Konfigurieren des HSM für eine Instanz auf einer SDX 14030/14060/14080 FIPS-Einheit
Sie müssen zuerst den Status Ihrer FIPS-Karte überprüfen, um sicherzustellen, dass der Treiber korrekt geladen wurde, und dann die Karte initialisieren.
Geben Sie an der Eingabeaufforderung Folgendes ein:
show fips
FIPS Card is not configured
Done
Wenn der Treiber nicht korrekt geladen ist, erscheint die Meldung “FEHLER: Betrieb nicht erlaubt - keine FIPS-Karte im System vorhanden”.
Initialisieren der FIPS-Karte
Wichtig:
Stellen Sie sicher, dass das
/nsconfig/fipsVerzeichnis erfolgreich auf der Appliance erstellt wurde.
Speichern Sie die Konfiguration nicht, bevor Sie die Appliance zum dritten Mal neu starten.
Führen Sie die folgenden Schritte aus, um die FIPS-Karte zu initialisieren:
- Setzen Sie die FIPS-Karte zurück.
- Starten Sie die Appliance neu.
-
Legen Sie das Kennwort des Sicherheitsbeauftragten für die Partitionen 0 und 1 sowie das Benutzerkennwort für die Partition fest.
Hinweis: Die Ausführung des Befehls set oder reset dauert mehr als 60 Sekunden.
- Speichern Sie die Konfiguration.
- Stellen Sie sicher, dass der kennwortverschlüsselte Schlüssel für die Master-Partition (master_pek.key) im Verzeichnis /nsconfig/fips/ erstellt wurde.
- Starten Sie die Appliance neu.
- Stellen Sie sicher, dass die FIPS-Karte auf UP ist.
Initialisieren Sie die FIPS-Karte mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
reset fips
reboot
set fips -initHSM Level-2 <soPassword> <oldsoPassword> <userPassword> -hsmLabel <string>
Hinweis: Die folgende Meldung wird angezeigt, wenn Sie den Befehl set fipsausführen:
This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3] Do you want to continue?(Y/N)y
saveconfig
reboot
show fips
Beispiel:
reset fips
Done
reboot
set fips -initHSM Level-2 so12345 so12345 user123 -hsmLabel NSFIPS
This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3] Do you want to continue?(Y/N)y
Done
saveconfig
Done
reboot
show fips
FIPS HSM Info:
HSM Label : NSFIPS
Initialization : FIPS-140-2 Level-2
HSM Serial Number : 3.0G1532-ICM000228
HSM State : 2
HSM Model : NITROX-III CNN35XX-NFBE
Hardware Version : 0.0-G
Firmware Version : 1.0
Firmware Build : NFBE-FW-1.0-48
Max FIPS Key Memory : 1000
Free FIPS Key Memory : 1000
Total SRAM Memory : 557396
Free SRAM Memory : 238088
Total Crypto Cores : 4
Enabled Crypto Cores : 4
Done