使用不同的安全产品时，您遇到的众多设备之一是HSM（硬件安全模块/加密机）。HSM是设计用于安全存储加密密钥以供应用程序或用户使用的设备。Thales Luna HSM可以作为本地、基于云或按需设备购买。Thales Luna HSM的另一个可用选项是PED认证版本与密码认证版本。PED认证的HSM使用带有标签密钥的PED设备作为HSM中的角色，以及与PED密钥相关的PIN。这是在HSM上的不同角色之间创建角色分离的一种方式。密码认证版只需要输入密码，不需要PED设备。本指南可用于两种类型的HSM。

Thales 的CipherTrust Manager用作集中式密钥管理设备，允许用户生成、管理、销毁、导出和导入加密密钥以供客户端和应用程序使用。与CipherTrust Manager(CM) 一起工作的HSM可以存储CM将使用的密钥。CM也有与Luna HSM相同的可用选项，但是，如果使用的HSM是PED认证的HSM，那么CM也必须是PED认证的。密码验证的HSM也有相同的规则。在我们进入集成步骤之前，必须讨论一些预集成步骤。

预集成步骤

在集成HSM和CM之前，必须事先在此过程中完成几个步骤。预先完成的最重要任务是确保HSM和CM都已完全配置。这包括网络配置、SSH 配置和 NTP 服务器设置。在集成硬件安全模块和CipherTrust Manager时，它们必须使用相同的 NTP 或网络时间协议服务器，以便在两个设备之间设置相同的时间。此外，CM必须可以通过网络访问HSM。这意味着CM和HSM必须在同一个子网中，以便可以从CM完成对HSM的PINg 和访问。此外，远程访问HSM和CM也很重要，因为坐在带有CM和HSM的数据中心可能会变得不堪重负，因此能够远程访问设备至关重要。在这篇文章中，不会介绍如何配置HSM和CM，因为这是一个漫长而复杂的过程，您可以联系揽阁信息寻求帮助。相反，我们将关注集成HSM和CipherTrust Manager过程中涉及的主要步骤。

先决条件

在完成这些集成步骤时，您首先要确保许多不同的元素就位并正常工作。这首先要确保CM可以到达HSM。这可以通过多个步骤来完成，但最简单的是通过 SSH 连接到CM并PING HSM的 IP 地址。这将允许您确定HSM和CM之间的通信是否正确。另一个步骤是确保两个设备都更新到最新的软件和固件版本。这将确保实施所有需要到位的安全补丁。最后一步是确保 NTP 服务器在两台设备上都能正常工作。如果 NTP 服务器没有正常运行，两个设备的集成将会失败。

HSM集成步骤

要开始集成HSM和CM，必须首先创建证书。这可以通过与HSM一起使用的Lunaclient来完成。您可以联系揽阁信息获取最新版本的Lunaclient。下载Lunaclient 后，您需要运行以下命令：

cd “C:\Program Files\Safenet\lunaclient”

从这里，您可以运行命令vtl createcert -n <cert name>。这将在C:\Program Files\Safenet\lunaclient\cert\client目录中创建证书和私钥。在同一 lunaclient 目录中，应为每个要集成的HSM运行命令pscp.exe admin@<HSM_IP>:server.pem server_<HSM hostname>.pem 。这会将每个HSM的服务器证书传输到名为server_<HSM hostname>.pem的lunaclient目录。我们指定一个与 server.pem 不同的名称，只是因为如果集成了多个HSM，旧的 server.pem 证书将被导入的新证书替换。现在您已经掌握了所有这些信息，我们将需要获取分区标签和与CM关联的分区的分区序列号。这是通过命令ssh admin@<HSM IP> SSH 进入HSM来完成的。登录后，可以运行命令 par list 以显示HSM上的所有不同分区、序列号和分区标签。一旦记下这些，最后一步是通过我们创建的证书使CM成为HSM的客户端。这可以通过使用以下命令从客户端设备传输证书文件到HSM来完成lunaclient目录：

pscp.exe ./cert/client/<client cert name>.pem admin@<HSM_IP>

现在客户端证书在HSM上，必须使用命令client register -n <name of the client> -h <name of the client certificate without the .pem at the end> 来注册客户端。现在客户端注册成功了，必须通过命令给客户端分配一个分区

client assignpartition -c <client name> -p <partition name>

应该为每个被集成的HSM完成这些步骤。

CM集成步骤

既然已经将CM设置为HSM的客户端，我们就必须直接将这些文件与CM连接起来。为此，我们需要通过网络配置期间设置的 IP 地址之一登录CipherTrust Manager的 GUI。一旦我们进入网页https://<IP of the CM>，我们可以登录并进入Admin Settings>HSM选项卡。从这里开始，我们按照提示的步骤进行操作。我们需要提供HSMIP 地址、HSM服务器证书、客户端证书和密钥、分区标签和分区序列号。对于证书，您需要打开、复制这些文件的内容并将其粘贴到 GUI。此外，还需要提供分区的加密官员密码。

一旦提供了这些，GUI 将询问您是否要在整个环境中复制分区中的密钥。您应该对此选项选择是，因为如果您不这样做，分区中的数据将会丢失。完成此操作后，CM将重新启动自身及其服务，确保它可以正确连接到HSM。重新启动后，您可以重新登录 GUI 并查看HSM现在已集成。从这里，您可以将其他HSM添加到集成中，只需要分区密码、序列号、标签、HSM IP 和HSM服务器证书。现在您已经成功地将您的所有HSM与您的密码信任管理器集成！

已知问题和解决方法

• 问题：无法从CM GUI 访问HSM Seal。

  解决方案：如果错误提示在尝试连接到 GUI 时无法获取HSM Seal，则可能是您的客户端证书有问题。使用vtl createcert创建证书时存在一个罕见的错误，该错误会导致证书创建时间为 11 天而不是 10 年。将客户端证书的扩展名更改为 .cert 并查看证书的到期日期。您将需要 SSH 进入CM并运行命令kscfg system reset。您将丢失HSM配置，但您将保留 SSH 和网络配置。从这里开始，您将需要重新执行使用新证书创建HSM客户端的步骤。

  
  

• 问题：GUI 无法访问 IP 地址

  解决方案：如果更新CM的软件后，您似乎无法访问您的IP地址，您需要在每个接口上设置相同的IP地址，直到找到合适的IP地址。问题是当从 2.0 版更新到 2.9 版时，会出现一个错误，可能会将网络接口的 MAC 地址更改为不正确的 MAC 地址。他们可能会说它们是接口 1 或 0，但它们实际上是接口 2 或 3。这可以通过在每个接口上尝试相同的 IP 地址来解决，直到它正常工作，并且您可以连接到它。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 勒索软件制裁：有什么影响？

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点