Was ist die HSM Anbindung?

Über die HSM Anbindung erreichen Sie, dass die Serverschlüssel auf die HSM ausgelagert werden. Dies führt schlussendlich zu einem erhöhten Schutz, da die Schlüssel nicht direkt im Zugriff des Servers sind. Die Anbindung erfolgt über PKCS#11.

Voraussetzungen

Um eine HSM anbinden zu können, müssen Sie folgende Voraussetzungen schaffen:

  • Eine lauffähige HSM muss vorhanden sein.
  • Die PKCS#11 Treiber müssen am Anwendungsserver installiert sein.
  • Die Enterprise Plus Edition muss lizenziert sein.
  • Die Einrichtung erfolgt über den Datenbank Administrator am AdminClient.

Von uns getestete Hardware

Grundsätzlich sollte jede HSM mit der PKCS#11 Schnittstelle funktionieren. Es ist jedoch zu empfehlen, dies vorher in einer Teststellung oder einem POC auszuprobieren, wenn Sie eine HSM verwenden, die nicht zu den folgenden von uns getesteten Produkten gehört.

  • SafeNet Luna SA – HSM mit Netzwerkanbindung
  • SafeNet Luna PCI-E – Embedded-HSM

Einrichtung

Die Einrichtung erfolgt am AdminClient über die Datenbank Einstellungen

  • Bibliotheks-Pfad: Hier wird auf den installierten PKCS#11 Treiber der HSM verwiesen.
  • Token-Serial: Geben Sie hier die Seriennummer des Tokens an.
  • Token-Label: Dies ist der Name des Tokens.
  • PIN: Abschließend geben Sie die PIN zur Authentifizierung am Token an.

Verwendung durch Password Safe

Sobald Sie die HSM angebunden haben, werden alle Serverschlüssel an die HSM übertragen. Hierbei handelt es sich um das Datenbank Zertifikat. Falls Sie das AD im Masterkey Modus angebunden haben, wird auch der Masterkey an die HSM übergeben. Die Zertifikate werden dann nicht mehr im Zertifikatsstore des Anwendungsservers hinterlegt, sondern zentral durch die HSM verwaltet. Alle anderen Schlüssel werden nicht auf der HSM abgelegt, sondern von den Masterschlüsseln abgeleitet. Daher greift Password Safe nur selten auf die HSM zu. Beispielsweise beim Serverstart oder beim AD Sync. Hierdurch kann die Last auf die HSM gering gehalten werden.

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.