在前面两篇文章《Open PGP与Luna Network HSM集成方案(1)》、《Open PGP与Luna Network HSM集成方案 v5.1(2)》中,分别介绍了集成配置的一些基本情况和前期准备,以及具体的操作步骤。
本篇文章中将对Luna Network HSM v5.2.1及以上版本,与Open PGP的集成过程进行详细说明。
在Open PGP中设置Luna Network HSM v5.2.1及以上版本
要为Symantec Encryption Desktop和PGP命令行设置Luna Network HSM,请执行以下步骤:
要将Luna SA设置为使用32位CSP,请在要安装PGP的系统上执行以下步骤:
1. 将“c:\program files\safenet\lunaclient\crystoki.ini”复制到“c:\program files\safenet\lunaclient\win32\crystoki.ini”
2. 编辑“c:\program files\safenet\lunaclient\win32\crystoki.ini”文件并进行以下更改:
[Chrystoki2]
LibNT=C:\Program Files\SafeNet\LunaClient\win32\cryptoki.dll
3. 单击服务器管理器->更改系统属性->高级->环境变量…
4. 在“系统变量”下,选择“Chrystoki配置路径”,然后单击“编辑”。
5. 将变量值输入为C:\Program Files\SafeNet\LunaClient\Win32\,然后单击“确定”。
6. 再单击两次“确定”关闭窗口。
7. 按照“安装前”部分中的说明注册CSP。
8. 运行以下命令以显示32位CSP已成功注册。C:\windows\sysw64\certutil.exe-csplist
为Active Directory证书服务设置Luna Network HSM
要为Active Directory证书服务设置Luna Network HSM,请参阅Microsoft Active Directory证书服务与Luna Network HSM的集成指南。假定已安装域CA,并且PGP计算机已加入此域。
1.配置CA以颁发PGP用户证书
配置CA以创建证书模板并为PGP用户证书颁发属性。
1.1为测试环境配置证书模板
a)以域管理员身份登录CA系统。
b)从“开始”菜单中,选择“运行”。
c)在“运行”对话框中,键入mmc,然后单击“确定”。
d)在出现的mmc控制台中,选择文件>添加/删除管理单元…
e)在“添加或删除管理单元”对话框中,找到证书模板管理单元(在“可用管理单元”部分下),然后选择它。
f)单击“添加”,然后单击“确定”。
g)在控制台根目录下,展开证书模板管理单元。在中间部分列出的将是所有可用的证书模板,您可以使您的CA发行。
h)向下滚动列表,直到找到用户模板,右键单击并单击“复制模板”。
i)选择Windows Server 2008 Enterprise,然后单击“确定”。
j)在弹出的对话框中,单击“常规”选项卡。
k)在此处输入模板显示名称(例如pgp user),然后选择“在Active Directory中发布证书”。
l)单击“请求处理”选项卡。
m)点击CSP并选择“请求”可以使用受试者计算机上可用的任何CSP。n)单击“确定”关闭窗口。
o)单击“主题名称”选项卡。
p)取消选中“主题名称”和“电子邮件名称”复选框中的电子邮件名称。
q)单击“安全”选项卡。
r)向以下对象添加并提供读取和注册权限:
认证用户
管理员
s)对于域管理员和企业管理员,请确保选中“读”、“写”和“注册”复选框。
t)单击“应用”,然后单击“确定”。
1.2配置CA以支持PGP证书模板
a)以域管理员身份登录系统。
b)从“开始”菜单中选择“控制面板>管理工具>证书颁发机构”。
c)在控制台树(左侧部分)中,展开CA(它旁边有一台计算机和一个绿色勾号)。
d)在证书颁发机构管理单元的控制台树中,右键单击证书模板,然后单击要颁发的新证书模板。
e)在“启用证书模板”中,选择PGP用户模板和以前配置的任何其他证书模板,然后单击“确定”。
f)在证书颁发机构中打开证书模板,并验证修改后的证书模板是否出现在列表中。
创建密钥并请求证书
a)以域管理员身份登录到PGP系统。
b)从“开始”菜单中,选择“运行”。
c)在“运行”对话框中,键入cmd,然后单击“确定”。
d)键入“c:\winodws\sysw64\certmgr.msc”,然后按Enter。
e)在出现的mmc控制台中,右键单击个人文件夹,然后选择“所有任务”->“申请新证书…”
f)单击“下一步”,选择“Active Directory注册策略”,然后单击“下一步”。它将向您显示已配置的证书模板,即pgp用户
g)单击“详细信息”,然后单击“属性”。
h)证书属性窗口将打开并选择主题选项卡。
i)在“使用者名称”下选择“公用名”,并在“值”字段中为要安装证书的计算机提供完全限定的域名,然后单击“添加”。重复相同步骤以添加更多值。
j)单击“常规”选项卡并提供友好名称。例如,pgp用户。
k)单击“私钥”选项卡,并验证必须在“加密服务提供程序”下选择Luna Cryptographic Services for Microsoft Windows
l)单击“证书颁发机构”选项卡,确保选择了企业根CA。
m)单击“应用”,然后单击“确定”。
n)选择pgp用户证书模板或已配置的证书模板,然后单击“注册”。
o)注册需要一段时间,注册成功后,单击“完成”。
p)确保证书现在在Personal->Certificate Store中可用。
q)双击证书并查看“您有与此证书对应的私钥”。
此证书的密钥将在Luna Network HSM中生成。您可以在Luna Networdk HSM内看到此内容。
2.配置PGP应用程序以使用可用密钥
第一步是能够将受HSM保护的密钥与PGP应用程序一起使用,即使用Encryption Desktop将它们导入到当前的密钥环文件中。
2.1在Symantec Encryption Desktop中导入密钥
1.打开Symantec Encryption Desktop并选择窗口左侧的PGP密钥
2.从“文件”菜单中选择“导入个人证书”,单击“完成”。
3.确认找到要导入到PGP密钥环中的密钥/证书列表。双击打开“属性”窗口以查看详细信息。
4. 受HSM保护的证书现在可以在所有PGP应用程序中使用。
2.2使用pgp命令行列出密钥
将密钥/证书导入到密钥环后,现在可以使用pgp命令行列出这些密钥/证书。要列出键,请执行:
pgp --list-keys
这将显示pgp命令行的所有可用键
由于pgp命令行提供公共和私有部分,因此由hsm保护的密钥将显示为密钥对。
执行以下操作时,可以显示单个键的详细信息:
pgp --list-key-details 0xCDB274FE
2.3使用带有PGP命令行的键
在这些步骤之后,受HSM保护的密钥可以与PGP密钥环中可用的任何其他密钥相同的方式使用。
要用ID为0xEB4F76F2(存储在HSM上)的密钥对名为“test.txt”的文件进行签名,并使用密钥ID 0xXXXXXXXX将其加密到收件人,请执行以下命令。
pgp --encrypt --sign --signer 0xCDB274FE --recipient 0xCDB274FE -i test.txt -o test1.pgp
注意:为了测试目的,我们在这里为签名者和接收者使用了相同的ID。
它将在当前目录中创建加密的test1.pgp文件。
要使用ID为0xeb4f76f2(存储在hsm上)的密钥验证名为“test1.pgp”的加密文件,并将其加密到密钥ID为0xXXXXXXXX的收件人,请执行以下命令。
pgp --decrypt --verify --signer 0xCDB274FE --recipient 0xCDB274FE -i test1.pgp -o test1.txt
验证test1.txt和test.txt文件内容必须相同。您还可以使用Symantec Desktop Encryption来验证使用pgp-zip选项加密的文件。
打开Symantec Desktop Encryption,单击pgp-zip。单击打开一个pgp zip并选择文件test1.pgp,然后单击打开。它将使用密钥环中可用的密钥来验证和解密文件。
您可以提取文件来验证解密的内容。验证通过,意味着已经完成了PGP与Luna Network HSM的集成。
连载文章列表:
《Open PGP与Luna Network HSM集成方案(1)》
《Open PGP与Luna Network HSM集成方案 v5.1(2)》
《Open PGP与Luna Network HSM集成方案 v5.2.1或更高版本(3)》
联系揽阁信息,获取更多相关产品资料和解决方案信息。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!