$ telnet www.keepersecurity.com 443
Trying 52.204.60.27
Connected to www.keepersecurity.com.
Escape character is '^]'.
$ telnet push.services.keepersecurity.com 443
Trying 52.44.0.141...
Connected to push.services.keepersecurity.com.
Escape character is '^]'.
$ ssh <HSMのIPアドレス(ip address of the HSM)>
password: <管理者パスワード(admin-password)>
Linux固有の要件
CentOS 6または7を推奨しますが、以下の操作を追加すれば、Ubuntuでも実行できます。
UBUNTUのみ:
$ sudo apt-get install zip unzip # used by the Luna installer
$ sudo apt-get install alien # used by the Luna installer to convert .rpm files
$ sudo apt-get install gcc-multilib # Because some Luna programs are 32-bit
$ luna
lunacm (64-bit) v7.3.0-165.Copyright (c) 2018 SafeNet.All rights reserved.
lunacm:> clientconfig deploy -n <HSMのIPアドレス(hsm-ip-address)> -c <一意の文字列(unique-string)> -par <パーティション名(partition-name)> -ur admin -pw <HSMの管理者パスワード(hsm-admin-password)> -v
... make sure it finishes successfully
Available HSMs:
Slot Id -> 0
Label -> [ご利用のパーティション名]
Serial Number -> 12345678987654321
Model -> LunaSA 7.3.0
Firmware Version -> 7.3.0
Configuration -> Luna User Partition With SO (PW) Key Export With Cloning Mode
Slot Description -> Net Token Slot
Current Slot Id:0
lunacm:>role login -n co
enter password: クリプトオフィサーのパスワード
Command Result :No Error
lunacm:>par con # パーティションの内容を表示
lunacm:>exit
$ java -jar SSOConnect.jar -config
... 通常のSSO Connect設定の質問...
Configure Secure Key Storage (y/N): y
IMPORTANT:Make sure that this server is already connected to a networked HSM or other secure key storage device.
Type of Secure Key Storage (Gemalto SafeNet Luna HSM): <return>
Secure storage device access parameters (slot,password): <return>
slot:0
password: クリプトオフィサーのパスワード
A certificate chain is required in order to store an encryption key.
You may use the SSL certificate file entered previously, or use a different one.
Certificate chain file (/home/ubuntu/keeperSSO/data/sso_keystore.jks): <return>
Certificate chain file password (none): <return>
1 certificates found
Enable Secure Key Storage (Y/n): y
$ sudo /usr/safenet/lunaclient/bin/lunacm
luna> role login -n co
(パスワードを入力)
luna> par con
このHSMを過去にKeeperで使用したことがある場合は、Keeper SSO Properties 514320201573のような名前の既存の鍵があるはずです。
Java 1.8またはJava 11が利用可能であることを確認します。
$ java -version
java version "1.8.0_201"
Java(TM) SE Runtime Environment (build 1.8.0_201-b09)
Java HotSpot(TM) 64-Bit Server VM (build 25.201-b09, mixed mode)
Lunaライブラリが利用可能であることを確認します。
$ ls sso_connect/*Luna*
libLunaAPI.so LunaProvider.jar
エラーは、「セキュアキーストレージが使用できません(Unable to use Secure Key Storage)」といったパターンになります。これは、以下のいずれかの問題を示しています。
a.Network problem accessing the HSM
-「設定のトラブルシューティング」の手順2を実行して、HSMへのアクセスをご確認ください。
b.data/sks.properties is missing
-data/sks.propertiesがない場合は、SSOConnectを再設定する必要があります。
c.The encrypted property files are missing
-data/instance.encpとdata/shared.encpの有無を確認します。
d.The encryption key is missing from the HSM
-HSMパーティションが消去された可能性があります。 SSOConnectを再設定する必要があります。
e.The server may be out of disk space
-ディスク領域を一部消去します。
f.The encryption algorithm used is not supported on the HSM
-アルゴリズムは、AES/GCM/NoPaddingです。 デバイスの販売業者にお問い合わせください。
g.The file data/sso-keystore.jks is missing
-このプログラムは、sso_keystore.jksファイルからの証明書チェーンがないと、HSMに鍵を保管できません。
ファイルを検索し、データフォルダにあることをご確認ください。