
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri","sans-serif";

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri","sans-serif";}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal">Hey all,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I’ve mostly hobbled through the setup of a few Luna demo units by cobbling together their documentation and some previous posts to this list.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I feel like I’m close…but missing one step and hoping someone out there might be able to offer direction.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Configured the HSM for network, created a partition, etc.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">   Partitions created on HSM:<o:p></o:p></p>

<p class="MsoNormal">   ==========================<o:p></o:p></p>

<p class="MsoNormal">   Partition: 535775014,     Name: dotCA<o:p></o:p></p>

<p class="MsoNormal">   Partition: 535775018,     Name: dotTLD<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><b>Added a new repository in conf.xml:<o:p></o:p></b></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">                <Repository name="dotCA"><o:p></o:p></p>

<p class="MsoNormal">                        <Module>/usr/lib/libCryptoki2_64.so</Module><o:p></o:p></p>

<p class="MsoNormal">                        <TokenLabel>dotCA</TokenLabel><o:p></o:p></p>

<p class="MsoNormal">                        <PIN>4xWA-E3q5-E/S3-5S9X</PIN>                                               (No clue if this is right, but when I created the partition it told me to record and use this later – so I used it during lunaclient setup,

 and now here as well)<o:p></o:p></p>

<p class="MsoNormal">                </Repository><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><b>Added a new policy in kasp.xml:<o:p></o:p></b></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">        <Policy name="dotCA"><o:p></o:p></p>

<p class="MsoNormal">                <Description>Safenet Luna HSM</Description><o:p></o:p></p>

<p class="MsoNormal">                …<o:p></o:p></p>

<p class="MsoNormal">                <Repository>dotCA</Repository><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><b>LunaCM says that it can talk to the HSM…<o:p></o:p></b></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">[root@dns-test-tld opendnssec]# /usr/safenet/lunaclient/bin/lunacm                  LunaCM v6.2.2-4. Copyright (c) 2006-2015 SafeNet, Inc.<o:p></o:p></p>

<p class="MsoNormal">        Available HSMs:<o:p></o:p></p>

<p class="MsoNormal">        Slot Id ->              0<o:p></o:p></p>

<p class="MsoNormal">        HSM Label ->            dotCA<o:p></o:p></p>

<p class="MsoNormal">        HSM Serial Number ->    <SNIP><o:p></o:p></p>

<p class="MsoNormal">        HSM Model ->            LunaSA<o:p></o:p></p>

<p class="MsoNormal">        HSM Firmware Version -> 6.10.9<o:p></o:p></p>

<p class="MsoNormal">        HSM Configuration ->    Luna SA Slot (PED) Signing With Cloning Mode<o:p></o:p></p>

<p class="MsoNormal">        HSM Status ->           OK<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><b>And a (safenet) ‘vtl verify’ works:<o:p></o:p></b></p>

<p class="MsoNormal">[root@dns-test-tld bin]# ./vtl verify<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The following Luna SA Slots/Partitions were found: <o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Slot    Serial #                Label<o:p></o:p></p>

<p class="MsoNormal">====    ================        =====<o:p></o:p></p>

<p class="MsoNormal">   0           <SNIP>        dotCA<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><b>If I look on the HSM itself, I see:<o:p></o:p></b></p>

<p class="MsoNormal">[PRD-HSM-01] lunash:>ntls info show<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">NTLS Information:<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Operational Status:                               1 (up)<o:p></o:p></p>

<p class="MsoNormal">Connected Clients:                                1<o:p></o:p></p>

<p class="MsoNormal">Links:                                            1<o:p></o:p></p>

<p class="MsoNormal">Successful Client Connections:                   15<o:p></o:p></p>

<p class="MsoNormal">Failed Client Connections:                        0<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><b>…and in the syslog:<o:p></o:p></b></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">2017 Feb 16 15:32:26 PRD-HSM-01  local5 info  NTLS[2107]: info : 0 : NTLS Client "192.168.0.254" connected and authenticated : 192.168.0.254/41014.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><b>And yet an “ods-hsmutil” comes back with:<o:p></o:p></b></p>

<p class="MsoNormal">[root@dns-test-tld opendnssec]# ods-hsmutil info<o:p></o:p></p>

<p class="MsoNormal">Unknown error<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><b>An “ods-ksmutil key generate” comes back with:<o:p></o:p></b></p>

<p class="MsoNormal">[root@dns-test-tld bin]# ods-ksmutil key generate --policy=dotCA --interval P5Y<o:p></o:p></p>

<p class="MsoNormal">Key sharing is On<o:p></o:p></p>

<p class="MsoNormal">Info: converting P5Y to seconds; M interpreted as 31 days, Y interpreted as 365 days<o:p></o:p></p>

<p class="MsoNormal">hsm_open() result: HSM error<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Any guidance or ideas here would be appreciated.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Thanks all,<o:p></o:p></p>

<p class="MsoNormal">-Jacob Zack<o:p></o:p></p>

<p class="MsoNormal">DNS Architect – CIRA (.CA TLD)<o:p></o:p></p>

</div>

</body>

</html>