Cryptography 如何在Safenet Luna SA HSM中验证客户端？

使用主机名注册客户端时，如何验证Safenet Luna SA HSM客户端？

Safenet Luna HSM对客户端使用基于证书的身份验证。证书必须复制到HSM，并且其文件名必须与HSM上的“客户端注册”命令中使用的主机名相匹配

注册的典型过程是：

将服务器证书复制到客户端安装

scpadmin@10.41.4.98：server.pem/usr/lunasa/cert/server

在本地注册服务器

vtl addServer-n 10.10.10.10-c/usr/lunasa/cert/server/server.pem

在客户端上创建客户端证书：

vtl createCert-n主机名

这将在cert/client目录中创建一个名为：

HOSTNAME.pem（证书）
HOSTNAMEKey.pem（私钥）

使用scp将客户端证书复制到Luna SA HSM

scp/usr/lunasa/cert/client/HOSTNAME.pemadmin@10.10.10.10:

在HSM上，注册客户机并将其分配给分区

客户端注册-客户端主机名-主机名主机名
客户端分配分区-客户端主机名-分区分区名称

在客户端上，验证客户端是否已注册并正常运行：

$vtl验证

找到以下Luna SA插槽/分区：

插槽序列号#标签
============================
123456789我的分区1

---

在Keith帮助完成信任/证书交换过程后，查看您的评论。 下面是您可能需要的命令-

---

ntls ipcheck disable

HSM基于NTL（（网络信任链接）验证客户端连接。在客户端通过Crytoki调用HSM之前，必须建立NTL连接。建立NTL连接的过程由@Keith Bucher解释。是验证了客户端的FQDN？还是仅验证了证书？请注意，这些是基于PKCS#11的客户端。PKCS#11是sec的标准C接口ure令牌。所以我想这就是主题，尽管安全站点可能更适合。当然也可以是Safenet。我希望只有证书身份验证，因为PKI应该限制在组织内的特定设备上（证书通常不是从商业CA获得的，我想，在证书生成过程中需要更加小心）；尝试这一点很容易，当然，只需从没有域名的设备连接即可。我知道创建基于主机名的证书的过程。但是，如果我不在HSM中配置dns或至少不配置dns，我应该为HSM配置hostip，以允许从具有此证书的IP连接。我问这个问题的原因是，现在我们有了一个从2个不同IP连接的客户端。但实际上，客户端连接的机器只有一台。由于安全原因，我们被限制在HSM中配置DNS。因此无法从HSM进行主机名验证。我不确定我是否完全理解您的情况，但听起来您无法通过DNS I注册客户端n您的HSM。您可以通过IP地址和主机名在HSM上注册客户端。我会尝试为客户端上的两个IP创建证书，并将这两个IP注册为HSM上的客户端。