Konfigurieren des HSM für eine Instanz auf einer SDX 14030/14060/14080 FIPS-Einheit
Sie müssen zuerst den Status Ihrer FIPS-Karte überprüfen, um sicherzustellen, dass der Treiber korrekt geladen wurde, und dann die Karte initialisieren.
Geben Sie an der Eingabeaufforderung Folgendes ein:
show fips
FIPS Card is not configured
Done
Wenn der Treiber nicht korrekt geladen ist, erscheint die Meldung “FEHLER: Betrieb nicht erlaubt - keine FIPS-Karte im System vorhanden”.
Initialisieren der FIPS-Karte
Wichtig:
Stellen Sie sicher, dass das
/nsconfig/fips
Verzeichnis erfolgreich auf der Appliance erstellt wurde.
Speichern Sie die Konfiguration nicht, bevor Sie die Appliance zum dritten Mal neu starten.
Führen Sie die folgenden Schritte aus, um die FIPS-Karte zu initialisieren:
- Setzen Sie die FIPS-Karte zurück.
- Starten Sie die Appliance neu.
-
Legen Sie das Kennwort des Sicherheitsbeauftragten für die Partitionen 0 und 1 sowie das Benutzerkennwort für die Partition fest.
Hinweis: Die Ausführung des Befehls set oder reset dauert mehr als 60 Sekunden.
- Speichern Sie die Konfiguration.
- Stellen Sie sicher, dass der kennwortverschlüsselte Schlüssel für die Master-Partition (master_pek.key) im Verzeichnis /nsconfig/fips/ erstellt wurde.
- Starten Sie die Appliance neu.
- Stellen Sie sicher, dass die FIPS-Karte auf UP ist.
Initialisieren Sie die FIPS-Karte mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
reset fips
reboot
set fips -initHSM Level-2 <soPassword> <oldsoPassword> <userPassword> -hsmLabel <string>
Hinweis: Die folgende Meldung wird angezeigt, wenn Sie den Befehl set fipsausführen:
This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3] Do you want to continue?(Y/N)y
saveconfig
reboot
show fips
Beispiel:
reset fips
Done
reboot
set fips -initHSM Level-2 so12345 so12345 user123 -hsmLabel NSFIPS
This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3] Do you want to continue?(Y/N)y
Done
saveconfig
Done
reboot
show fips
FIPS HSM Info:
HSM Label : NSFIPS
Initialization : FIPS-140-2 Level-2
HSM Serial Number : 3.0G1532-ICM000228
HSM State : 2
HSM Model : NITROX-III CNN35XX-NFBE
Hardware Version : 0.0-G
Firmware Version : 1.0
Firmware Build : NFBE-FW-1.0-48
Max FIPS Key Memory : 1000
Free FIPS Key Memory : 1000
Total SRAM Memory : 557396
Free SRAM Memory : 238088
Total Crypto Cores : 4
Enabled Crypto Cores : 4
Done