用的是64位操作系统，请从位置“c:\windows\syswow64”打开certmgr.msc。

d）在出现的mmc控制台中，右键单击个人文件夹，然后选择“所有任务”->“申请新证书…”。

e）单击“下一步”，选择“Active Directory注册策略”，然后单击“下一步”。它将向您显示已配置的证书模板，即pgp用户

f）单击“详细信息”，然后单击“属性”。

g）证书属性窗口将打开并选择主题选项卡。

h）在“使用者名称”下选择“公用名”，并在“值”字段中为要安装证书的计算机提供完全限定的域名，然后单击“添加”。重复相同步骤以添加更多值。

i）单击“常规”选项卡并提供友好名称。例如，pgp用户。

j）单击“私钥”选项卡，并验证必须在“加密服务提供程序”下选择Luna Cryptographic Services for Microsoft Windows。

k）单击“证书颁发机构”选项卡，确保选择了企业根CA。l）单击“应用”，然后单击“确定”。

m）选择PGP用户证书模板或已配置的证书模板，然后单击“注册”。

n）注册需要一段时间，注册成功后，单击“完成”。

o）确保证书现在可以在Personal->Certificate Store中使用。

p）双击证书并查看“您有与此证书对应的私钥”。

此证书的密钥将在Luna Network HSM中生成。您可以看到Luna Network HSM上的内容

2。配置PGP应用程序以使用可用密钥

第一步是能够将受HSM保护的密钥与PGP应用程序一起使用，即使用加密桌面将它们导入到当前的密钥环文件中。

2.1在Symantec Encryption Desktop中导入密钥

1.打开Symantec Encryption Desktop并选择窗口左侧的PGP密钥

2.从“文件”菜单中选择“导入个人证书”，单击“完成”。

3.确认找到要导入到PGP密钥环中的密钥/证书列表。双击打开“属性”窗口以查看详细信息。

4.受HSM保护的证书现在可以在所有PGP应用程序中使用。

2.2使用pgp命令行列出密钥

将密钥/证书导入到密钥环后，现在可以使用pgp命令行列出这些密钥/证书。要列出键，请执行：

pgp --list-keys

这将显示pgp命令行的所有可用键

由于pgp命令行提供公共和私有部分，因此由hsm保护的密钥将显示为密钥对。

执行以下操作时，可以显示单个键的详细信息：

pgp --list-key-details 0xEB4F76F2

2.3使用带有PGP命令行的键

在这些步骤之后，受HSM保护的密钥可以与PGP密钥环中可用的任何其他密钥相同的方式使用。

要用ID为0xEB4F76F2（存储在HSM上）的密钥对名为“test.txt”的文件进行签名，并使用密钥ID 0xXXXXXXXX将其加密到收件人，请执行以下命令。

pgp --encrypt --sign --signer 0xEB4F76F2 --recipient 0xEB4F76F2 -i test.txt -o test1.pgp

注意：我们在这里为测试目的使用了相同的签名者和接收者ID。

它将在当前目录中创建加密的test1.pgp文件。

要使用ID为0xeb4f76f2（存储在hsm上）的密钥验证名为“test1.pgp”的加密文件，并将其加密到密钥ID为0xXXXXXXXX的收件人，请执行以下命令。

pgp --decrypt --verify --signer 0xEB4F76F2 --recipient 0xEB4F76F2 -i test1.pgp -o test1.txt

验证test1.txt和test.txt文件内容必须相同。您还可以使用Symantec Encryption Desktop来验证使用pgp-zip选项加密的文件。

打开Symantec Encryption Desktop，单击pgp-zip。点击打开一个pgp-zip

浏览文件test1.pgp并单击打开。它将使用密钥环中可用的密钥来验证和解密文件。

您可以提取文件来验证解密的内容。验证通过，意味着已经完成了PGP与Luna Network HSM的集成。

连载文章列表：

《Open PGP与Luna Network HSM集成方案（1）》

《Open PGP与Luna Network HSM集成方案 v5.1（2）》

《Open PGP与Luna Network HSM集成方案 v5.2.1或更高版本（3）》

联系揽阁信息，获取更多相关产品资料和解决方案信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读