On-premise HSM 연동
- 인쇄
- PDF
On-premise HSM 연동
- 인쇄
- PDF
기사 요약
이 요약이 도움이 되었나요?
의견을 보내 주셔서 감사합니다.
기존에 사용 중인 On-premise HSM과 네이버 클라우드 플랫폼의 Hardware Security Module을 연동하는 방법을 설명합니다.
On-premise HSM과 네이버 클라우드 플랫폼 Hardware Security Module의 연동 구성도는 다음과 같습니다.
전제 조건
On-premise HSM과의 연동을 시작하기 전, 다음의 전제 조건을 준수해 주십시오.
- 네이버 클라우드 플랫폼 콘솔에서 HSM 생성, 연결 생성 완료
- HSM 클라이언트 서버는 VPC 상에 위치
On-premise HSM 연동 설정
On-premise HSM과의 연동을 설정하려면 다음 작업을 수행해 주십시오.
- HSM 클라이언트 인증서 체인 등록: On-premise HSM에 HSM 클라이언트 인증서 체인을 등록
- HSM 클라이언트 등록: On-premise HSM에 HSM 클라이언트를 등록
- On-premise HSM 연결 확인: HSM 클라이언트에서 On-premise HSM 연결 확인
HSM 클라이언트 인증서 체인 등록
On-premise HSM에 네이버 클라우드 플랫폼 HSM 클라이언트 인증서 체인을 등록하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 HSM 클라이언트의 인증서 체인을 다운로드해 주십시오.
- 다운로드한 파일을 압축 해제하여 내용을 확인해 주십시오.
-rw-r--r--@ 1 user staff 1.6K 11 18 16:09 HSM.pem -rw-r--r--@ 1 user staff 1.2K 11 18 16:09 HsmRootCA.pem
- 인증서 파일을 On-premise HSM 장비에 전송해 주십시오.
# scp HSM.pem admin@<On-premise HSM>: # scp HsmRootCA.pem admin@<On-premise HSM>:
- 전송된 파일을 On-premise HSM에서 확인해 주십시오.
[On-premise HSM] lunash:> my file list 1219 Nov 18 16:11 HsmRootCA.pem 1463 Nov 18 16:11 HSM.pem
- 4번 절차에서 받은 파일을 On-premise HSM의 클라이언트 인증서 체인으로 등록해 주십시오.
[On-premise HSM] lunash:> client addCA HsmRootCA [On-premise HSM] lunash:> client addCA HSM
- 등록한 인증서를 확인해 주십시오.
[On-premise HSM] lunash:>client listCA HSM subject= /C=KR/ST=Gyeonggido/L=Sungnamsi/O=NAVERCloudCorp./CN=HSM issuer= /O=Naver Cloud Platform/CN=hsmRootCA hsmRootCA subject= /O=Naver Cloud Platform/CN=hsmRootCA issuer= /O=Naver Cloud Platform/CN=hsmRootCA
HSM 클라이언트 등록
네이버 클라우드 플랫폼 HSM 클라이언트를 On-premise HSM의 클라이언트로 등록하는 방법은 다음과 같습니다.
- 네이버 클라우드 플랫폼 콘솔에서 Services > Security > Hardware Security Module > Connection 메뉴를 차례대로 클릭해 주십시오.
- 연결 목록에서 On-premise HSM과 연결하려는 HSM 클라이언트를 선택한 후 [HSM 연결 관리] 버튼을 클릭해 주십시오.
- HSM 연결 관리 팝업 창에서 인증서 [다운로드] 버튼을 클릭하여 서명된 인증서 또는 서명자 인증서를 다운로드해 주십시오.
- 다운로드한 인증서를 On-premise HSM에 전송해 주십시오.
# scp <connectionCert>.pem admin@<On-premise HSM>:
- On-premise HSM에서 HSM 클라이언트를 등록해 주십시오.
[On-premise HSM] lunash:> client register -client <clientname> -hostname <hostname> [On-premise HSM] lunash:> client register -client <clientname> -ip <ip>
인자 설명 clientname 클라이언트 이름 hostname 클라이언트의 호스트명 ip 네이버 클라우드 플랫폼 HSM 클라이언트 서버의 공인 IP - 5번 절차에서 hostname으로 등록한 경우, hostname에 공인 IP를 연결해 주십시오.
[On-premise HSM] lunash:> client hostip map -client <clientname> -ip <ip> [On-premise HSM] lunash:> client hostip show lient Name Host Name Host IP ---------------------------------------------------------------------- ncpHsm ncpHsm x.x.x.x
- 생성한 클라이언트에 사용할 파티션을 연결해 주십시오.
[On-premise HSM] lunash:> client assignPartition -client <clientname> -partition <partitionname> ClientID: ncpHsm Hostname: ncpHsm partitions: "onpremise"
On-premise HSM 연결 확인
네이버 클라우드 플랫폼 HSM 클라이언트에서 On-premise HSM이 연결되었는지 확인하는 방법은 다음과 같습니다.
- HSM 클라이언트에 접속하여 On-premise HSM 파티션이 생성되었는지 확인해 주십시오.
[root@ncpVpcServer bin]# ./vtl verify vtl (64-bit) v10.3.0-275. Copyright (c) 2020 SafeNet. All rights reserved. The following Luna SA Slots/Partitions were found: Slot Serial # Label ==== ================ ===== - ************* onpremise - ************* ncpPartition
- On-premise HSM과 HSM 클라이언트 간에 데이터 동기화를 하려면 HA를 구성해 주십시오.
- HA 구성에 대한 자세한 내용은 HA 구성를 참고해 주십시오.
이 문서가 도움이 되었습니까?