Menu Close

8.2. サブシステムでのハードウェアセキュリティーモジュールの使用

CertificateCertificate Systemnbsp;System は、デフォルトで nCipher nShield ハードウェアセキュリティーモジュール(HSM)および Gemalto Safenet LunaSA HSM をサポートします。PKCS # 11 ライブラリーモジュールが指定されたインストールパスにある場合は、modutil コマンドを使用して、CertificateCertificate Systemnbsp;System 対応の HSM が pkcs11.txt データベースに自動的に追加されます。
重要
特定のデプロイメントでは、FIPS モードを使用するように HSM を設定する必要があります。

8.2.1. HSM での FIPS モードの有効化

HSM で FIPS モードを有効にするには、特定の手順については、HSM ベンダーのドキュメントを参照してください。
重要
nCipher HSM
nCipher HSM では、FIPS モードが Security World を生成する場合にのみ有効にできます。これは後で変更することはできません。Security World を生成するにはさまざまな方法がありますが、常に new-world コマンドを使用することが推奨されます。FIPS 準拠の Security World を生成する方法は、nCipher HSM ベンダーのドキュメントを参照してください。
LunaSA HSM
同様に、Luna HSM で FIPS モードを有効にするには、初期構成時に行う必要があります。これは、このポリシーを変更すると、セキュリティー対策として HSM がゼロになるためです。詳細は、Luna HSM ベンダーのドキュメントを参照してください。