מבוא

מערכת PKI או בשמה המלא Public Key Infrastructure היא תשתית קריפטוגרפית המאפשרת ניהול מפתחות ציבוריים ותעודות דיגיטליות. שילוב UTIMACO HSM מספק אבטחה משופרת על ידי אחסון מאובטח של מפתחות קריפטוגרפיים.
מדריך זה מתאר את השלבים להקמת PKI בסביבת Microsoft כולל התקנת HSM.

דרישות מקדימות

התקנת שרת ROOT מתחילה עם התקנה נקיה של שרת WINDOWS SERVER 2022/20225
המלצה ליצירת RAID 0 MIRROR והגדרת HOSTNAME מתאים
על השרת להיות STANDALONE ללא חיבור רשת או קישור ל DOMAIN

התקנת UTIMACO HSM Client

1. התקנת Java Runtime Environment (JRE):
הורד את הקובץ jre-8u431-windows-x64.exe (ניתן להוריד אותו באתר הרשמי של JAVA)
שימו לב להוריד את גרסת ה-64 ביט, לאחר מכן התקן את הגרסה תוך שימוש בהגדרות ברירת המחדל באופן הבא:

יש להשאיר את הגדרות ברירת המחדל בהתקנה

יש להמתין לסיום ההתקנה

יש לוודא שמוצגת הודעת הצלחה

2. התקנת תוכנת UTIMACO:
פרוס את התיקייה בשם SecurityServer-Vx.xx.x.x.zip (בהתאם לגרסה הנוכחית) ותריץ את הקובץ בשם CryptoServerSetup-x.xx.x.x

יש לסמן את האפשרויות הבאות ולאחר מכן לחץ על Next:
CryptoServer Administration Tool
CryptoServer Documentation
CSP/CNG – Cryptographic Service Provider (Microsoft)
Interactive Logic Support
PPD – PIN Pad Deamon

2. בדיקת קישור ל-HSM:
יש להריץ את התוכנה CAT (CryptoServer Administration Tool), להוסיף Device חדש ולבדוק קישוריות ל-HSM דרך TEST.

הגדרת UTIMACO HSM Client

לאחר ההתקנה הבסיסית של ה-HSM Client, יש לבצע הגדרת CSP/CNG לצורך קישור לשרת ה-HSM באופן הבא:
1. חיבור קורא כרטיסים לשרת CA

חילול כרטיסי זיהוי לממשק CNG

שנה את ה-PIN של אחד מהכרטיסים תתחיל באיפוס הכרטיסים (איפוס PIN) באופן הבא:

תוודא שההגדרות הם באופן הבא, לאחר מכן לחץ על כפתור OK ותמשיך מהמסך הראשי לבחירת קידוד של כרטיס חכם (Smartcard)

במסך שנפתח נדרש להכנס ל-Change PIN וללחוץ לאחר מכן על כפתור Change PIN

מכניסים את הכרטיס החכם לקורא כרטיס ולוחצים OK
מקלידים את ה-PIN הישן (ברירת המחדל שלו היא 123456)
מקלידים את ה-PIN החדש
מקלידים שוב את ה-PIN החדש

בוחרים בהגדרות הבאות ולאחר מכן עוקבים אחר ההנחיות המופיעות בקורא כרטיסים
בשלב זה יחוללו מפתחות על הכרטיס זיהוי ובנוסף יחוללו מפתחות גיבוי אשר מחולקים לשני כרטיסים נוספים בחלוקת סוד של 2, כלומר סה”כ 3 כרטיסים לכל כרטיס זיהוי למשתמש (סה”כ 9 כרטיסים עבור שלושה משתמשים).

4. הגדרת משתמשים לצורך גישה ל-HSM:
לאחר חילול המפתחות יש ליצור משתמשים ייעודיים ב-HSM אשר ישמשו לצורך זיהוי רכיב ה-CA המתקשר אל מול ה-HSM לקונטיינר הספציפי שלו.

יצירת משתמש באמצעות ממשק הניהול
כניסה ל-HSM באמצעות שני משתמשי מנהלן. ההזדהות באמצעות כרטיס חכם וסיסמא על ידי שני אנשים המרכיבים הרשאה של ADMIN.
עושים זאת באופן הבא:
לוחצים על Manage User ואז על Add User

במסך ה-Add User מוודאים שההגדרות הן לפי התמונה הבאה

מלאחר לחיצה על כפתור ה-OK ממשיכים למסך הבא ואז מכניסים את הכרטיס החכם המתאים

5. קביעת קובץ תצורה CNG:
בשרת ה-CA יש לערוך את קובץ ההגדרות.
הגדרת ממשק ה-CNG מבוצע על ידי עריכה של קובץ:
C:\ProgramData\Utimaco\CNG\cs_cng.cfg

יש לערוך את הקובץ באופן הבא:
הערה: נדרש לערוך את הgroup name, username בהתאם לשם שניתן לכרטיס

לאחר מכן פותחים את ה-Command Line ומריצים את הפקודה הבאה:
Cngtool listkeys

פונים לקורא הכרטיסים ומכניסים את הכרטיס של המשתמש של הכרטיס
מזינים PIN מתאים
מוודאים כי מוצגת טבלה ריקה של מפתחות

התקנת ADCS

בשלב הבא, נדרש לבצע התקנת ADCS ROLE זהה עבור כל שרתי ה-CA

1. פותחים את ה-Server Manager, לוחצים על Manage ואז על Add roles and features

2. ממשיכים עם Next

3. בוחרים ב-Active Directory Certificate Services וממשיכים עם Next

4. לוחצים על Add Features

5. בוחרים ב-Certification Authority (CA) ואז ממשיכים עם Next

6. מתקינים עם Install ולאחר ההתקנה סוגרים עם Close

7. בשלב הזה ה-ADCS role מותקן אך עדיין לא מוגדר, נדרש ללחוץ על הדגל עם הסימן הזהרה ואז ללחוץ על Configure Active Directory Certificate Services on destination server

8. ממשיכים עם הגדרת ה-ADCS role עם Next

9. בוחרים ב-Certification Authority ולאחר מכן ממשיכים עם Next

10. בוחרים ב-Standalone CA וממשיכים עם Next

11. בוחרים ב-Root CA וממשיכים עם Next

12. בוחרים ב-Create a new private key וממשיכים עם Next

13. בוחרים בRSA#Utimaco CryptoServer Key Storage Provider, בוחרים ב-Key length 4096,  בוחרים ב-Hash Algorithm SHA256 וממשיכים עם Next

14. בוחרים שמות ל-Certification Authority כמו למשל בדוגמא וממשיכים עם Next

15. מגדירים תקופת תוקף וממשיכים עם Next

16. ממשיכים עד הסוף עם Next, מוודאים שכלל הנתונים מוזנים כראוי ומסיימים את שלב ההגדרה עם Configure

17. פותחים את הCommand Line CMD ומריצים את הפקודה הבאה:
Cngtool listkeys
מוודאים שמפתח חדש נוצר

18. סיימתם את ההתקנה וההגדרה של ADCS Role

אל תתפשרו על אבטחת המידע שלכם!
צור קשר עוד היום לייעוץ מותאם אישית, ונעזור לך לבחור את את הכלי המרכזי בהגנת המידע של הארגון שלך