前のトピック: 秘密鍵とオペレータ用カードの更新次のトピック: CA APM でのスマート カード認証の使用

CA CEM と nCipher の併用CA CEM と nCipher の併用に関するトラブルシューティング

CA CEM と nCipher の併用に関するトラブルシューティング

CA CEM にインストールした nCipher に関するトラブルシューティングが必要になる場合があります。

症状:

nCipher カードをインストールした後、TIM が開始しない。 または、TIM にインストールした nCipher が動作しない。

解決方法:

  1. [TIM System Setup] - [View nCipher Status]ページを確認します。
  2. TIM 上の nCipher インストールの確認」を参照してください。

症状:

nCipher HSM が予想したとおりに機能しない。

解決方法:

  1. カードがスロットに挿入されるごとに、挿入数が増加します。 このため、カードが正しく挿入されず、再度挿入した場合も、それが挿入数に反映されます。
  2. [TIM System Setup] - [View TIM SSL Server Status]ページを確認します。 「nCipher で保護された Web トラフィックの確認」を参照してください。
  3. /etc/wily/cem/tim/logs/ncipher/preload-log.txt の nCipher ログ情報を確認します。 「TIM の再起動と構成の確認」を参照してください。
  4. TIM ログを確認します。
  5. 鍵を再ターゲットすると(generatekey)、「ERROR: Module #1: LoadBlob (loading private blob) failed: Malformed」というメッセージが表示される場合があります。 nCipher ソフトウェアのバージョンに不一致がある場合に、このエラーが発生することがあります。 Web サーバを TIM 上の nCipher のバージョンと一致するものに更新するか 、Thales 社のテクニカル サポートにお問い合わせください。
  6. オペレータ用カードのパス フレーズが、保存されているパス フレーズと一致しない場合、またはカード リーダ内に不正なカードがある(またはカードがない)場合、TIM は自動的に開始されません (これは TIM ログには記録されませんが、/etc/wily/cem/tim/logs/ncipher/preload1-log.txt および preload2-log.txt ファイルに記録されます)。この場合、nCipher 構成ページを使用して、すぐに TIM を開始するか、必要な情報を保存してから[TIM System Setup]-[Start or Stop TIM]ページを使用して TIM を開始できます。
  7. TIM スタートアップ ログを確認します。
  8. Web サーバからの OCS およびオペレータ用カードがありますか。 これらがないと、TIM が開始しない場合があります。
  9. Web サーバから TIM への Security World 環境のバイナリ コピーを実行しましたか。 していないと、再ターゲット時に BLOB の書式エラーの原因になります。
  10. new-world を実行する際に kmdata があることを確認します。
  11. new-world を実行する前に ACS の数とそれらのパス フレーズを把握しておきます。
  12. TIM HSM が「I」の位置に設定され、ジャンパが「OFF」に設定されて、初期化の準備ができていることを確認します。
  13. nCipher HSM が初期化前(new-world の実行前)は「I」の位置に、new-world の実行後は「O」の位置に設定されていることを確認します。
  14. new-world を実行する前に、必ず登録をクリアしてください。

症状:

nCipher カードおよびソフトウェアをインストールしましたが、TIM が Web サーバからのデータを復号化していません。また、TIM の起動時、ログには以下のメッセージが表示されます。 

Initializing SSL crypt engine 
Sslinterface: "chil" SSL engine initialization failed

解決方法:

  1. nCipher バンドル Chil SSL がインストールされていることを確認します。
    1. TIM コンソールにログインします(PuTTY または同様の ssh クライアントを使用)。
    2. この nCipher バンドルが存在することを確認します(/opt/nfast/toolkit/hwcrhk/libnfhwcrhk.so)。
  2. nCipher バンドル Chil SSL が存在しない場合は、nCipher CD からインストールします。
    1. 詳細については、nCipher のインストール ガイドを参照してください (nCipher 11.30 で、このバンドルの名前は、/<CD>/linux/lib6-3/nfast.hwcrhk/user.tar です)。
    2. TIM を再起動します。

      TIM ログに、Chil SSL バンドルが初期化されていることが示されます。

      Wed Mar 30 02:09:20 2011 19826   Initializing SSL crypt engine
Wed Mar 30 02:09:20 2011 19826   sslinterface: "chil" SSL engine found
Wed Mar 30 02:09:20 2011 19826   sslinterface: "chil" SSL engine initialized

症状:

Web サーバによって nCipher で暗号化された HTTPS トラフィックを TIM が復号化していることを確認するにはどうすればよいですか。

解決方法:

TIM のログで、接続の追跡コンポーネントおよび HTTPS の追跡コンポーネントを探します。

接続コンポーネントと HTTPS コンポーネントの両方が見つかります。 たとえば、https サーバが 172.16.163.52 のポート 9966 上にある場合、接続追跡が有効になっていれば、コンポーネントは以下のように表示されます。

Wed Mar 30 02:34:00 2011 19826   Trace: [172.16.163.32]:3691->[172.16.163.52]:9966 opened

また、コンポーネント追跡が有効になっていれば、以下のように表示されます。

Wed Mar 30 02:34:00 2011 19826   Trace: Component #18 request: 172.16.163.52/testpage.html client=[172.16.163.32]:3691 server=[172.16.163.52]:9966 at 02:34:00

TIM がトラフィックを復号化できない場合は、接続メッセージのみが表示されます。

Wed Mar 30 02:34:00 2011 19826   Trace: [172.16.163.32]:3691->[172.16.163.52]:9966 opened

Wed Mar 30 02:34:00 2011 19826   Trace: [172.16.163.32]:3691->[172.16.163.52]:9966 closed