On-premise HSM 연동
    • PDF

    On-premise HSM 연동

    • PDF

    기사 요약

    기존에 사용 중인 On-premise HSM과 네이버 클라우드 플랫폼의 Hardware Security Module을 연동하는 방법을 설명합니다.
    On-premise HSM과 네이버 클라우드 플랫폼 Hardware Security Module의 연동 구성도는 다음과 같습니다.

    hsm-onprem_integration_ko

    전제 조건

    On-premise HSM과의 연동을 시작하기 전, 다음의 전제 조건을 준수해 주십시오.

    • 네이버 클라우드 플랫폼 콘솔에서 HSM 생성, 연결 생성 완료
    • HSM 클라이언트 서버는 VPC 상에 위치

    On-premise HSM 연동 설정

    On-premise HSM과의 연동을 설정하려면 다음 작업을 수행해 주십시오.

    HSM 클라이언트 인증서 체인 등록

    On-premise HSM에 네이버 클라우드 플랫폼 HSM 클라이언트 인증서 체인을 등록하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 HSM 클라이언트의 인증서 체인을 다운로드해 주십시오.

      hsmPem.zip

    2. 다운로드한 파일을 압축 해제하여 내용을 확인해 주십시오.
      -rw-r--r--@ 1 user  staff   1.6K 11 18 16:09 HSM.pem
      -rw-r--r--@ 1 user  staff   1.2K 11 18 16:09 HsmRootCA.pem
      
    3. 인증서 파일을 On-premise HSM 장비에 전송해 주십시오.
      # scp HSM.pem admin@<On-premise HSM>:
      # scp HsmRootCA.pem admin@<On-premise HSM>:
      
    4. 전송된 파일을 On-premise HSM에서 확인해 주십시오.
      [On-premise HSM] lunash:> my file list
          1219 Nov 18 16:11 HsmRootCA.pem
          1463 Nov 18 16:11 HSM.pem
      
    5. 4번 절차에서 받은 파일을 On-premise HSM의 클라이언트 인증서 체인으로 등록해 주십시오.
      [On-premise HSM] lunash:> client addCA HsmRootCA
      
      [On-premise HSM] lunash:> client addCA HSM
      
    6. 등록한 인증서를 확인해 주십시오.
      [On-premise HSM] lunash:>client listCA
      
      HSM
        subject= /C=KR/ST=Gyeonggido/L=Sungnamsi/O=NAVERCloudCorp./CN=HSM
        issuer= /O=Naver Cloud Platform/CN=hsmRootCA
      hsmRootCA
        subject= /O=Naver Cloud Platform/CN=hsmRootCA
        issuer= /O=Naver Cloud Platform/CN=hsmRootCA
      

    HSM 클라이언트 등록

    네이버 클라우드 플랫폼 HSM 클라이언트를 On-premise HSM의 클라이언트로 등록하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔에서 Services > Security > Hardware Security Module > Connection 메뉴를 차례대로 클릭해 주십시오.
    2. 연결 목록에서 On-premise HSM과 연결하려는 HSM 클라이언트를 선택한 후 [HSM 연결 관리] 버튼을 클릭해 주십시오.
    3. HSM 연결 관리 팝업 창에서 인증서 [다운로드] 버튼을 클릭하여 서명된 인증서 또는 서명자 인증서를 다운로드해 주십시오.
    4. 다운로드한 인증서를 On-premise HSM에 전송해 주십시오.
      # scp <connectionCert>.pem admin@<On-premise HSM>:
      
    5. On-premise HSM에서 HSM 클라이언트를 등록해 주십시오.
      [On-premise HSM] lunash:> client register -client <clientname> -hostname <hostname> 
      
      [On-premise HSM] lunash:> client register -client <clientname> -ip <ip>
      
      인자설명
      clientname클라이언트 이름
      hostname클라이언트의 호스트명
      ip네이버 클라우드 플랫폼 HSM 클라이언트 서버의 공인 IP
    6. 5번 절차에서 hostname으로 등록한 경우, hostname에 공인 IP를 연결해 주십시오.
      [On-premise HSM] lunash:> client hostip map -client <clientname> -ip <ip>
      [On-premise HSM] lunash:> client hostip show
      lient Name         Host Name                     Host IP
      ----------------------------------------------------------------------
      ncpHsm              ncpHsm                        x.x.x.x
      
    7. 생성한 클라이언트에 사용할 파티션을 연결해 주십시오.
      [On-premise HSM] lunash:> client assignPartition -client <clientname> -partition <partitionname>
      
      ClientID: ncpHsm
      Hostname: ncpHsm
      partitions: "onpremise"
      

    On-premise HSM 연결 확인

    네이버 클라우드 플랫폼 HSM 클라이언트에서 On-premise HSM이 연결되었는지 확인하는 방법은 다음과 같습니다.

    1. HSM 클라이언트에 접속하여 On-premise HSM 파티션이 생성되었는지 확인해 주십시오.
      [root@ncpVpcServer bin]# ./vtl verify
      vtl (64-bit) v10.3.0-275. Copyright (c) 2020 SafeNet. All rights reserved.
      
      The following Luna SA Slots/Partitions were found:
      
      Slot	Serial #        	Label
      ====	================	=====
        - 	   ************* 	onpremise
        - 	   ************* 	ncpPartition
      
    2. On-premise HSM과 HSM 클라이언트 간에 데이터 동기화를 하려면 HA를 구성해 주십시오.
      • HA 구성에 대한 자세한 내용은 HA 구성를 참고해 주십시오.

    이 문서가 도움이 되었습니까?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.