- 인쇄
- PDF
HSM 연결
- 인쇄
- PDF
VPC 환경에서 이용 가능합니다.
HSM 연결에서는 Connection 화면의 구성에 대해 소개하고 HSM을 생성한 상태에서 클라이언트 서버에 연결하는 방법을 설명합니다.
Connection 화면
Connection 화면은 다음과 같이 구성되어 있습니다.
영역 | 설명 |
---|---|
① 메뉴명 | 현재 확인 중인 메뉴명 |
② 기본 기능 | Connection 메뉴 최초 진입 시 표시되는 기능
|
③ 관리 기능 | Connection을 관리하기 위한 기능
|
④ Connection 목록 | 생성된 연결 목록
|
HSM 클라이언트 서버 생성
HSM 연결을 생성하기 전에, 먼저 HSM 클라이언트를 별도의 서버에 설치해 주십시오. 클라이언트 서버를 구축하기 위해 진행할 단계는 다음과 같습니다.
1. VPC 생성
전용 사설 네트워크인 VPC가 없다면 새로 생성해 주십시오.
VPC 및 Subnet을 먼저 생성하고, Network ACL을 통해 방화벽을 설정해야 합니다.
자세한 내용은 VPC 사용 가이드를 참고해 주십시오.
2. 서버 생성 및 설정
네이버 클라우드 플랫폼 콘솔에서는 HSM 클라이언트인 SafeNet Luna Client가 설치된 CentOS 서버 이미지가 제공됩니다. 해당 서버 이미지를 사용하여 간편하게 클라이언트 서버를 구축할 수 있습니다.
Ubuntu 또는 Windows 서버를 생성하려면, 서버를 생성한 후 스크립트를 사용해 직접 클라이언트를 설치해야 합니다. 자세한 내용은 다음의 사용 가이드를 참고해 주십시오.
SafeNet Luna Client가 설치된 CentOS 서버를 생성하고 설정하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 Region 메뉴와 Platform 메뉴에서 이용 중인 환경을 클릭해 주십시오.
- Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
- [서버 생성] 버튼을 클릭한 후 화면의 안내를 따라 서버를 생성해 주십시오.
- 서버 이미지 선택 시 이미지 타입을 Application, 애플리케이션 이미지 타입을 Luna HSM으로 선택해야 합니다.
- 생성 방법에 대한 자세한 내용은 서버 생성을 참고해 주십시오.
- 서버 생성이 완료되면 해당 서버에 접속해 주십시오.
- 접속 방법에 대한 자세한 내용은 서버 접속을 참고해 주십시오.
- 다음 명령을 실행하여 HSM Pool이 정상적으로 등록되었는지 확인해 주십시오.
[root@hsm-test ~]# /usr/safenet/lunaclient/bin/vtl listservers Server: xxx.xxx.xxx.xxx Server: gov-hsm001
- 인증서를 생성하기 위해 다음 명령을 실행하여 개인 키와 CSR(Certificate Signing Request) 파일을 생성해 주십시오.
- <예시> Luna Client의 유틸리티인 VTL을 이용하여 Common Name이
{serverInstanceNo}-hsm
인 개인 키 및 CSR 생성
[root@hsm-test ~]# /usr/safenet/lunaclient/bin/vtl createCSR -n $(curl 169.254.169.254/latest/meta-data/serverInstanceNo)-hsm vtl (64-bit) v10.3.0-275. Copyright (c) 2020 SafeNet. All rights reserved. Private Key created and written to: /usr/safenet/lunaclient/cert/client/374589-hsmKey.pem Certificate CSR created and written to: /usr/safenet/lunaclient/cert/client/374589-hsmCSR.pem
참고vtl createCSR -n {hostname}
으로 생성한 호스트명은 장비 내에서 유일한 값을 가져야 합니다.(Thales 공식 가이드 참고)- 예시에 표시된
{serverInstanceNo}-hsm
외에 장비 내에서 유일한 다른 값을 사용해도 됩니다.
- <예시> Luna Client의 유틸리티인 VTL을 이용하여 Common Name이
- 다음 명령을 실행하여 생성된 CSR 데이터를 확인해 주십시오.
- 콘솔에서 연결 생성 시 CSR 데이터가 필요하므로 해당 값을 복사해 두십시오.
[root@hsm-test ~]# cat /usr/safenet/lunaclient/cert/client/374589-hsmCSR.pem -----BEGIN CERTIFICATE REQUEST----- MIICpzCCAY8CAQAwYjELMAkGA1UEBhMCS1IxDzANBgNVBAgTBnRlc3R4eDEPMA0G A1UEBxMGdGVzdHh4MQ8wDQYDVQQKEwZ0ZXN0eHgxDzANBgNVBAsTBnRlc3R4eDEP MA0GA1UEAxMGdGVzdHh4MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA ....(중략) oCMbQM20P/WryOKLTPJ97ImozqWj9PKOHQDpeiRuOxpTjI2JDspvikT8P657hPQY 8EZe3t1cwIIJM5L5spxcFCBY6L2gjWR8tiEPWIB+06N1KbG2oOybW+Uul7Ik6CUt TPc0QTo8xYm+Msw= -----END CERTIFICATE REQUEST-----
연결 생성
HSM 클라이언트 서버가 준비된 상태에서 HSM 연결을 생성하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 Region 메뉴와 Platform 메뉴에서 이용 중인 환경을 클릭해 주십시오.
- Services > Security > Hardware Security Module 메뉴를 차례대로 클릭해 주십시오.
- Connection 메뉴를 클릭해 주십시오.
- [연결 생성] 버튼을 클릭해 주십시오.
- 연결 생성을 위한 기본 정보를 입력해 주십시오.
- VPC: HSM 클라이언트 서버가 배치된 VPC 선택
- 서버명: 생성한 HSM 클라이언트 서버 선택
- HSM Tag: 연결하려는 HSM Tag 선택
- CSR: 서버에서 확인한 CSR 데이터 입력. 복사해 둔 pem 포맷의 스트링 그대로 붙여 넣기
- 입력을 완료했다면 [생성] 버튼을 클릭해 주십시오.
- 연결이 생성되어 Connection 목록에 표시됩니다.
- Connection 목록에서 생성된 연결을 선택한 후 [인증서 확인] 버튼을 클릭해 주십시오.
- 인증서 상세 정보 팝업 창에서 인증서 본문 옆의 [다운로드] 버튼을 클릭해 주십시오.
- 인증서 파일이 다운로드됩니다.
- 팝업 창에 표시된 인증서 본문을 복사해서 서버 인증서 파일에 붙여 넣을 수도 있습니다.
- HSM 클라이언트 서버에 접속하여
/usr/safenet/lunaclient/cert/client/
경로에 인증서 파일을 저장해 주십시오.- 인증서 파일명 형식:
{Common Name}.pem
- <예시> Common Name이 '374589-hsm'일 경우
[root@hsm-test ~]# mv ./374589-hsm.pem /usr/safenet/lunaclient/cert/client/
- 동일 경로에 인증서와 개인 키(파일명 형식:
{Common Name}Key.pem
)가 모두 위치하는지 확인해 주십시오. - <예시> Common Name이 '374589-hsm'일 경우
[root@hsm-test client]# pwd /usr/safenet/lunaclient/cert/client [root@hsm-test client]# ls 374589-hsmKey.pem 374589-hsm.pem
- 인증서 파일명 형식:
- SafeNet Luna Client를 실행하여 HSM이 정상적으로 매핑되었는지 확인해 주십시오.
- HSM 고유 식별자인 HSM Tag 뒷부분에 표시되는 시리얼 번호가 도출되어야 합니다.
- <예시> HSM Tag가 'b1f83780-d3d99e8o-1451531153118'일 경우
[root@hsm-test bin]# ./vtl verify
vtl (64-bit) v10.3.0-275. Copyright (c) 2020 SafeNet. All rights reserved.
The following Luna SA Slots/Partitions were found:
Slot Serial # Label
==== ================ =====
0 1451531153118
HSM Tag는 콘솔의 Services > Security > Hardware Security Module > HSM 메뉴에서 확인할 수 있습니다.
- 콘솔의 HSM 메뉴에서 연결 상태가 정상적으로 반영되었는지 확인해 주십시오.
- HSM 목록에서 해당 항목이 운영중 상태로 표시되어야 합니다.
연결 관리
HSM 매핑 상태를 확인하고 연결을 관리할 수 있습니다. 연결을 관리하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 Region 메뉴와 Platform 메뉴에서 이용 중인 환경을 클릭해 주십시오.
- Services > Security > Hardware Security Module 메뉴를 차례대로 클릭해 주십시오.
- Connection 메뉴를 클릭해 주십시오.
- 연결 목록에서 원하는 연결을 선택한 후 [HSM 연결 관리] 버튼을 클릭해 주십시오.
- HSM 연결 관리 팝업 창에서 현재 매핑된 HSM을 확인하고, 필요시 설정을 변경해 주십시오.
- HSM 매핑을 추가하려면 연결하고자 하는 HSM Tag를 선택하세요 드롭다운 목록을 클릭하여 원하는 HSM 선택 후, [추가] 버튼을 클릭해 주십시오.
- 기존 HSM 매핑을 삭제하려면 해당 HSM Tag 오른쪽의 [삭제] 버튼을 클릭해 주십시오.
인증서 확인
연결에 설정된 인증서 정보를 확인하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 Region 메뉴와 Platform 메뉴에서 이용 중인 환경을 클릭해 주십시오.
- Services > Security > Hardware Security Module 메뉴를 차례대로 클릭해 주십시오.
- Connection 메뉴를 클릭해 주십시오.
- 연결 목록에서 원하는 연결을 선택한 후 [인증서 확인] 버튼을 클릭해 주십시오.
- 인증서 상세 정보 팝업 창에서 인증 정보를 확인해 주십시오.
- [다운로드] 버튼을 클릭하면 서명된 인증서 또는 서명자 인증서를 다운로드할 수 있습니다.
- [다운로드] 버튼을 클릭하면 서명된 인증서 또는 서명자 인증서를 다운로드할 수 있습니다.
연결 삭제
생성된 연결을 삭제하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔의 Region 메뉴와 Platform 메뉴에서 이용 중인 환경을 클릭해 주십시오.
- Services > Security > Hardware Security Module 메뉴를 차례대로 클릭해 주십시오.
- Connection 메뉴를 클릭해 주십시오.
- 연결 목록에서 원하는 연결을 선택한 후 [삭제] 버튼을 클릭해 주십시오.
- 연결이 즉시 삭제되며 모든 매핑이 해제됩니다.
- 다수의 HSM을 매핑한 경우 재확인 팝업 창에서 [삭제] 버튼을 다시 클릭하면 삭제됩니다.