HSM 연결

Prev Next

VPC 환경에서 이용 가능합니다.

HSM 연결에서는 Connection 화면의 구성에 대해 소개하고 HSM을 생성한 상태에서 클라이언트 서버에 연결하는 방법을 설명합니다.

Connection 화면은 다음과 같이 구성되어 있습니다.
hsm-connect_screen_ko

영역 설명
① 메뉴명 현재 확인 중인 메뉴명
② 기본 기능 Connection 메뉴 최초 진입 시 표시되는 기능
  • [연결 생성] 버튼: 클릭하여 새로운 HSM 연결 생성
  • [상품 더 알아보기] 버튼: 클릭하여 Hardware Security Module 서비스 소개 페이지로 이동
  • [새로 고침] 버튼: 클릭하여 페이지 새로 고침
③ 관리 기능 Connection을 관리하기 위한 기능
④ Connection 목록 생성된 연결 목록
  • Connection Tag: 연결의 고유 식별자
  • HSM Tag: 연결 시 매핑된 HSM의 고유 식별자
    • 다수의 HSM과 매핑되었을 경우 '+n' 표시
  • 등록일시: 연결을 최초로 생성한 일시

HSM 연결을 생성하기 전에, 먼저 HSM 클라이언트를 별도의 서버에 설치해 주십시오. 클라이언트 서버를 구축하기 위해 진행할 단계는 다음과 같습니다.

1. VPC 생성
2. 서버 생성 및 설정

전용 사설 네트워크인 VPC가 없다면 새로 생성해 주십시오.
VPC 및 Subnet을 먼저 생성하고, Network ACL을 통해 방화벽을 설정해야 합니다.
자세한 내용은 VPC 사용 가이드를 참고해 주십시오.

네이버 클라우드 플랫폼에서는 HSM 클라이언트인 SafeNet Luna Client 설치를 위해서 서버를 생성한 후 스크립트를 사용해 직접 클라이언트를 설치해야 합니다.

  1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴와 Platform 메뉴에서 이용 중인 환경을 클릭해 주십시오.
  2. Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
  3. [서버 생성] 버튼을 클릭한 후 화면의 안내를 따라 서버를 생성해 주십시오.
    • 생성 방법에 대한 자세한 내용은 서버 생성을 참고해 주십시오.
  4. 서버 생성이 완료되면 해당 서버에 접속해 주십시오.
    • 접속 방법에 대한 자세한 내용은 서버 접속을 참고해 주십시오.
  5. SafeNet Luna Client 설치 를 참고하여 Luna Client 를 설치합니다.
    다음 명령을 실행하여 HSM Pool이 정상적으로 등록되었는지 확인해 주십시오.
    [root@hsm-test ~]# /usr/safenet/lunaclient/bin/vtl listservers

Server: xxx.xxx.xxx.xxx
Server: gov-hsm001
    Plain text
  6. 인증서를 생성하기 위해 다음 명령을 실행하여 개인 키와 CSR(Certificate Signing Request) 파일을 생성해 주십시오.
    • <예시> Luna Client의 유틸리티인 VTL을 이용하여 Common Name이 {serverInstanceNo}-hsm인 개인 키 및 CSR 생성
    [root@hsm-test ~]# /usr/safenet/lunaclient/bin/vtl createCSR -n $(curl 169.254.169.254/latest/meta-data/serverInstanceNo)-hsm
vtl (64-bit) v10.3.0-275. Copyright (c) 2020 SafeNet. All rights reserved.

Private Key created and written to: /usr/safenet/lunaclient/cert/client/374589-hsmKey.pem
Certificate CSR created and written to: /usr/safenet/lunaclient/cert/client/374589-hsmCSR.pem
    Plain text
    참고
    • vtl createCSR -n {hostname}으로 생성한 호스트명은 장비 내에서 유일한 값을 가져야 합니다.(Thales 공식 가이드 참고)
    • 예시에 표시된 {serverInstanceNo}-hsm 외에 장비 내에서 유일한 다른 값을 사용해도 됩니다.
  7. 다음 명령을 실행하여 생성된 CSR 데이터를 확인해 주십시오.
    • 콘솔에서 연결 생성 시 CSR 데이터가 필요하므로 해당 값을 복사해 두십시오.
    [root@hsm-test ~]# cat /usr/safenet/lunaclient/cert/client/374589-hsmCSR.pem
-----BEGIN CERTIFICATE REQUEST-----
MIICpzCCAY8CAQAwYjELMAkGA1UEBhMCS1IxDzANBgNVBAgTBnRlc3R4eDEPMA0G
A1UEBxMGdGVzdHh4MQ8wDQYDVQQKEwZ0ZXN0eHgxDzANBgNVBAsTBnRlc3R4eDEP
MA0GA1UEAxMGdGVzdHh4MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA
....(중략)
oCMbQM20P/WryOKLTPJ97ImozqWj9PKOHQDpeiRuOxpTjI2JDspvikT8P657hPQY
8EZe3t1cwIIJM5L5spxcFCBY6L2gjWR8tiEPWIB+06N1KbG2oOybW+Uul7Ik6CUt
TPc0QTo8xYm+Msw=
-----END CERTIFICATE REQUEST-----
    Plain text

HSM 클라이언트 서버가 준비된 상태에서 HSM 연결을 생성하는 방법은 다음과 같습니다.

  1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴와 Platform 메뉴에서 이용 중인 환경을 클릭해 주십시오.
  2. Services > Security > Hardware Security Module 메뉴를 차례대로 클릭해 주십시오.
  3. Connection 메뉴를 클릭해 주십시오.
  4. [연결 생성] 버튼을 클릭해 주십시오.
  5. 연결 생성을 위한 기본 정보를 입력해 주십시오.
    • HSM Tag: 연결하려는 HSM Tag 선택
    • CSR: 서버에서 확인한 CSR 데이터 입력. 복사해 둔 pem 포맷의 스트링 그대로 붙여 넣기
  6. 입력을 완료했다면 [생성] 버튼을 클릭해 주십시오.
    • 연결이 생성되어 Connection 목록에 표시됩니다.
  7. Connection 목록에서 생성된 연결을 선택한 후 [인증서 확인] 버튼을 클릭해 주십시오.
  8. 인증서 상세 정보 팝업 창에서 인증서 본문 옆의 [다운로드] 버튼을 클릭해 주십시오.
    • 인증서 파일이 다운로드됩니다.
    • 팝업 창에 표시된 인증서 본문을 복사해서 서버 인증서 파일에 붙여 넣을 수도 있습니다.
  9. HSM 클라이언트 서버에 접속하여 /usr/safenet/lunaclient/cert/client/ 경로에 인증서 파일을 저장해 주십시오.
    • 인증서 파일명 형식: {Common Name}.pem
    • <예시> Common Name이 '374589-hsm'일 경우
    [root@hsm-test ~]# mv ./374589-hsm.pem /usr/safenet/lunaclient/cert/client/
    Plain text
    • 동일 경로에 인증서와 개인 키(파일명 형식: {Common Name}Key.pem)가 모두 위치하는지 확인해 주십시오.
    • <예시> Common Name이 '374589-hsm'일 경우
    [root@hsm-test client]# pwd
/usr/safenet/lunaclient/cert/client
[root@hsm-test client]# ls
374589-hsmKey.pem  374589-hsm.pem
    Plain text
  10. SafeNet Luna Client를 실행하여 HSM이 정상적으로 매핑되었는지 확인해 주십시오.
  • HSM 고유 식별자인 HSM Tag 뒷부분에 표시되는 시리얼 번호가 도출되어야 합니다.
  • <예시> HSM Tag가 'b1f83780-d3d99e8o-1451531153118'일 경우
[root@hsm-test bin]# ./vtl verify
vtl (64-bit) v10.3.0-275. Copyright (c) 2020 SafeNet. All rights reserved.


The following Luna SA Slots/Partitions were found:

Slot	Serial #        	Label
====	================	=====
   0	   1451531153118
Plain text
참고

HSM Tag는 콘솔의 Services > Security > Hardware Security Module > HSM 메뉴에서 확인할 수 있습니다.

  1. 콘솔의 HSM 메뉴에서 연결 상태가 정상적으로 반영되었는지 확인해 주십시오.
    • HSM 목록에서 해당 항목이 운영중 상태로 표시되어야 합니다.

HSM 매핑 상태를 확인하고 연결을 관리할 수 있습니다. 연결을 관리하는 방법은 다음과 같습니다.

  1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴와 Platform 메뉴에서 이용 중인 환경을 클릭해 주십시오.
  2. Services > Security > Hardware Security Module 메뉴를 차례대로 클릭해 주십시오.
  3. Connection 메뉴를 클릭해 주십시오.
  4. 연결 목록에서 원하는 연결을 선택한 후 [HSM 연결 관리] 버튼을 클릭해 주십시오.
  5. HSM 연결 관리 팝업 창에서 현재 매핑된 HSM을 확인하고, 필요시 설정을 변경해 주십시오.
    • HSM 매핑을 추가하려면 연결하고자 하는 HSM Tag를 선택하세요 드롭다운 목록을 클릭하여 원하는 HSM 선택 후, [추가] 버튼을 클릭해 주십시오.
    • 기존 HSM 매핑을 삭제하려면 해당 HSM Tag 오른쪽의 [삭제] 버튼을 클릭해 주십시오.

연결에 설정된 인증서 정보를 확인하는 방법은 다음과 같습니다.

  1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴와 Platform 메뉴에서 이용 중인 환경을 클릭해 주십시오.
  2. Services > Security > Hardware Security Module 메뉴를 차례대로 클릭해 주십시오.
  3. Connection 메뉴를 클릭해 주십시오.
  4. 연결 목록에서 원하는 연결을 선택한 후 [인증서 확인] 버튼을 클릭해 주십시오.
  5. 인증서 상세 정보 팝업 창에서 인증 정보를 확인해 주십시오.
    • [다운로드] 버튼을 클릭하면 서명된 인증서 또는 서명자 인증서를 다운로드할 수 있습니다.
      hsm-connect_certificate_ko

생성된 연결을 삭제하는 방법은 다음과 같습니다.

  1. 네이버 클라우드 플랫폼 콘솔의 Region 메뉴와 Platform 메뉴에서 이용 중인 환경을 클릭해 주십시오.
  2. Services > Security > Hardware Security Module 메뉴를 차례대로 클릭해 주십시오.
  3. Connection 메뉴를 클릭해 주십시오.
  4. 연결 목록에서 원하는 연결을 선택한 후 [삭제] 버튼을 클릭해 주십시오.
    • 연결이 즉시 삭제되며 모든 매핑이 해제됩니다.
    • 다수의 HSM을 매핑한 경우 재확인 팝업 창에서 [삭제] 버튼을 다시 클릭하면 삭제됩니다.