Konfigurieren von HSM für eine Instanz auf einer SDX 14030/14060/14080 FIPS-Appliance
Überprüfen Sie zunächst den Status Ihrer FIPS-Karte, um sicherzustellen, dass der Treiber korrekt geladen wurde, und initialisieren Sie dann die Karte.
Geben Sie an der Eingabeaufforderung Folgendes ein:
show fips FIPS Card is not configured Done
Wenn der Treiber nicht korrekt geladen wurde, erscheint die Meldung “FEHLER: Betrieb nicht zulässig - keine FIPS-Karte im System vorhanden”.
Initialisieren der FIPS-Karte
Wichtig:
Stellen Sie sicher, dass das
/nsconfig/fips
Verzeichnis erfolgreich auf der Appliance erstellt wurde.
Speichern Sie die Konfiguration nicht, bevor Sie die Appliance zum dritten Mal neu starten.
Führen Sie die folgenden Schritte aus, um die FIPS-Karte zu initialisieren:
- Setzen Sie die FIPS-Karte zurück (
reset fips
). - Starten Sie das Gerät neu (
reboot
). Legen Sie das Kennwort für den Sicherheitsbeauftragten für die Partitionen 0 und 1 und das Benutzerkennwort für die Partition (
set fips -initHSM Level-2
) fest.-hsmLabel NSFIPS Hinweis: Die Ausführung des Befehls set oder reset dauert mehr als 60 Sekunden.
- Speichern Sie die Konfiguration (
saveconfig
). - Stellen Sie sicher, dass der kennwortverschlüsselte Schlüssel für die Hauptpartition (master_pek.key) im Verzeichnis /nsconfig/fips/ erstellt wurde.
- Starten Sie das Gerät neu (
reboot
). - Stellen Sie sicher, dass die FIPS-Karte UP (
show fips
) ist.
Initialisieren Sie die FIPS-Karte über die CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
reset fips reboot set fips -initHSM Level-2 -hsmLabel
Hinweis: Die folgende Meldung wird angezeigt, wenn Sie den Befehlset fipsausführen:
This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3] Do you want to continue?(Y/N)y saveconfig reboot show fips
Beispiel:
reset fips Done reboot set fips -initHSM Level-2 so12345 so12345 user123 -hsmLabel NSFIPS This command will erase all data on the FIPS card. You must save the configuration (saveconfig) after executing this command. [Note: On MPX/SDX 14xxx FIPS platform, the FIPS security is at Level-3 by default, and the -initHSM Level-2 option is internally converted to Level-3] Do you want to continue?(Y/N)y Done saveconfig Done reboot show fips FIPS HSM Info: HSM Label : NSFIPS Initialization : FIPS-140-2 Level-2 HSM Serial Number : 3.0G1532-ICM000228 HSM State : 2 HSM Model : NITROX-III CNN35XX-NFBE Hardware Version : 0.0-G Firmware Version : 1.0 Firmware Build : NFBE-FW-1.0-48 Max FIPS Key Memory : 1000 Free FIPS Key Memory : 1000 Total SRAM Memory : 557396 Free SRAM Memory : 238088 Total Crypto Cores : 4 Enabled Crypto Cores : 4 Done