SUMÁRIO OBJETIVO... 3 INSTALAÇÃO E CONFIGURAÇÃO DO CLIENTE DO HSM SAFENET... 3 INSTALAR E CONFIGURAR CLIENTE DO HSM SAFENET NO SERVIDOR DE PORTAL E MENSAGERIA... 3 IMPORTAÇÃO DO PFX (PKCS #12) PARA O HSM SAFENET... 8 CONFIGURAÇÃO DO PORTAL MASTERSAF DFE V3... 10 SUPORTE TÉCNICO... 11 2
OBJETIVO Este manual tem como objetivo auxiliar na instalação e configuração do cliente HSM Safenet, bem como na configuração do MASTERSAF DFE V3 para utilização do certificado digital armazenado no HSM Safenet. Todas as informações do HSM Safenet foram retiradas dos manuais do fornecedor e foi homologada a versão 5.4 do Luna Client. Há algumas restrições quanto a sistemas operacionais (como por exemplo: utilização no Windows 10/Server 2016, que não são homologados). Para informações sobre os sistemas operacionais homologados, consulte a página nove do documento: http://www.securedbysafenet.com/releasenotes/luna/crn_luna_hsm_5-4.pdf INSTALAÇÃO E CONFIGURAÇÃO DO CLIENTE DO HSM SAFENET INSTALAR E CONFIGURAR CLIENTE DO HSM SAFENET NO SERVIDOR DE PORTAL E MENSAGERIA PRÉ-REQUISITOS DO HSM SAFENET Acesso à internet; Pacote do LunaClient instalado; Portas 1792 e 22 abertas entre o HSM e o servidor. INSTALAÇÃO DO HSM SAFENET Para exemplificar a instalação e configuração do HSM Safenet, iremos usar o ambiente elab da Safenet, um ambiente fornecido pelo próprio fornecedor para testes. 3
1. Efetue o download do LunaCliente no servidor/computador que efetuará a conexão com o HSM através do portal de suporte da Gemalto (é necessário informar as credenciais da sua empresa para efetuar o download); 2. Instale o LunaClient com a opção Luna SA : 3. Após a instalação, abra uma janela do Prompt de Comando, executando como Administrador; 4. Navegue até a pasta de instalação, por padrão é C:\Program Files\SafeNet\LunaClient ; 5. Copie o certificado de comunicação NTLS do HSM para a sua máquina. Será necessário fornecer as credenciais de SSH do equipamento: C:\Program Files\SafeNet\LunaClient> pscp.exe <login>@<ip do HSM>:server.pem server.pem 4
a. Login: Usuário com acesso SSH ao servidor HSM; b. IP do HSM: IP ou Hostname que identifique o servidor HSM. C:\Program Files\SafeNet\LunaClient> pscp.exe thomsonreuters@elab5.safenet-inc.com:server.pem server.pem 6. Adicione o Luna na lista do LunaClient: C:\Program Files\SafeNet\LunaClient> vtl.exe addserver n <IP do HSM> -c server.pem a. IP do HSM: IP ou Hostname que identifique o servidor HSM. C:\Program Files\SafeNet\LunaClient> vtl.exe addserver n elab5.safenet-inc.com -c server.pem 7. Crie um certificado do servidor para a comunicação segura com o Luna. Utilize seu IP externo: C:\Program Files\SafeNet\LunaClient> vtl.exe createcert n <IP Externo> a. IP Externo: IP externo da rede da sua empresa (IP fornecido pela sua provedora de internet). Esta informação pode ser obtida através do administrador de rede da sua empresa. Para objetivos de teste, pode ser obtido através do site http://www.meuip.com.br/. C:\Program Files\SafeNet\LunaClient> vtl.exe createcert n 200.101.115.177 5
8. Envie o certificado criado para o Luna: C:\Program Files\SafeNet\LunaClient> pscp.exe.\cert\client\<ip Externo>.pem <login>@<ip do HSM>: a. IP Externo: IP externo obtido no passo anterior; b. Login: Usuário com acesso SSH ao servidor HSM; c. IP do HSM: IP ou Hostname que identifique o servidor HSM. C:\Program Files\SafeNet\LunaClient> pscp.exe.\cert\client\200.101.115.177.pem thomsonreuters@elab5.safenetinc.com: 9. Para finalizar, é necessário copiar o arquivo C:\Program Files\SafeNet\LunaClient\JSP\lib\ LunaAPI.dll para o diretório C:\Windows\System32 (em alguns casos, é necessário reiniciar a máquina para carregar a DLL). VALIDAÇÃO DA COMUNICAÇÃO DO HSM SAFENET 1. Após a instalação do LunaClient, utilize o PuTTY (existente no diretório de instalação do LunaClient) para acessar o HSM via SSH, fornecendo o IP do HSM para acesso; 2. Para fazer o login é necessário utilizar as credenciais de SSH fornecidos pelo seu administrador; 3. Registre o servidor onde o Luna foi instalado com o seguinte comando: [local_host] lunash:> client register client <IP Externo> -ip <IP Externo> a. IP Externo: IP externo obtido na fase de instalação. 6
[local_host] lunash:> client register client 200.101.115.177 ip 200.101.115.177 4. Associe a partição criada previamente por seu administrador com o servidor cadastrado acima: [local_host] lunash:> client assignpartition client <IP Externo> - partition <Nome da Partição> a. IP Externo: IP externo obtido no passo anterior; b. Nome da Partição: Nome da partição fornecida pelo administrador do seu HSM. [local_host] lunash:> client assignpartition client 200.101.115.177 partition elab5par01 5. Desconecte do PuTTY; 6. Para verificar se a configuração foi bem-sucedida, volte para a janela de Prompt de Comando no servidor e execute o comando a seguir, que deve retornar o nome da partição associada nos passos anteriores: C:\Program Files\SafeNet\LunaClient> vtl.exe verify 7
IMPORTAÇÃO DO PFX (PKCS #12) PARA O HSM SAFENET As configurações abaixo se limitam apenas ao computador/servidor que irá instalar o certificado no servidor HSM: 1. Navegue para a pasta C:\Program Files\SafeNet\LunaClient\JSP\lib e copie o arquivo LunaProvider.jar para C:\Program Files\Java\jdk1.6.0_45\jre\lib\ext e também para a pasta C:\Program Files\Java\jdk1.6.0_45\jre\lib\ext ; Obs.: Altere o caminho do Java de acordo com a versão utilizada. 2. Crie uma variável de ambiente com nome CLASSPATH e valor.;c:\program Files\Java\jdk1.6.0_45\jre\lib\ext. Obs.: Ajuste o caminho para a versão do Java utilizada. Não se esqueça do. no começo do caminho. 3. Crie outra variável de ambiente com nome JAVA_HOME e valor C:\Program Files\Java\jdk1.6.0_45. Obs.: Novamente, ajuste o caminho para a versão do Java utilizada. 4. Com um editor de texto, abra o arquivo java.security que se encontra na pasta: C:\Program Files\Java\jdk1.6.0_45\jre\lib\security\. Adicione um security provider "security.provider.11=com.safenetinc.luna.provider.lunaprovider" como abaixo: 8
Obs.: Mais uma vez, ajuste o caminho para a versão do Java utilizada. 5. A partir de agora o Java deve conseguir acessar a partição do HSM. Abra o Prompt de Comando e navegue até a pasta aonde se encontra o arquivo PFX, referente ao certificado que se deseja instalar no HSM (para o exemplo iremos utilizar a pasta: C:\mastersaf\certificados ); 6. Crie um arquivo chamado luna.keystore com o conteúdo slot:1, alterando o número 1 para o número que representa a partição desejada: C:\mastersaf\certificados> echo slot:1 > luna.keystore 7. Utilize o comando keytool existente no Java para efetuar a instalação do certificado no servidor HSM (nome do certificado para o exemplo: thomsonreuters.pfx; chave de exemplo que será usada no portal mais adiante: tsl tecnologia em sistemas de legislacao ): C:\mastersaf\certificados> keytool.exe -importkeystore -srckeystore thomsonreuters.pfx -srcstoretype pkcs12 -destkeystore luna.keystore - deststoretype Luna -destalias "tsl tecnologia em sistemas de legislacao" 9
8. Utilize o comando keytool novamente para listar os objetos existentes na partição: C:\mastersaf\certificados> keytool.exe -list -v storetype Luna - keystore luna.keystore 9. Com isto, finalizamos a instalação do certificado no servidor HSM. CONFIGURAÇÃO DO PORTAL MASTERSAF DFE V3 Segue abaixo os passos necessários para configuração do Portal: 1. Editar a empresa que se deseja utilizar o HSM Safenet; 2. Selecionar a Forma Assinatura HSM Safenet ; 3. Informar os seguintes dados: a. Slot: Informar o slot em que se encontram as informações do certificado (Padrão: 1); b. Senha: Informar a senha da partição em que está vinculado o Slot; c. Chave: Informar o identificador da chave privada e do certificado importados no HSM Safenet. Neste exemplo, o identificador cadastrado é tsl tecnologia em sistemas de legislacao ; 10
SUPORTE TÉCNICO Para dúvidas ou problemas, abra um chamado no Contact Center ou entre em contato com nossa equipe de Suporte Técnico MASTERSAF pelo Telefone: (11) 2159-0600 opção 2 (Atendimento das Soluções DFE). Nosso horário de atendimento é de segunda à sexta-feira de 9h as 18h. 11