HSM 연결
    • PDF

    HSM 연결

    • PDF

    기사 요약

    HSM 연결에서는 Connection 화면의 구성에 대해 소개하고 HSM을 생성한 상태에서 클라이언트 서버에 연결하는 방법을 설명합니다.

    Connection 화면

    Connection 화면은 다음과 같이 구성되어 있습니다.
    hsm-connect_screen_ko

    영역설명
    ① 메뉴명현재 확인 중인 메뉴명
    ② 기본 기능Connection 메뉴 최초 진입 시 표시되는 기능
    • [연결 생성] 버튼: 클릭하여 새로운 HSM 연결 생성
    • [상품 더 알아보기] 버튼: 클릭하여 Hardware Security Module 소개 페이지로 이동
    • [새로 고침] 버튼: 클릭하여 페이지 새로 고침
    ③ 생성 후 기능Connection 생성 후 제공되는 기능
    ④ Connection 목록생성된 연결 목록
    • Connection Tag: 연결의 고유 식별자
    • 서버 명: 연결이 시작되는 서버의 이름
    • HSM Tag: 연결 시 매핑된 HSM의 고유 식별자
      • 다수의 HSM과 매핑되었을 경우 '+n' 표시
    • 등록일시: 연결을 최초로 생성한 일시

    HSM 클라이언트 서버 생성

    HSM 연결을 생성하기 전에, 먼저 HSM 클라이언트를 별도의 서버에 설치해 주십시오. 클라이언트 서버를 구축하기 위해 진행할 단계는 다음과 같습니다.

    1. VPC 생성
    2. 서버 생성 및 설정

    1. VPC 생성

    전용 사설 네트워크인 VPC가 없다면 새로 생성해 주십시오.
    VPC 및 Subnet을 먼저 생성하고, Network ACL을 통해 방화벽을 설정해야 합니다.
    자세한 내용은 VPC 사용 가이드를 참고해 주십시오.

    2. 서버 생성 및 설정

    네이버 클라우드 플랫폼 콘솔에서는 HSM 클라이언트인 SafeNet Luna Client가 설치된 CentOS 서버 이미지가 제공됩니다. 해당 서버 이미지를 사용하여 간편하게 클라이언트 서버를 구축할 수 있습니다.

    참고

    Ubuntu 또는 Windows 서버를 생성하려면, 서버를 생성한 후 스크립트를 사용해 직접 클라이언트를 설치해야 합니다. 자세한 내용은 다음의 사용 가이드를 참고해 주십시오.

    SafeNet Luna Client가 설치된 CentOS 서버를 생성하고 설정하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔에서 Services > Compute > Server 메뉴를 차례대로 클릭해 주십시오.
    2. [서버 생성] 버튼을 클릭한 후 화면의 안내를 따라 서버를 생성해 주십시오.
      • 서버 이미지 선택 시 이미지 타입을 Application, 애플리케이션 이미지 타입을 Luna HSM으로 선택해야 합니다.
      • 생성 방법에 대한 자세한 내용은 서버 생성을 참고해 주십시오.
    3. 서버 생성이 완료되면 해당 서버에 접속해 주십시오.
      • 접속 방법에 대한 자세한 내용은 서버 접속을 참고해 주십시오.
    4. 다음 명령을 실행하여 HSM Pool이 정상적으로 등록되었는지 확인해 주십시오.
      [root@hsm-test ~]# /usr/safenet/lunaclient/bin/vtl listservers
      
      Server: xxx.xxx.xxx.xxx
      Server: fin-hsm001
      
    5. 인증서를 생성하기 위해 다음 명령을 실행하여 개인 키와 CSR(Certificate Signing Request) 파일을 생성해 주십시오.
      • <예시> Luna Client의 유틸리티인 VTL을 이용하여 Common Name이 {serverInstanceNo}-hsm인 개인 키 및 CSR 생성
      [root@hsm-test ~]# /usr/safenet/lunaclient/bin/vtl createCSR -n $(curl 169.254.169.254/latest/meta-data/serverInstanceNo)-hsm
      vtl (64-bit) v10.3.0-275. Copyright (c) 2020 SafeNet. All rights reserved.
      
      Private Key created and written to: /usr/safenet/lunaclient/cert/client/374589-hsmKey.pem
      Certificate CSR created and written to: /usr/safenet/lunaclient/cert/client/374589-hsmCSR.pem
      
      참고
      • vtl createCSR -n {hostname}으로 생성한 호스트명은 장비 내에서 유일한 값을 가져야 합니다.(Thales 공식 가이드 참고)
      • 예시에 표시된 {serverInstanceNo}-hsm 외에 장비 내에서 유일한 다른 값을 사용해도 됩니다.
    6. 다음 명령을 실행하여 생성된 CSR 데이터를 확인해 주십시오.
      • 콘솔에서 연결 생성 시 CSR 데이터가 필요하므로 해당 값을 복사해 두십시오.
      [root@hsm-test ~]# cat /usr/safenet/lunaclient/cert/client/374589-hsmCSR.pem
      -----BEGIN CERTIFICATE REQUEST-----
      MIICpzCCAY8CAQAwYjELMAkGA1UEBhMCS1IxDzANBgNVBAgTBnRlc3R4eDEPMA0G
      A1UEBxMGdGVzdHh4MQ8wDQYDVQQKEwZ0ZXN0eHgxDzANBgNVBAsTBnRlc3R4eDEP
      MA0GA1UEAxMGdGVzdHh4MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA
      ....(중략)
      oCMbQM20P/WryOKLTPJ97ImozqWj9PKOHQDpeiRuOxpTjI2JDspvikT8P657hPQY
      8EZe3t1cwIIJM5L5spxcFCBY6L2gjWR8tiEPWIB+06N1KbG2oOybW+Uul7Ik6CUt
      TPc0QTo8xYm+Msw=
      -----END CERTIFICATE REQUEST-----
      

    연결 생성

    HSM 클라이언트 서버가 준비된 상태에서 HSM 연결을 생성하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔에서 Services > Security > Hardware Security Module 메뉴를 차례대로 클릭해 주십시오.
    2. Connection 메뉴를 클릭해 주십시오.
    3. [연결 생성] 버튼을 클릭해 주십시오.
    4. 연결 생성을 위한 기본 정보를 입력해 주십시오.
      • VPC: HSM 클라이언트 서버가 배치된 VPC 선택
      • 서버명: 생성한 HSM 클라이언트 서버 선택
      • HSM Tag: 연결하려는 HSM Tag 선택
      • CSR: 서버에서 확인한 CSR 데이터 입력. 복사해 둔 pem 포맷의 스트링 그대로 붙여 넣기
    5. 입력을 완료했다면 [생성] 버튼을 클릭해 주십시오.
      • 연결이 생성되어 Connection 목록에 표시됩니다.
    6. Connection 목록에서 생성된 연결을 선택한 후 [인증서 확인] 버튼을 클릭해 주십시오.
    7. 인증서 상세 정보 팝업 창에서 인증서 본문 옆의 [다운로드] 버튼을 클릭해 주십시오.
      • 인증서 파일이 다운로드됩니다.
      • 팝업 창에 표시된 인증서 본문을 복사해서 서버 인증서 파일에 붙여 넣을 수도 있습니다.
    8. HSM 클라이언트 서버에 접속하여 /usr/safenet/lunaclient/cert/client/ 경로에 인증서 파일을 저장해 주십시오.
      • 인증서 파일명 형식: {Common Name}.pem
      • <예시> Common Name이 '374589-hsm'일 경우
      [root@hsm-test ~]# mv ./374589-hsm.pem /usr/safenet/lunaclient/cert/client/
      
      • 동일 경로에 인증서와 개인 키(파일명 형식: {Common Name}Key.pem)가 모두 위치하는지 확인해 주십시오.
      • <예시> Common Name이 '374589-hsm'일 경우
      [root@hsm-test client]# pwd
      /usr/safenet/lunaclient/cert/client
      [root@hsm-test client]# ls
      374589-hsmKey.pem  374589-hsm.pem
      
    9. SafeNet Luna Client를 실행하여 HSM이 정상적으로 매핑되었는지 확인해 주십시오.
      • HSM 고유 식별자인 HSM Tag 뒷부분에 표시되는 시리얼 번호가 도출되어야 합니다.
      • <예시> HSM Tag가 'b1f83780-d3d99e8o-1451531153118'일 경우
      [root@hsm-test bin]# ./vtl verify
      vtl (64-bit) v10.3.0-275. Copyright (c) 2020 SafeNet. All rights reserved.
      
      
      The following Luna SA Slots/Partitions were found:
      
      Slot	Serial #        	Label
      ====	================	=====
         0	   1451531153118
      
      참고

      HSM Tag는 콘솔의 Services > Security > Hardware Security Module > HSM 메뉴에서 확인할 수 있습니다.

    10. 콘솔의 HSM 메뉴에서 연결 상태가 정상적으로 반영되었는지 확인해 주십시오.
      • HSM 목록에서 해당 항목이 운영중 상태로 표시되어야 합니다.

    연결 관리

    HSM 매핑 상태를 확인하고 연결을 관리할 수 있습니다. 연결을 관리하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔에서 Services > Security > Hardware Security Module 메뉴를 차례대로 클릭해 주십시오.
    2. Connection 메뉴를 클릭해 주십시오.
    3. 연결 목록에서 원하는 연결을 선택한 후 [HSM 연결 관리] 버튼을 클릭해 주십시오.
    4. HSM 연결 관리 팝업 창에서 현재 매핑된 HSM을 확인하고, 필요시 설정을 변경해 주십시오.
      • HSM 매핑을 추가하려면 연결하고자 하는 HSM Tag를 선택하세요 드롭다운 목록을 클릭하여 원하는 HSM 선택 후, [추가] 버튼을 클릭해 주십시오.
      • 기존 HSM 매핑을 삭제하려면 해당 HSM Tag 오른쪽의 [삭제] 버튼을 클릭해 주십시오.

    인증서 확인

    연결에 설정된 인증서 정보를 확인하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔에서 Services > Security > Hardware Security Module 메뉴를 차례대로 클릭해 주십시오.
    2. Connection 메뉴를 클릭해 주십시오.
    3. 연결 목록에서 원하는 연결을 선택한 후 [인증서 확인] 버튼을 클릭해 주십시오.
    4. 인증서 상세 정보 팝업 창에서 인증 정보를 확인해 주십시오.
      • [다운로드] 버튼을 클릭하면 서명된 인증서 또는 서명자 인증서를 다운로드할 수 있습니다.

    연결 삭제

    생성된 연결을 삭제하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔에서 Services > Security > Hardware Security Module 메뉴를 차례대로 클릭해 주십시오.
    2. Connection 메뉴를 클릭해 주십시오.
    3. 연결 목록에서 원하는 연결을 선택한 후 [삭제] 버튼을 클릭해 주십시오.
      • 연결이 즉시 삭제되며 모든 매핑이 해제됩니다.
      • 다수의 HSM을 매핑한 경우 재확인 팝업 창에서 [삭제] 버튼을 다시 클릭하면 삭제됩니다.

    이 문서가 도움이 되었습니까?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.