Configuración de tarjetas inteligentes y programas de utilidad de gestión

Con las tarjetas inteligentes y los IBM® Programas de utilidad de gestión de Hyper Protect Crypto Services, puede inicializar las instancias de servicio con el nivel de seguridad más alto. Los programas de utilidad de gestión utilizan tarjetas inteligentes para almacenar claves de firma y partes de claves maestras.

El siguiente diagrama le ofrece una visión general de los pasos que debe realizar para inicializar las instancias de servicio con tarjetas inteligentes y los programas de utilidad de gestión. En este tema se describen los pasos para configurar los programas de utilidad de gestión. Para obtener instrucciones detalladas sobre la inicialización de la instancia de servicio, consulte Inicialización de instancias de servicio utilizando tarjetas inteligentes y los programas de utilidad de gestión.

Flujo de tareas de inicialización de instancia de servicio con tarjetas inteligentes y los programas de utilidad de gestión — Figura 1. Flujo de tareas de la inicialización de instancia de servicio con tarjetas inteligentes y los programas de utilidad de gestión

Paso 1: Realizar un pedido de tarjetas inteligentes y lectores de tarjetas inteligentes

Antes de poder configurar tarjetas inteligentes, primero es necesario hacer un pedido en línea de las tarjetas inteligentes y los lectores de tarjetas inteligentes.

Realizar un pedido de tarjetas inteligentes

Complete los siguientes pasos para solicitar tarjetas inteligentes:

Determine la cantidad de tarjetas inteligentes que son necesarias.

Se necesita un mínimo de dos tarjetas inteligentes para utilizar los programas de utilidad de gestión:
- Una tarjeta inteligente de entidad emisora de certificados para definir una zona de tarjeta inteligente, que es un conjunto de tarjetas inteligentes que pueden funcionar juntas.
- Una tarjeta inteligente Enterprise PKCS #11 (EP11) para contener una clave de firma y una o varias partes de clave maestra que se utilizan para configurar instancias de servicio. Actualmente, los programas de utilidad de gestión permiten la carga de dos o tres partes de clave maestra.
Para una mayor seguridad, las dos o tres partes de clave maestra que se utilizan para configurar una instancia de servicio se pueden generar en tarjetas inteligentes EP11 diferentes que se asignan a distintas personas. La clave de firma que se utiliza para firmar mandatos en el módulo criptográfico se puede generar en una tarjeta inteligente EP11 distinta. Por lo tanto, se necesitan tres o cuatro tarjetas inteligentes EP11 para configurar una instancia de servicio.

También se recomienda crear copias de seguridad de todas las tarjetas inteligentes utilizadas y guardar las tarjetas inteligentes de copia de seguridad en un lugar seguro. Para obtener la máxima seguridad, se necesitan 12 tarjetas inteligentes, que incluyen tarjetas inteligentes de copia de seguridad:
- Dos tarjetas inteligentes de entidad emisora de certificados
- Diez tarjetas inteligentes EP11
Para saber cómo calcular el número de tarjetas inteligentes necesarias, consulte Preguntas más frecuentes: ¿Hay alguna recomendación sobre cómo configurar tarjetas inteligentes?
Póngase en contacto con su representante de ventas de IBM o su IBM Business Partner y proporcione la siguiente información.
- El número total de tarjetas inteligentes necesarias; un mínimo de dos.
- Información de contacto de facturación, que incluya el nombre, la dirección de facturación, el número de teléfono, la dirección de correo electrónico y el huso horario.
- Información de contacto de envío, que incluya el nombre, la dirección de envío, el número de teléfono, la dirección de correo electrónico y el huso horario.
Para obtener más información sobre cómo solicitar tarjetas inteligentes a través de sus representantes de ventas o Business Partners de IBM, consulte Cómo realizar el pedido.

Realizar un pedido de lectores de tarjetas inteligentes

Para solicitar lectores de tarjetas inteligentes, tiene las opciones siguientes:

Póngase en contacto con su representante de ventas de IBM o su Business Partner de IBM para solicitar lectores de tarjetas inteligentes. Para obtener más información, consulte Cómo realizar el pedido.
Solicite dos lectores de tarjetas inteligentes Identiv SPR332 v2.0 Secure Class 2 PIN Pad Reader (número de pieza 905127-1), en tiendas en línea de terceros. La lista siguiente contiene algunos sitios de tiendas en línea de ejemplo donde están disponibles los lectores de tarjetas inteligentes necesarios. La política de entrega puede variar en función de las ubicaciones geográficas:

Paso 2: Instalar el controlador del lector de tarjetas inteligentes en la estación de trabajo local

Es necesario instalar el controlador del lector de tarjetas inteligentes Identiv SPR332 V2 en la estación de trabajo local. Actualmente, se da soporte a Red Hat Enterprise Linux® 8.0, Red Hat Enterprise Linux 9.0y Ubuntu 22.04.1 LTS.

Debe tener en cuenta las Consideraciones de seguridad para la inicialización de una instancia de servicio cuando planifique la política de seguridad para los lectores de tarjetas inteligentes y los lectores de tarjetas inteligentes. De lo contrario, sus tarjetas inteligentes podrían estar expuestas a algunas vulnerabilidades.

Antes de instalar el controlador del lector de tarjetas inteligentes en un sistema operativo Linux, descargue y extraiga el paquete del controlador del sitio web de soporte de Identiv SPR332 v2.0. A continuación, instale el controlador del lector de tarjetas inteligentes completando los pasos siguientes en función de las distribuciones de Linux®:

Red Hat Enterprise Linux 8.0 y 9.0
1. Instale el paquete pcsc-lite con el siguiente mandato:
```
sudo yum install pcsc-lite
```
2. Instale el paquete libusb con el siguiente mandato:
```
sudo yum install libusb
```
3. Compruebe y asegúrese de que los paquetes opensc y esc no estén instalados. Estos paquetes pueden provocar errores inesperados durante las operaciones de los lectores de tarjetas inteligentes.
  
  Ejecute el mandato siguiente para visualizar todos los paquetes opensc o esc instalados. Sustituya <package_name> con opensc o esc:
```
sudo yum list installed <package_name>
```
  Si se listan los paquetes, elimínelos utilizando los siguientes mandatos. Sustituya <package_name> con opensc o esc:
```
sudo yum remove <package_name>
```
4. Ejecute el script install.sh, que se incluye en el paquete de controlador descargado.
5. Inicie el daemon PC/SC con el mandato siguiente:
```
sudo pcscd
```
Ubuntu 22.04.1 LTS
1. Instale los paquetes pcscd y libccid con el mandato siguiente:
```
sudo apt install pcscd
```
2. Ejecute el script install.sh, que se incluye en el paquete descargado del controlador del lector de tarjetas inteligentes.
3. En algunas configuraciones de Ubuntu, el daemon PC/SC no se inicia automáticamente en la primera llamada PC/SC. Para evitar este problema, ejecute el mandato siguiente:
```
sudo systemctl enable pcscd.socket
```
4. Reinicie la estación de trabajo.

Paso 3: Instalar los programas de utilidad de gestión en la estación de trabajo local

Se proporcionan dos aplicaciones como parte de los programas de utilidad de gestión: el Programa de utilidad de tarjeta inteligente y la aplicación Trusted Key Entry (TKE). Con el programa de utilidad de tarjeta inteligente, puede inicializar las tarjetas inteligentes que se han de utilizar.La aplicación TKE utiliza las tarjetas inteligentes para cargar claves maestras en instancias de servicio.

Para instalar las aplicaciones en Red Hat Enterprise Linux 8.0, Red Hat Enterprise Linux 9.0o Ubuntu 22.04.1 LTS, siga estos pasos:

Descargue el archivo de instalación más reciente, cloudtke.bin, de GitHub en la estación de trabajo.
(Opcional) Para obtener la máxima seguridad, verifique la integridad y la autenticidad del archivo de instalación de los Programas de utilidad de gestión cloudtke.bin antes de instalar o actualizar las aplicaciones.

Hyper Protect Crypto Services Los programas de utilidad de gestión habilitan la verificación de código firmado para asegurarse de que la firma coincide con el código original. Si el archivo de instalación descargado se modifica o se daña, se genera una firma distinta y la verificación falla. Para asegurarse de que las aplicaciones no están manipuladas o dañadas durante el proceso de descarga, realice los pasos siguientes utilizando la herramienta de línea de mandatosOpenSSL:
1. Descargue la versión más reciente de los archivos siguientes de GitHub en el mismo directorio donde almacena el archivo cloudtke.bin :
  - cloudtke.sig: el hash criptográfico firmado de cloudtke.bin (SHA-256).
  - digicert_cert.pem: un certificado de firma de código intermedio para probar el certificado de firma de los programas de utilidad de gestión.
  - signing_cert.pem: el certificado de firma de los programas de utilidad de gestión.
2. Extraiga la clave pública del certificado de firma signing_cert.pem en el archivo sigkey.pub con el mandato siguiente utilizando la herramienta de línea de mandatos OpenSSL:
```
openssl x509 -pubkey -noout -in signing_cert.pem -out sigkey.pub
```
3. Verifique la integridad del archivo cloudtke.bin con el mandato siguiente:
```
openssl dgst -sha256 -verify sigkey.pub -signature cloudtke.sig cloudtke.bin
```
  Donde la verificación es satisfactoria, se visualiza Verified OK.
4. Verifique la autenticidad y la validez del certificado de firma con el mandato siguiente:
```
openssl ocsp -no_nonce -issuer digicert_cert.pem -cert signing_cert.pem -VAfile digicert_cert.pem -text -url http://ocsp.digicert.com -respout ocsptest
```
  Cuando la verificación se ha realizado correctamente, Response verify OK y signing_cert.pem: good se muestran en la salida.
5. Si la verificación falla, cancele la instalación y póngase en contacto con IBM para obtener soporte. De lo contrario, continúe con los pasos siguientes.
En la línea de mandatos, especifique el directorio en el que se encuentra el archivo de instalación descargado y realice los pasos siguientes para instalar las aplicaciones:
1. Añada el permiso de ejecución al archivo de instalación ejecutando el mandato siguiente:
```
chmod +x cloudtke.bin
```
2. Instale las aplicaciones ejecutando el mandato siguiente:
```
./cloudtke.bin
```
3. Cuando se le solicite, elija la carpeta de instalación para los programas de utilidad de gestión y, a continuación, seleccione la opción No crear enlaces.

Paso 4: Configurar tarjetas inteligentes con el programa de utilidad de tarjeta inteligente

Se utilizan dos tipos de tarjetas inteligentes en los programas de utilidad de gestión, la tarjeta inteligente de la entidad emisora de certificados y las tarjetas inteligentes de EP11. La tarjeta inteligente de la entidad emisora de certificados se utiliza para definir una zona de tarjetas inteligentes y crear un conjunto de tarjetas inteligentes de EP11 en la zona, mientras que una tarjeta inteligente de EP11 se utiliza para generar y almacenar una clave de firma y los componentes de clave maestra de administrador.

Para configurar las tarjetas inteligentes, utilice el programa de utilidad de tarjeta inteligente para completar las tareas siguientes.

Inicialización de la tarjeta inteligente de la entidad emisora de certificados

Para crear e inicializar una tarjeta inteligente de entidad emisora de certificados, siga estos pasos:

Conecte los dos lectores de tarjetas inteligentes en los puertos USB de la estación de trabajo.
Para iniciar el programa de utilidad de tarjeta inteligente, vaya al subdirectorio en el que se instalan las aplicaciones de programas de utilidad de gestión y ejecute el mandato siguiente:
```
./scup
```
Después de iniciar el programa de utilidad de tarjeta inteligente, desde el menú Tarjeta inteligente de CA, seleccione Inicializar y personalizar la tarjeta inteligente de CA.
Inserte la tarjeta inteligente que desea inicializar en un lector de tarjetas inteligentes 1 y pulse Aceptar.

Si recibe un mensaje parecido a No smart card inserted (No hay ninguna tarjeta inteligente insertada), pruebe las siguientes soluciones:
- Inserte la tarjeta inteligente en otro lector de tarjetas inteligentes. El lector de tarjetas inteligentes que ha seleccionado podría no ser el lector de tarjetas inteligentes 1.
- Vuelva a insertar la tarjeta inteligente en el mismo lector de tarjetas inteligentes. Es posible que el lector de tarjetas inteligentes no esté leyendo correctamente la tarjeta inteligente.
Especifique un número de identificación personal de seis dígitos (PIN) dos veces en el teclado de PIN del lector de tarjetas inteligentes como el primer PIN de la tarjeta de la entidad emisora de certificados.

Introduzca el PIN dos veces en 20 segundos. De lo contrario, la sesión ha caducado y deberá volver a especificar el PIN.
Especifique un PIN de seis dígitos dos veces en el teclado de PIN del lector de tarjetas inteligentes como el segundo PIN de la tarjeta de la entidad emisora de certificados.Es necesario especificar ambos PIN más adelante cuando utilice la tarjeta inteligente de la entidad emisora de certificados.

Introduzca el PIN dos veces en 20 segundos. De lo contrario, la sesión ha caducado y deberá volver a especificar el PIN.
Especifique una descripción para la zona de tarjetas inteligentes que contiene las tarjetas inteligentes de EP11.
Especifique una descripción para la tarjeta inteligente de la entidad emisora de certificados.

Se crea la entidad emisora de certificados.

Se le recomienda que cree una copia de seguridad de su tarjeta inteligente de la entidad emisora de certificados.Puede crear una copia de seguridad pulsando Tarjeta inteligente de CA > Tarjeta inteligente CA de copia de seguridad.

Inicialización de la tarjeta inteligente de EP11

Para crear e inicializar una tarjeta inteligente de EP11, siga estos pasos:

Seleccione Tarjeta inteligente de EP11 > Inicializar e inscribir la tarjeta inteligente EP11 en el menú.
Inserte la tarjeta inteligente que se va a inicializar como la tarjeta inteligente de EP11 en el lector de tarjetas inteligentes 2 y pulse Aceptar.
Seleccione Tarjeta inteligente de EP11 > Personalizar tarjeta inteligente EP11 en la barra de menús.
Especifique un PIN de seis dígitos dos veces en el teclado de PIN del lector de tarjetas inteligentes.Es necesario especificar este PIN más adelante cuando utilice la tarjeta inteligente de EP11.
Escriba una descripción para la tarjeta inteligente de EP11.
Si tiene más de una tarjeta inteligente de EP11, repita el paso 1 en el paso 5 para inicializar otras tarjetas inteligentes de EP11.

Las tarjetas inteligentes de EP11 se crean y personalizan.

Qué hacer a continuación

Después de configurar los programas de utilidad de gestión, puede empezar a cargar la clave maestra con la aplicación TKE. Para obtener instrucciones detalladas, consulte Inicialización de instancias de servicio utilizando tarjetas inteligentes y programas de utilidad de gestión.
Si necesita desinstalar los programas de utilidad de gestión, debe seguir las instrucciones para poner a cero las unidades criptográficas primero y, a continuación, desinstalar los programas de utilidad de gestión.