Ist Ihr HSM am Ende seiner Lebensdauer (EOL)? Hier erfahren Sie, wie Sie vorankommen können!
Jedes Produkt wird irgendwann das Ende seiner Lebensdauer erreichen und ersetzt werden müssen. Im Falle von HSMs (Hardware-Sicherheitsmodulen), insbesondere wenn sie in einer PKI/CA - einer Public Key Infrastructure Certificate Authority - eingesetzt werden, mag dies entmutigender erscheinen als der Ersatz einfacher Netzwerkgeräte. Der Grund dafür ist, dass das HSM den Root-Schlüssel für die PKI enthält - und den Root-Schlüssel aus dem HSM herauszubekommen, kann eine Herausforderung darstellen.
Nachdem die Zertifikate für die Sub-CAs durch den Root-Key signiert wurden, kann die Partition der Haupt-CA von den Sicherheitsbeauftragten offline genommen werden. Auf diese Partition kann dann nicht mehr ohne Beteiligung eines Security Officers zugegriffen werden - ein viel einfacheres und kostengünstigeres Verfahren als der Transport eines HSM-Geräts in einen physischen Tresor. Ausserdem können Sie mit dem Decanus Remote Administration Terminal Primus HSMs von Ihrem Schreibtisch aus verwalten.
Abhängig von der Einrichtung Ihrer bestehenden PKI funktioniert jede dieser Optionen bei der Migration zu Securosys. Alle diese Prozesse wurden verwendet, um bestehende Systeme erfolgreich auf die Primus HSMs von Securosys und unsere CloudsHSMs zu migrieren.
Dies ist die einfachste Option. Abhängig von der Einrichtung Ihrer PKI, insbesondere den Einstellungen Ihres alten HSM, können Sie den Root-Schlüssel daraus extrahieren. Wenn das möglich ist, ist die empfohlene Methode die Verwendung eines Wrapping-Schlüssels aus Ihrem neuen Securosys Primus HSM. Exportieren Sie unter Verwendung des Wrapping-Key den Root-Key aus Ihrem alten System und importieren Sie ihn in das neue System.
Wenn Ihr Root-Schlüssel nicht exportiert werden kann, dann könnte Option 2 für Sie in Frage kommen.
Als Sie Ihre PKI eingerichtet haben (oder als sie für Sie eingerichtet wurde), haben Sie den Root-Key möglicherweise ausserhalb des HSM generiert, um eine Herstellerbindung zu verhindern und ein Backup zu haben. Wenn Sie ein solches Backup haben - normalerweise auf Papier, in einem Bankschliessfach aufbewahrt - dann können Sie es einfach in Ihr neues Primus HSM importieren.
Sollten Sie kein Backup haben, dann ist Option 3 die Lösung für Sie.
Anstatt den alten Root-Schlüssel zu importieren, können Sie Ihren Root-Schlüssel und Ihr CA-Zertifikat mit einem Schlüssel-Roll-over auf das neue HSM erneuern. Wenn diese Option nicht verfügbar ist, richten Sie einfach eine neue PKI mit einem neuen Root-Schlüssel ein. Von diesem Zeitpunkt an werden alle neuen Zertifikate von der neuen PKI ausgestellt. Abhängig von der Lebensdauer der zuvor ausgestellten Zertifikate und dem Zeitpunkt der Erstellung des letzten Zertifikats müssen Sie Ihr altes System noch ein bis zwei weitere Jahre in Betrieb halten. Das alte System wird nicht mehr für die Erstellung neuer Zertifikate verwendet. Stattdessen wird es nur noch für die Pflege der Zertifikatswiderrufsliste (CRL) und des OCSP (Online Certificate Status Protocol) in Betrieb gehalten. Wenn das letzte Zertifikat aus dem alten System abgelaufen ist, können Sie es einfach abbauen. Sie können den gesamten Prozess auch beschleunigen, indem Sie alle vorhandenen Zertifikate sperren und auf der neuen PKI/CA neu ausstellen und dann eine endgültige CRL für ein paar Jahre aufrechterhalten.
Darüber hinaus könnten Sie auch die Quersignatur der Zertifikate der neuen Unter-CAs in Betracht ziehen. Auf diese Weise würden Sie diese Zertifikate sowohl mit dem Root-Key der neuen CA als auch mit dem Root-Key der alten CA signieren lassen. Dies bietet einen alternativen Vertrauenspfad unter Wahrung der Rückwärtskompatibilität.
Das Primus-System funktioniert gut mit den meisten wichtigen PKI-Anwendungen auf dem Markt, wie z.B. MS ADCS, EJBCA Enterprise (PrimeKey), SwissPKI, Entrust Security Manager und vielen anderen.
Auch wenn im Vorfeld eine gewisse Planung erforderlich ist, können Sie die Vorteile von Primus HSMs in vollem Umfang nutzen, nachdem Sie sich von Ihrem alten System verabschiedet haben. Zu diesen Vorteilen gehören einfaches Clustering, Fernverwaltung und die Möglichkeit, Ihr System durch Implementierung von Geo-Redundanz weiter abzusichern. Wie oben gezeigt, ist die Migration Ihrer PKI zu den Primus HSMs von Securosys einfach.
