Was ist die HSM Anbindung?

Über die HSM Anbindung wird erreicht, dass die Serverschlüssel auf die HSM ausgelagert werden. Dies führt schlußendlich zu einem erhöhter Schutz, da die Schlüssel nicht direkt im Zugriff des Servers sind. Die Anbindung erfolgt über PKCS#11.

Voraussetzungen

Um eine HSM anbinden zu können, sind folgende Voraussetzungen zu schaffen:

  • Eine lauffähige HSM muss vorhanden sein.
  • Die PKCS#11 Treiber müssen am Anwendungsserver installiert sein.
  • Die Enterprise Plus Edition muss lizenziert sein.
  • Die Einrichtung erfolgt über den Datenbank Administrator am AdminClient

Von uns getestete Hardware

Grundsätzlich sollte jede HSM mit PKCS#11 Schnittstelle funktionieren. Es ist jedoch zu Empfehlen, dies vorher in einer Teststellung oder einem POC auszuprobieren, wenn Sie eine HSM verwenden, die nicht zu den folgenden von uns getesteten Produkten gehört.

  • SafeNet Luna SA – HSM mit Netzwerkanbindung
  • SafeNet Luna PCI-E – Embedded-HSM

Einrichtung

Die Einrichtung erfolgt am AdminClient über die Datenbank Einstellungen

  • Bibliotheks-Pfad: Hier wird auf den installierten PKCS#11 Treiber der HSM verwiesen.
  • Token-Serial: Die Seriennummer des Tokens wird hier angegeben.
  • Token-Label: Der Name des Tokens.
  • PIN: Abschließend wird die PIN zur Authentifizierung am Token angegeben.

Verwendung durch Password Safe

Sobald die HSM angebunden ist, werden alle Serverschlüssel an die HSM übertragen. Hierbei handelt es sich auf jeden Fall um das Datenbank Zertifikat. Falls das AD im Masterkey Modus angebunden wurde, wird auch der Masterkey an die HSM übergeben. Die Zertifikate werden dann nicht mehr im Zertifikatsstore des Anwendungsservers hinterlegt, sondern zentral durch die HSM verwaltet. Alle anderen Schlüssel werden nicht auf der HSM abgelegt, sondern von den Masterschlüsseln abgeleitet. Daher greift Password Safe nur selten auf die HSM zu. Beispielsweise beim Serverstart oder beim AD Sync. Hierdurch kann die Last auf die HSM gering gehalten werden.

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.