Inicialmente o HSM estará em estado chamado de Primeiro Boot. Neste estado o operador deverá informar uma chave (senha) para derivação da chave mestra para o HSM (Server Master Key), que protege via criptografia todos os elementos privados armazenados no HSM. Esta chave é mantida apenas na área de memória volátil do equipamento e deverá ser inputada sempre que o HSM for ligado ou resetado, e é também usada para autenticar o operador no acesso à console web do HSM. É recomendável usar uma senha de 16 (dezesseis) caracteres.
No estado de Primeiro Boot a entrada da senha deve ser confirmada por entrada duplicada no acesso à web console. Nos acessos seguintes basta informar a senha.
A configuração do HSM Pocket é feita via console web usando um browser (navegador).
A interface de rede sem fios (wi-fi) sai de fábrica configurada em modo AP (Acess Point); ao ser ligado o equipamento propaga uma rede com SSID Pocket. Esta rede é aberta (sem criptografia), é possível que seu computador ou dispositivo móvel alerte sobre isso. Toda a comunicação entre o browser e o HSM Pocket é protegida pelo protocolo HTTPS.
A interface de rede LAN sai de fábrica configurada para atribuição automática de IP (dinâmico, via servidor DHCP).
É possível redefinir a porta de rede wi-fi para o modo AP (Acess Point) a qualquer instante usando o botão de reset na painel traseiro do equipamento. O botão é interno para evitar redefinições acidentais, use uma caneta ou clips de papel para pressionar e segurar o botão por 5 segundos com o dispositivo ligado, que em seguida irá rebootar e subir com o modo AP habilitado. O endereço IP da porta LAN, configurações e a base de chaves e certificados não são afetados por este reset.
Antes de inciar a configuração é recomendável que você tenha as seguintes informações
| 1. | Senha para derivação da SVMK (recomendável 16 caracteres). São aceitos caracteres alfanuméricos. |
| 2. | Endereço IP e Default Gateway para conexão na rede local (LAN) Ethernet via cabo, caso decida atribuir um IP manualmente. |
Siga os passos a seguir para configurar o HSM Pocket:
| 1. | Ligue o HSM Pocket |
| 2. | Verifique se a rede Pocket aparece na sua lista de rede sem fio. |
Fig. Rede Pocket na lista de redes - desktop
Fig. Rede Pocket na lista de redes - celular
| 3. | Conecte-se à rede Pocket usando seu computador ou dispositivo móvel, não é necessário usar senha. Enquanto estiver conectado nesta rede é possível que seu computador ou dispositivo fique sem acesso à Internet. |
Fig. Rede pocket conectada - desktop
Fig. Rede Pocket conectada - celular
| 4. | No seu navegador aponte o endereço para https://pocket. O seu navegador irá informar que a conexão não é particular ou que há um problema de segurança com o certificado. Você pode ignorar a mensagem e prosseguir com a conexão, normalmente na opção chamada Avançado ou Continuar nesta página. O motivo do alerta do navegador é o uso do protocolo de comunicação seguro HTTPS com um certificado que ele não reconhece; a console usa este protocolo para proteger o canal entre o navegador e o HSM. Confirmando a conexão você estará na página de Primeiro Boot do Pocket. |
Fig. Página autenticação - desktop
Fig. Página autenticação - celular
Nota: o endereço http://pocket só é acessível quando o HSM está em modo Access Point e o computador ou celular estão conectados na rede Pocket do HSM. Fora deste cenário o HSM estará acessível através dos seus endereços IP definidos.
| 5. | Informe a chave no primeiro campo e confirme no segundo, em seguida clique em Autenticar. |
| 6. | Após a autenticação com sucesso será exibida a web console o HSM Pocket. |
Fig. Página inicial - desktop
Fig. Página inicial - celular
| 7. | No acesso via desktop as opções estão na barra horizontal superior e também no menu de rolagem vertical acionado pela ícone no canto superior esquerdo. No acesso via celular o menu é de rolagem vertical, também acionado pelo ícone no canto superior esquerdo. Após escolher a opção, o menu vertical é recolhido automaticamente. |
Fig. Menu de opções - celular
| 8. | Na página Principal estão as seguintes opções: |
| a. | Carregar: inicia (ou para) o serviço do HSM |
| b. | Reiniciar: reinicia o HSM; será necessário autenticar e carregar o serviço do HSM para deixá-lo em operação |
| c. | Desligar: desliga completamente o HSM. O LED frontal do equipamento permanecerá aceso enquanto a fonte de alimentação estiver ligada na tomada de energia |
| d. | Zerar: apaga toda a base de dados de HSM e o coloca novamente em estado de Primeiro Boot. Atenção ao usar esta opção, pois todas as chaves armazendas serão destruídas. |
| e. | Modo FIPS: alterna o modo de operação do HSM. |
| f. | Informação do estado do serviço do HSM (Parado ou Em Execução) |
| 9. | Na página Rede na opção LAN escolha uma configuração de IP dinâmico (a ser atribuído por um servidor DHCP) ou informe o endereço IP do HSM e a máscara de rede, e nas abas específicas o gateway padrão (default gateway) e o(s) servidor(es) DNS. Em seguida clique em atualizar. Ao mudar os parâmetros de rede o HSM Pocket irá desconectar a console web e voltar à pagina de login. Para alteração dos parâmetros de rede o serviço do HSM deve estar parado. |
Fig. Página configuração LAN - desktop
Fig. Página configuração LAN - celular
| 10. | Após conectar o HSM Pocket na sua rede local o acesso é feito através do endereço IP definido. |
Note que agora o HSM já foi inicializado com a chave de derivação da SVMK, então a autenticação será na console será feita com o input desta chave até que o HSM seja zerado.
Fig. Autenticação console web - desktop
Fig. Autenticação console web - celular
| 11. | Na opção Recursos podem ser monitorados graficamente em tempo real o uso de CPU, memória e disco de trabalho. |
Fig. Monitor de recursos - desktop
Fig. Monitor de recursos - celular
| 12. | Na opção Resumo estão informações gerais sobre o HSM: |
| a. | Versão de hardware e data/hora e lista de módulos carregados |
| b. | Configuração e status das interfaces de rede e o default gateway do equipamento |
| c. | Tempo de atividade e tamanho do arquivo de log |
| d. | Lista de sessões cliente conectadas no HSM - atualizada em tempo real. |
Pode ser necessário rolar a tela para a esquerda para exibir todo o texto.
Fig. Resumo - desktop
Fig. Resumo - celular
| 13. | Na opção Assinatura é possível se conectar com o serviço de backup e restore em nuvem do HSM. É necessário uma conta autorizada no serviço de HSM. Consulte a página http://pocket.dinamonetworks.com para criação de uma conta. |
Fig. Login para o serviço de assinatura - desktop
Fig. Login para o serviço de assinatura - celular
Fig. Serviço disponíveis - desktop
Fig. Serviço disponíveis - celular
Uma vez conectado ao serviço de assinatura é possível realizar operações de backup e restore.
O backup das chaves do HSM sobe para a nuvem protegido pelo senha de derivação da SVMK, portanto é altamente recomendável que ao utilizar este serviço defina uma senha segura.
As operações de backup e restore em nuvem são totais, ou seja, o backup leva todas as chaves do HSM, e o restore sobrescreve a base do HSM com os dados do backup.
Após o restore o processo é completado com um restart no HSM. Caso o restore esteja sendo realizado num HSM inicializado com uma SVMK diferente daquela que estava em uso durante a geração do backup o processo irá falhar, sem sobrescrever o base do HSM.
O restore sempre usa o último backup realizada.
| 14. | Na opção Sobre estão alguma informações gerais o HSM, incluindo a versão atual do Firmware. Será feita uma verificação automática online sobre disponibilidade de nova versão, caso seja encontrada será informado ao usuário, que tem o opção de atualizar ou não o firmware. Não é feita uma atualização automática. |
Caso seja confirmada a atualização do firmware o sistema irá realizar um restart automático.
Fig. Informações gerais e update de firmware - desktop
Fig. Informações gerais e update de firmware - celular
| 15. | Na opção Sair é feito o logout da sessão com a console web do HSM. |