이전 항목: 개인 키 및 Operator Card 업데이트다음 항목: CA APM에서 스마트 카드 인증 사용

CA CEM과 함께 nCipher 사용CA CEM에서의 nCipher 문제 해결

CA CEM에서의 nCipher 문제 해결

CA CEM에서 nCipher를 설치하는 데 발생한 문제를 해결해야 할 수 있습니다.

증상

nCipher 카드를 설치한 후 TIM이 시작되지 않습니다. 또는 TIM에 설치한 nCipher가 작동하지 않습니다.

해결 방법

  1. "TIM System Setup"(TIM 시스템 설정) > "View nCipher Status"(nCipher 상태 보기) 페이지를 검토합니다.
  2. 자세한 내용은 TIM에서 nCipher 설치 확인을 참조하십시오.

증상

nCipher HSM이 예상대로 작동하지 않습니다.

해결 방법

  1. 카드를 슬롯에 삽입할 때마다 삽입 횟수가 증가합니다. 따라서 카드를 잘못 삽입하여 다시 삽입하는 경우도 횟수에 반영되어야 합니다.
  2. "TIM System Setup"(TIM 시스템 설정) > "View TIM SSL Server Status"(TIM SSL 서버 상태 보기) 페이지를 검토합니다. 자세한 내용은 nCipher로 보호되는 웹 트래픽 확인을 참조하십시오.
  3. /etc/wily/cem/tim/logs/ncipher/preload-log.txt에서 nCipher 로그 정보를 검토합니다. 자세한 내용은 TIM 다시 시작 및 구성 확인을 참조하십시오.
  4. TIM 로그를 검토합니다.
  5. 키(generatekey)의 대상을 다시 지정하는 경우 "ERROR: Module #1: LoadBlob (loading private blob) failed: Malformed" 메시지가 나타납니다. 일치하지 않는 nCipher 소프트웨어 버전이 있는 경우에 이 메시지가 나타날 수 있습니다. 웹 서버를 업그레이드하여 TIM의 nCipher 버전을 일치시키거나 Thales 기술 지원부에 문의하십시오.
  6. Operator Card의 전달 구가 저장한 것과 일치하지 않거나, 잘못된 카드가 카드 판독기에 있거나 카드가 아예 없으면 TIM이 자동으로 시작되지 않습니다. 참고로, 이는 TIM 로그에 기록되지 않지만 /etc/wily/cem/tim/logs/ncipher/preload1-log.txtpreload2-log.txt 파일에서 찾을 수 있습니다. 시작되지 않는 경우 nCipher 구성 페이지에서 TIM을 시작하거나, "TIM System Setup"(TIM 시스템 설정) > "Start or Stop TIM"(TIM 시작 또는 중지) 페이지에서 필요한 정보를 저장한 다음 TIM을 시작할 수도 있습니다.
  7. TIM 시작 로그를 검토합니다.
  8. 웹 서버의 OCS 및 Operator Card가 있는지 확인합니다. 없는 경우 TIM이 시작되지 않습니다.
  9. 보안 환경의 바이너리 사본을 웹 서버에서 TIM으로 복제하지 않은 경우 대상을 다시 지정하는 동안 형식이 잘못된 BLOB이 발생합니다.
  10. 새 보안 환경을 실행할 수 있도록 kmdata가 있는지 확인합니다.
  11. 새 환경을 실행하기 전에 ACS 카드 수와 해당 전달 구를 파악합니다.
  12. 사전 초기화를 수행할 수 있도록 TIM HSM을 I 위치로 설정하고 점퍼를 OFF로 설정합니다.
  13. 새 환경을 실행하기 전에 사전 초기화를 위해 nCipher HSM을 I 위치로 설정하고, 새 환경이 적용된 후에는 O 위치로 설정해야 합니다.
  14. 새 환경을 실행하기 전에 레지스터를 지워야 한다는 것을 기억하십시오.

증상

nCipher 카드와 소프트웨어를 설치했지만 TIM에서 웹 서버의 데이터 암호가 해독되지 않고, TIM이 시작될 때 TIM 로그에 다음과 같은 메시지가 표시됩니다. 

Initializing SSL crypt engine 
Sslinterface: "chil" SSL engine initialization failed

해결 방법

  1. 다음과 같이 nCipher 번들인 Chil SSL이 설치되어 있는지 확인합니다.
    1. TIM 콘솔에 로그인합니다(PuTTY 또는 유사한 SSH 클라이언트 사용).
    2. 다음 nCipher 번들이 존재하는지 확인합니다. /opt/nfast/toolkit/hwcrhk/libnfhwcrhk.so
  2. nCipher 번들인 Chil SSL이 없으면 nCipher CD에서 설치합니다.
    1. 자세한 내용은 nCipher 설치 안내서를 참조하십시오. 참고로, nCipher 11.30의 경우 번들 이름은 /<CD>/linux/lib6-3/nfast.hwcrhk/user.tar입니다.
    2. TIM를 다시 시작합니다.

      다음과 같이 TIM 로그에 Chil SSL 번들이 초기화되었다는 내용이 표시되어야 합니다.

      Wed Mar 30 02:09:20 2011 19826   Initializing SSL crypt engine
Wed Mar 30 02:09:20 2011 19826   sslinterface: "chil" SSL engine found
Wed Mar 30 02:09:20 2011 19826   sslinterface: "chil" SSL engine initialized

증상

웹 서버에서 nCipher로 암호화된 HTTPS 트래픽이 TIM에서 암호 해독되는지 확인하려 합니다.

해결 방법

TIM 로그에서 연결 추적 및 HTTPS 구성 요소 추적을 찾습니다.

연결 추적 및 HTTPS 구성 요소 추적이 모두 나타나야 합니다. 예를 들어 포트 9966에서 HTTPS 서버가 172.16.163.52인 경우 연결 추적 기능을 사용하도록 설정했으면 구성 요소는 다음과 같이 나타나야 합니다.

Wed Mar 30 02:34:00 2011 19826   Trace: [172.16.163.32]:3691->[172.16.163.52]:9966 opened

또는 구성 요소 추적 기능을 사용하도록 설정했으면 다음과 같이 나타나야 합니다.

Wed Mar 30 02:34:00 2011 19826   Trace: Component #18 request: 172.16.163.52/testpage.html client=[172.16.163.32]:3691 server=[172.16.163.52]:9966 at 02:34:00

TIM에서 트래픽의 암호를 해독하지 못하면 다음과 같이 연결 메시지만 나타납니다.

Wed Mar 30 02:34:00 2011 19826   Trace: [172.16.163.32]:3691->[172.16.163.52]:9966 opened

Wed Mar 30 02:34:00 2011 19826   Trace: [172.16.163.32]:3691->[172.16.163.52]:9966 closed