硬件安全模块（HSM）可能是一个复杂但重要的需要维护的安全基础设施。检查 HSM 的功能需要完成一些日常任务，并且还必须完成一些任务来升级 HSM 以确保最新的补丁到位。

这看起来是一项艰巨的任务，但实际上是一个相对简单的过程。其中更复杂的部分之一是处理与 HSM 集成的其他基础设施部分的先决任务。

今天，我们将介绍如何升级 Thales Luna Network HSM 的固件和软件。在此示例中，我们将假设您有一个与 HSM 集成的颁发证书颁发机构，并且使用的 HSM 是基于 PED 的 HSM。

先决条件任务

在更新网络 HSM 软件和固件之前，必须完成许多先决任务，特别是当您的 HSM 连接到生产环境中的客户端时。对于此示例，我们假设您的 HSM 连接到生产环境中的证书颁发机构 (CA) 。

完成任何硬件升级的第一步是确保在非侵入式的时间内完成升级，并采取适当的安全预防措施。如果升级因某种原因失败，则可能会对组织造成重大损害。

安全预防措施，例如确保 HSM 和 CA 位于高可用性集群中，这可确保如果某个升级失败，其他 CA/HSM 可以在诊断问题时接管。此外，应对 HSM 进行备份，并应通知适当的团队有关 CA 或 HSM 短期内无法连接的可能性。 

处理完这些任务后，必须完成某些 HSM 和公钥基础设施任务。应在升级之前生成或更新证书吊销列表 (CRL ) 。这将保护公钥基础设施 (PKI) 在诊断和修复问题时免受升级过程中可能出现的任何问题的影响。以下步骤是如何从 Microsoft PKI 颁发 CRL 的示例。

• 首先，我们必须通过检查 PKIView.msc 确保证书颁发机构正在运行。
• 接下来，我们从 PKIView.msc 打开证书颁发机构。
• 现在，导航到已吊销的证书文件夹。

• 右键单击已吊销的证书文件夹，然后选择“所有任务”和“发布”

  

• 然后，选择 CRL 并发布。

  

• 最后，要检查 CRL 是否已正确续订，请打开命令提示符并运行 PKIView.msc，展开“颁发 CA”选项卡并检查 CDP 点的到期日期。

                              

此外，还必须有一个系统能够将软件包传输到HSM进行升级。这包括必须到位的任何防火墙规则，以允许将软件包传输到 HSM。如果该步骤不可能，团队成员必须使用交叉电缆直接物理访问 HSM，以允许将软件包传输到 HSM 进行升级。

升级规划

计划升级 HSM 时，拥有正确的路径非常重要。确保满足所有先决条件并成为您计划的一部分应该是您的第一步。之后，应确定正确的升级路径。这意味着，如果您使用的是非常旧版本的 HSM 软件（例如 6.0），则必须执行特定路径才能获取最新版本的软件。

不能直接从6.0版本升级到7.7版本，必须先升级到6.5版本，然后升级到7.0版本，然后才能升级到7.7版本。这只是升级路径的一个示例。

最后，应制定回滚计划，以便在软件升级失败时，您可以回滚到 HSM 的正确版本。另外，在升级之前应该已经设计好灾难恢复计划，就像升级时出现重大问题一样，需要恢复HSM。

从网络连接升级

既然先决步骤已经完成，我们可以专注于实际的升级本身。本节重点介绍如果网络已正确设置 HSM 并且您有可以访问 HSM 以传输升级文件的客户端或系统，则升级过程。如果您需要使用交叉电缆方法，请跳至下一节。以下是升级 HSM 软件和固件所需的一系列步骤。

1. 转移.使用以下命令将 spkg 文件更新到 HSM：C:\Program Files\SafeNet\LunaClient>: pscp lunasa_update-7.7.0-317.spkg admin@<HSM IP>：
2. 通过 SSH 登录 HSM：C:\Program Files\SafeNet\LunaClient>: ssh admin@<HSM IP>
3. 以 HSM 安全官 (SO) 身份登录：lunash>：hsm 登录
4. 按照 PED 上的提示以 SO 身份登录。
5. 检查包是否已成功传输到 HSM： lunash>: package listfile
6. 使用文件 lunasa_update-7.7.0-317.auth 中的授权码验证软件包： lunash>: package verify lunasa_update-7.7.0-317.spkg -a <authentication code string>
7. 更新软件：lunash>：package update lunasa_update-7.7.0-317.spkg -a <验证码字符串>
8. 如果软件更新没有自动重新启动 HSM，请运行以下命令： lunash>: sysconf Appliance restart
9. 通过 SSH重新连接到 HSM：C:\Program Files\SafeNet\LunaClient>: ssh admin@<HSM IP>
10. 升级固件：lunash>：hsm固件升级
11. 验证固件是否已升级：lunash>: hsm show

是确保在非侵入式的时间内完成升级，并采取适当的安全预防措施。如果升级因某种原因失败，则可能会对组织造成重大损害。

安全预防措施，例如确保 HSM 和 CA 位于高可用性集群中，这可确保如果某个升级失败，其他 CA/HSM 可以在诊断问题时接管。此外，应对 HSM 进行备份，并应通知适当的团队有关 CA 或 HSM 短期内无法连接的可能性。 

处理完这些任务后，必须完成某些 HSM 和公钥基础设施任务。应在升级之前生成或更新证书吊销列表 (CRL ) 。这将保护公钥基础设施 (PKI) 在诊断和修复问题时免受升级过程中可能出现的任何问题的影响。以下步骤是如何从 Microsoft PKI 颁发 CRL 的示例。

• 首先，我们必须通过检查 PKIView.msc 确保证书颁发机构正在运行。
• 接下来，我们从 PKIView.msc 打开证书颁发机构。
• 现在，导航到已吊销的证书文件夹。

• 右键单击已吊销的证书文件夹，然后选择“所有任务”和“发布”

  
  

从直接连接升级

本节重点介绍尚未为 HSM 设置网络时的升级过程。如果是这种情况，则需要使用交叉电缆将文件传输到 HSM。这需要直接连接到 HSM。以下是升级 HSM 软件和固件所需的一系列步骤。

1. 将交叉电缆连接到任意 eth 端口。

   

2. 在计算机上设置 IP 地址：控制面板 > 网络和 Internet > 网络和共享中心 > 左键单击以太网连接 > 属性 > Internet 协议版本 4 (TCP/IPv4)。选择“属性”按钮并更新计算机的静态 IP 地址。使用下面的图像作为指导。

                                                                                                                                          

3. 以管理员身份串行连接到 HSM：

   
4. 使用相同的网关和网络掩码设置 HSM 的 IP 地址： lunash>: network interface static -device eth0 -ip 192.168.1.3 -netMASk 255.255.255.0 -gateway 192.168.1.1
5. 重新启动 HSM： lunash>: sysconf Appliance restart
6. 从 Thales 下载 lunaclient 软件版本。

7. 解压该文件，您应该会看到其中的四个文件：

   
8. 打开管理员命令提示符并转到 LunaClient 目录：C:\>: cd C:\Program Files\SafeNet\LunaClient
9. 转移. spkg 更新文件到 HSM：C:\Program Files\SafeNet\LunaClient>: pscp lunasa_update-7.7.0-317.spkg admin@192.168.1.3 ：

10. 以管理员身份连续重新登录 HSM：

    
11. 以 HSM 安全官 (SO) 身份登录： lunash:> hsm login
12. 按照 PED 上的提示以 SO 身份登录。
13. 检查包是否已成功传输到 HSM： lunash:> package listfile
14. 使用文件 lunasa_update-7.7.0-317.auth 中的授权代码验证软件包： lunash:> package verify lunasa_update-7.7.0-317.spkg -a
15. 更新软件： lunash:> package update lunasa_update-7.7.0-317.spkg -a
16. 如果软件更新没有自动重新启动 HSM，请运行以下命令： lunash:> sysconf Appliance restart
17. 在执行以下操作后，以管理员身份重新登录 HSM，并以 SO（蓝键）身份登录： lunash>: hsm login
18. 按照 PED 上的提示进行操作。
19. 升级固件：lunash:>hsm固件升级

20. 验证固件是否已升级：lunash:> hsm show

升级后任务

现在 HSM 的固件和软件均已升级，需要执行一些升级后任务。首先，我们必须通过 SSH 重新登录HSM，并使用以下命令检查升级是否成功：Lunash>: Hsm show

升级HSM后的另一个重要步骤是颁发CRL，以确保升级过程后可以正确部署CRL。

• 首先，我们必须通过检查 PKIView.msc确保证书颁发机构正在运行。
• 接下来，我们从 PKIView.msc 打开证书颁发机构。
• 现在，导航到已吊销的证书文件夹。

• 右键单击已吊销的证书文件夹，然后选择“所有任务”和“发布”

  

• 然后，选择 CRL 并发布。

  

• 最后，要检查 CRL 是否已正确续订，请打开命令提示符并运行 PKIView.msc，展开“颁发 CA”选项卡并检查 CDP 点的到期日期。

                              

除了这些特定的升级后任务之外，还有许多不同的任务应在使用的 HSM 的生命周期内持续完成。监控 HSM 是一项必须始终完成的重要任务。

负责 HSM 的团队应该确保每天不会出现影响生产服务的中断。此外，HSM 监控团队还应及时了解泰雷兹发布的 HSM 软件和固件的最新版本。这将确保使用中的 HSM 始终使用Thales可能提供的最新安全补丁和错误修复进行升级。

结论

如您所见，升级 Thales Network HSM的过程并不像看起来那么困难。每当您需要升级软件或固件时，都可以遵循这些步骤，只需对先决条件和升级后步骤进行细微更改，具体取决于可能与您的 HSM 集成的应用程序或其他基础设施部分的类型。

如果您需要 HSM 配置、DR 规划或应用程序登录到 HSM，请联系我们揽阁信息。我们作为Thales的合作伙伴，多年来已为众多客户提供了Thales各种HSM、CipherTrust数据安全平台（CDSP）、身份认证等产品，基于这些产品为客户定制的解决方案也已被客户采纳和实施。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Thales ProtectServer 3 HSM–推出新款密码键盘（PIN Pad）

• PCI DSS 4.0：合规倒计时 – 第 1 和第 2 阶段的路线图

• Thales和DigiCert如何防范软件供应链攻击

• Luna HSM v7.8.7 和 Luna HSM Universal Client v10.7.1 现已推出

• Thales Luna HSM：首款通过 FIPS 140-3 Level 3验证的硬件安全模块