스마트 카드 및 관리 유틸리티 설정

스마트 카드 및 IBM® Hyper Protect Crypto Services 관리 유틸리티를 사용하는 경우 가장 높은 보안 레벨로 서비스 인스턴스를 초기화할 수 있습니다. 관리 유틸리티에서는 서명 키 및 마스터 키 파트를 저장하기 위해 스마트 카드를 사용합니다.

다음 다이어그램에서는 스마트 카드 및 관리 유틸리티를 사용하여 서비스 인스턴스를 초기화하기 위해 수행해야 하는 단계의 개요를 제공합니다. 이 주제에는 관리 유틸리티를 설정하는 단계가 포함되어 있습니다. 서비스 인스턴스를 초기화하는 방법에 대한 자세한 지시사항은 스마트 카드 및 관리 유틸리티를 사용하여 서비스 인스턴스 초기화를 참조하십시오.

스마트카드 및 관리 유틸리티를 사용한 서비스 인스턴스 초기화의 태스크 플로우 — 그림 1. 스마트 카드 및 관리 유틸리티를 사용한 서비스 인스턴스 초기화 태스크 플로우

1단계: 스마트 카드 및 스마트 카드 리더 주문

스마트 카드를 주문하려면 먼저 온라인으로 스마트 카드 및 스마트 카드 리더를 주문해야 합니다.

스마트 카드 주문

스마트 카드를 주문하려면 다음 단계를 완료하십시오.

필요한 스마트 카드의 수량을 판별하십시오.

관리 유틸리티를 사용하려면 최소 두 개의 스마트 카드가 필요합니다.
- 함께 작동할 수 있는 스마트 카드 세트인 스마트 카드 영역을 정의하기 위한 인증 기관 스마트 카드입니다.
- 서비스 인스턴스를 구성하는 데 사용되는 하나 이상의 마스터 키 파트와 서명 키를 보유하는 Enterprise PKCS #11(EP11) 스마트 카드입니다. 현재 관리 유틸리티는 로드할 두 개 또는 세 개의 마스터 키 파트를 지원합니다.
보안을 강화하기 위해 서비스 인스턴스를 구성하는 데 사용하는 두 개 또는 세 개의 마스터 키 파트는 다른 사용자에게 지정된 별도의 EP11 스마트 카드에 생성할 수 있습니다. 암호화 모듈에 대한 명령에 서명하기 위해 사용되는 서명 키는 별도의 EP11 스마트 카드에 생성할 수 있습니다. 그런 다음 서비스 인스턴스를 구성하기 위해 3개 또는 4개의 EP11 스마트 카드가 필요할 수 있습니다.

또한 사용된 모든 스마트 카드의 백업 사본을 작성하고 백업 스마트 카드를 안전한 위치에 저장하는 것이 좋습니다. 최대 보안을 위해 백업 스마트카드를 포함하는 12개의 스마트카드가 필요합니다.
- 두 개의 인증 기관 스마트 카드
- 10개의 EP11 스마트 카드
필요한 스마트카드 수를 계산하는 방법은 FAQ: 스마트카드 설정 방법에 대한 권장사항이 있습니까? 를 참조하십시오.
IBM 영업 담당자 또는 IBM 비즈니스 파트너에게 문의하여 다음 정보를 제공하십시오.
- 필요한 스마트 카드의 총 수이며, 최소 두 개입니다.
- 이름, 청구 주소, 전화번호, 이메일 주소 및 시간대가 포함된 청구 담당자 정보입니다.
- 이름, 배송 주소, 전화번호, 이메일 주소 및 시간대가 포함된 배송 담당자 정보입니다.
IBM 영업 담당자 또는 비즈니스 파트너를 통한 스마트 카드 주문에 대한 자세한 정보는 주문 방법을 참조하십시오.

스마트 카드 리더 주문

스마트카드 리더를 주문하려면 다음 옵션을 사용할 수 있습니다.

스마트카드 리더를 주문하려면 IBM 영업 담당자 또는 IBM 비즈니스 파트너에게 문의하십시오. 자세한 정보는 주문 방법을 참조하십시오.
써드파티 온라인 상점에서 두 개의 스마트카드 리더 Identiv SPR332 v2.0 Secure Class 2 PIN Pad Reader (부품 번호 905127-1) 를 주문하십시오. 다음 목록에는 필수 스마트 카드 리더를 사용할 수 있는 몇 가지 예제 온라인 쇼핑 사이트가 포함되어 있습니다. 전달 정책은 사용자의 지리적 위치에 따라 달라질 수 있습니다.
- ID
- Digifeat
- SCM PC-카드 GmbH
- Amazon

2단계: 로컬 워크스테이션에 스마트카드 리더 드라이버 설치

로컬 워크스테이션에 Identiv SPR332 V2 스마트 카드 리더 드라이버를 설치해야 합니다. 현재 Red Hat Enterprise Linux® 8.0, Red Hat Enterprise Linux 9.0및 Ubuntu 22.04.1 LTS가 지원됩니다.

스마트카드 및 스마트카드 리더에 대한 보안 정책을 계획할 때 서비스 인스턴스 초기화를 위한 보안 고려사항 을 고려해야 합니다. 그렇지 않을 경우 스마트 카드가 일부 취약성에 노출될 수 있습니다.

Linux 운영 체제에 스마트카드 리더 드라이버를 설치하기 전에 Identiv SPR332 v2.0 지원 웹 사이트에서 드라이버 패키지를 다운로드하여 추출하십시오. 그런 다음 Linux® 배포판에 따라 다음 단계를 완료하여 스마트카드 리더 드라이버를 설치하십시오.

Red Hat Enterprise Linux 8.0 및 9.0
1. 다음 명령을 사용하여 pcsc-lite 패키지를 설치하십시오.
```
sudo yum install pcsc-lite
```
2. 다음 명령을 사용하여 libusb 패키지를 설치하십시오.
```
sudo yum install libusb
```
3. opensc 및 esc 패키지가 설치되어 있지 않은지 확인하십시오. 이러한 패키지로 인해 스마트카드 리더의 조작 중에 예기치 않은 오류가 발생할 수 있습니다.
  
  설치된 모든 opensc 또는 esc 패키지를 표시하려면 다음 명령을 실행하십시오. <package_name>을(를) opensc 또는 esc(으)로 대체하십시오.
```
sudo yum list installed <package_name>
```
  패키지가 나열되어 있으면 다음 명령을 사용하여 패키지를 제거하십시오. <package_name>을(를) opensc 또는 esc(으)로 대체하십시오.
```
sudo yum remove <package_name>
```
4. 다운로드된 드라이버 패키지에 포함된 install.sh 스크립트를 실행하십시오.
5. 다음 명령을 사용하여 PC/SC 디먼을 시작하십시오.
```
sudo pcscd
```
Ubuntu 22.04.1 LTS
1. 다음 명령을 사용하여 pcscd 및 libccid 패키지를 설치하십시오.
```
sudo apt install pcscd
```
2. 스마트카드 리더 드라이버의 다운로드된 패키지에 포함된 install.sh 스크립트를 실행하십시오.
3. 일부 Ubuntu 구성에서 PC/SC 디먼은 첫 번째 PC/SC 호출에서 자동으로 시작되지 않습니다. 이 문제점을 방지하려면 다음 명령을 실행하십시오.
```
sudo systemctl enable pcscd.socket
```
4. 워크스테이션을 다시 시작하십시오.

3단계: 로컬 워크스테이션에 관리 유틸리티 설치

두 개의 애플리케이션 즉, 스마트 카드 유틸리티 프로그램 및 TKE(Trusted Key Entry) 애플리케이션이 관리 유틸리티의 일부로 제공됩니다.스마트 카드 유틸리티 프로그램을 사용하여 사용할 스마트 카드를 초기화할 수 있습니다.TKE 애플리케이션에서는 스마트 카드를 사용하여 서비스 인스턴스에 마스터 키를 로드합니다.

Red Hat Enterprise Linux 8.0, Red Hat Enterprise Linux 9.0또는 Ubuntu 22.04.1 LTS에 애플리케이션을 설치하려면 다음 단계를 완료하십시오.

GitHub 에서 워크스테이션으로 최신 설치 파일 cloudtke.bin 를 다운로드하십시오.
(선택사항) 강력한 보안을 위해 애플리케이션을 설치하거나 업데이트하기 전에 관리 유틸리티 설치 파일 cloudtke.bin의 무결성 및 인증을 확인하십시오.

Hyper Protect Crypto Services 관리 유틸리티는 서명된 코드 검증 을 사용으로 설정하여 서명이 원래 코드와 일치하는지 확인합니다. 다운로드된 설치 파일이 변경되거나 손상된 경우 다른 서명이 생성되고 검증에 실패합니다. 다운로드 프로세스 중에 애플리케이션이 변경되거나 손상되지 않도록 하려면 OpenSSL 명령행 도구를 사용하여 다음 단계를 완료하십시오.
1. GitHub 에서 cloudtke.bin 파일을 저장하는 동일한 디렉토리로 다음 파일의 최신 버전을 다운로드하십시오.
  - cloudtke.sig: cloudtke.bin(SHA-256)의 서명된 인증서 해시입니다.
  - digicert_cert.pem: 관리 유틸리티 서명 인증서를 증명하는 중간 코드 서명 인증서입니다.
  - signing_cert.pem: 관리 유틸리티의 서명 인증서입니다.
2. OpenSSL 명령행 도구를 사용하여 다음 명령으로 서명 인증서 signing_cert.pem에서 sigkey.pub 파일로 공개 키를 추출하십시오.
```
openssl x509 -pubkey -noout -in signing_cert.pem -out sigkey.pub
```
3. 다음 명령을 사용하여 cloudtke.bin 파일의 무결성을 확인하십시오.
```
openssl dgst -sha256 -verify sigkey.pub -signature cloudtke.sig cloudtke.bin
```
  확인하면 Verified OK가 표시됩니다.
4. 다음 명령으로 서명 인증서의 인증 및 무결성을 확인하십시오.
```
openssl ocsp -no_nonce -issuer digicert_cert.pem -cert signing_cert.pem -VAfile digicert_cert.pem -text -url http://ocsp.digicert.com -respout ocsptest
```
  확인하면 출력에 Response verify OK 및 signing_cert.pem: good이 표시됩니다.
5. 확인에 실패하면 설치를 취소하고 IBM에 지원을 문의하십시오. 그렇지 않으면 다음 단계를 진행하십시오.
명령행에서 다운로드된 설치 파일이 위치한 디렉토리를 입력하고 다음 단계를 수행하여 애플리케이션을 설치하십시오.
1. 다음 명령을 실행하여 실행 권한을 설치 파일에 추가하십시오.
```
chmod +x cloudtke.bin
```
2. 다음 명령을 실행하여 애플리케이션을 설치하십시오.
```
./cloudtke.bin
```
3. 프롬프트가 표시되면 관리 유틸리티에 대한 설치 폴더를 선택하고 링크를 작성하지 않음 옵션을 선택하십시오.

4단계: 스마트 카드 유틸리티 프로그램으로 스마트 카드 구성

두 가지 유형의 스마트 카드 즉, 인증 기관 스마트 카드 및 EP11 스마트 카드가 관리 유틸리티에 사용됩니다. 인증 기관 스마트 카드는 스마트 카드 구역을 정의하고 구역에서 EP11 스마트 카드 세트를 작성하는 데 사용되며, EP11 스마트 카드는 관리자 서명 키 및 마스터 키 파트를 생성하고 저장하는 데 사용됩니다.

스마트 카드를 구성하려면 스마트 카드 유틸리티 프로그램을 사용하여 다음 태스크를 완료하십시오.

인증 기관 스마트 카드 초기화

인증 기관 스마트 카드를 작성하고 초기화하려면 다음 단계를 따르십시오.

두 개의 스마트 카드 리더를 워크스테이션의 USB 포트에 연결하십시오.
스마트 카드 유틸리티 프로그램을 시작하려면 관리 유틸리티 애플리케이션을 설치하는 하위 디렉토리로 이동하여 다음 명령을 실행하십시오.
```
./scup
```
스마트 카드 유틸리티 프로그램이 시작되면 CA 스마트 카드 메뉴에서 CA 스마트 카드 초기화 및 개인화를 선택하십시오.
초기화할 스마트 카드를 스마트 카드 리더 1에 삽입하고 확인을 클릭하십시오.

스마트 카드가 삽입되지 않음과 유사한 메시지를 수신하면 다음 솔루션을 시도하십시오.
- 스마트 카드를 다른 스마트 카드 리더에 삽입하십시오. 선택한 스마트 카드 리더는 스마트 카드 리더 1이 아닐 수 있습니다.
- 스마트 카드를 동일한 스마트 카드 리더에 다시 삽입하십시오. 스마트 카드 리더가 스마트 카드를 올바르게 읽지 않을 수 있습니다.
첫 번째 인증 기관 카드 PIN으로 스마트 카드 리더 PIN 패드에 6자리 개인 식별 번호(PIN)를 두 번 입력하십시오.

20초 내에 PIN을 두 번 입력하십시오. 그렇지 않으면 세션이 만료되어 PIN을 다시 입력해야 합니다.
스마트 카드 리더 PIN 패드에 두 번째 인증 기관 카드 PIN으로 6자리 PIN을 두 번 입력하십시오.인증 기관 스마트 카드를 사용하는 경우 나중에 두 개의 PIN을 모두 입력해야 합니다.

20초 내에 PIN을 두 번 입력하십시오. 그렇지 않으면 세션이 만료되어 PIN을 다시 입력해야 합니다.
EP11 스마트 카드를 보유하고 있는 스마트 카드 구역에 대한 설명을 입력하십시오.
인증 기관 스마트 카드에 대한 설명을 입력하십시오.

인증 기관이 작성됩니다.

인증 기관 스마트 카드의 백업 사본을 작성하는 것이 좋습니다.CA 스마트 카드 > 백업 CA 스마트 카드를 클릭하여 백업 사본을 작성할 수 있습니다.

EP11 스마트 카드 초기화

EP11 스마트 카드를 작성하고 초기화하려면 다음 단계를 따르십시오.

메뉴에서 EP11 스마트 카드 > EP11 스마트 카드 초기화 및 등록을 선택하십시오.
EP11 스마트 카드로 초기화할 스마트 카드를 스마트 카드 리더 2에 삽입하고 확인을 클릭하십시오.
메뉴 표시줄에서 EP11 스마트 카드 > EP11 스마트 카드 개인화를 선택하십시오.
스마트 카드 리더 PIN 패드에 6자리 PIN을 두 번 입력하십시오.나중에 EP11 스마트 카드를 사용하는 경우 이 PIN을 입력해야 합니다.
EP11 스마트 카드에 대한 설명을 입력하십시오.
둘 이상의 EP11 스마트 카드가 있는 경우 기타 EP11 스마트 카드를 초기화하려면 1 - 5단계를 반복하십시오.

EP11 스마트 카드가 작성되고 개인화됩니다.

다음에 수행할 작업

관리 유틸리티를 설정한 후 TKE 애플리케이션을 사용하여 마스터 키 로드를 시작할 수 있습니다. 자세한 지시사항은 스마트 카드 및 관리 유틸리티를 사용하여 서비스 인스턴스 초기화를 참조하십시오.
관리 유틸리티를 설치 제거해야 하는 경우 먼저 관리 유틸리티 제로화에 대한 지시사항을 따른 후 관리 유틸리티 설치 제거를 수행하십시오.