Configurer le HSM pour une instance sur une appliance FIPS SDX 14030/14060/14080

Vous devez d’abord vérifier l’état de votre carte FIPS pour vérifier que le pilote a correctement chargé, puis initialiser la carte.

À l’invite de commandes, tapez :

show fips

FIPS Card is not configured

Done

Si le pilote n’est pas chargé correctement, le message « ERREUR : Opération non autorisée - aucune carte FIPS présente dans le système » apparaît.

Initialiser la carte FIPS

Important :

Vérifiez que le répertoire /nsconfig/fips a bien été créé sur l’appliance.

N’enregistrez pas la configuration avant de redémarrer l’appliance pour la troisième fois.

Effectuez les étapes suivantes pour initialiser la carte FIPS :

  1. Réinitialisez la carte FIPS.
  2. Redémarrez l’appliance.
  3. Définissez le mot de passe de l’agent de sécurité pour les partitions 0 et 1, et le mot de passe utilisateur pour la partition

    Remarque : L’exécution de la commande set ou reset prend plus de 60 secondes.

  4. Enregistrez la configuration.
  5. Vérifiez que la clé chiffrée par mot de passe de la partition maître (master_pek.key) a été créée dans le répertoire /nsconfig/fips/.
  6. Redémarrez l’appliance.
  7. Vérifiez que la carte FIPS est UP.

Initialisez la carte FIPS à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes :

reset fips

reboot

set fips -initHSM Level-2 <soPassword> <oldsoPassword> <userPassword> -hsmLabel <string>

Remarque : Le message suivant s’affiche lorsque vous exécutez la commande set fips :

This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3]  Do you want to continue?(Y/N)y

saveconfig

reboot

show fips

Exemple :

reset fips

Done

reboot

set fips -initHSM Level-2 so12345 so12345 user123 -hsmLabel NSFIPS

This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3]  Do you want to continue?(Y/N)y

Done

saveconfig

Done

reboot

show fips

    FIPS HSM Info:
    HSM Label : NSFIPS
    Initialization : FIPS-140-2 Level-2
    HSM Serial Number : 3.0G1532-ICM000228
    HSM State : 2
    HSM Model : NITROX-III CNN35XX-NFBE
    Hardware Version : 0.0-G
    Firmware Version : 1.0
    Firmware Build : NFBE-FW-1.0-48
    Max FIPS Key Memory : 1000
    Free FIPS Key Memory : 1000
    Total SRAM Memory : 557396
    Free SRAM Memory : 238088
    Total Crypto Cores : 4
    Enabled Crypto Cores : 4
Done

Configurer le HSM pour une instance sur une appliance FIPS SDX 14030/14060/14080