Atualização de firmware
A atualização do firmware é uma parte importante para a segurança do HSM; novas versões são lançadas frequentemente e o recomendado é que o HSM seja atualizado para a versão mais nova sempre que tiver alguma alteração de funcionamento de módulos utilizados, segurança, performance ou correção de problemas.
É possível acompanhar os lançamentos e release notes por notificações de email, veja mais informações na página Downloads.
Os HSMs modelos ST, XP e CD compartilham o mesmo arquivo de atualização de firmware, denominado upack. O download pode ser feito a partir da página Downloads.
Requisitos
Info
Versões de firmware anteriores a 5x não possuem a console HTTP e é necessário utilizar a console CLI (hsmcon) para fazer a atualização.
Caso esteja em uma versão de firmware antiga, vá direto para o roteiro com linha de comando.
- Acesso físico aos HSMs com os smart cards e o PIN de cada um.
- Teclado e monitor.
- Uma estação com conectividade via porta 443 (se for usar console HTTP) ou TCP 4433 (se for usar console CLI) ao HSM.
- Software client do HSM instalado na estação (consulte no tópico Downloads), caso a versão atual de firmware não disponha da console HTTP.
- Arquivo upack baixado.
- Serviço do HSM iniciado.
Envio do upack (GUI)
-
Para iniciar a atualização é necessário conectar no HSM utilizando a console HTTP (mais detalhes no tópico Console HTTP). Para isso basta conectar no IP do HSM em https utilizando um navegador (exemplo:
https://192.168.1.100).
Login Console HTTP -
Depois de conectado, verifique qual a versão atual do firmware e dos módulos carregados, indo em Informações do sistema e então em Módulos Carregados.
Informações do sistema - Módulos Carregados -
Utilize o menu a esquerda e clique em Configurações e sem seguida Atualização de firmware. Arraste o arquivo de upack para o campo indicado ou clique e navegue para indicar o arquivo. Depois clique no botão Clique para enviar.
Tela de atualização de firmware -
Continue o processo com o Reboot local do HSM.
Envio do upack (CLI)
Nos casos onde a console HTTP não está disponível, é possível utilizar a console CLI (hsmcon) para fazer a atualização.
Abra um terminal (prompt/shell), digite hsmcon para executar o programa e conecte no HSM.
Na tela principal digite o número do item Firmware Update e tecle Enter.
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.152 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
Main Menu
Keys/Objects Users HSM
1 - Create... 17 - Create 33 - Info
2 - Remove 18 - Remove 34 - Logs...
3 - Attributes 19 - List 35 - Backup...
4 - Import... 20 - Attributes 36 - Monitoring...
5 - Export... 21 - Trust Relations 37 - Firmware update
6 - List 22 - Password Policy 38 - Replication...
7 - Permissions... 23 - My Password 39 - SPB...
8 - Backup 40 - EFT...
9 - Restore 41 - IP Filter...
42 - Tests...
43 - Dinamo Services...
44 - Tools...
0 - Exit
Option: 37
Tecle Y e Enter na próxima tela:
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.152 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - Firmware update
*******************************************************************************
* *
* Warning *
* *
* Firmware update is a critical operation for the correct and safe *
* operation of the HSM. In case of doubt consult the technical support of *
* of your vendor. *
* *
*******************************************************************************
Continue updating firmware (y/[n]):
Na tela seguinte o hsmcon irá pedir o caminho do arquivo upack.
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.152 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - Firmware update
*******************************************************************************
* *
* Warning *
* *
* Firmware update is a critical operation for the correct and safe *
* operation of the HSM. In case of doubt consult the technical support of *
* of your vendor. *
* *
*******************************************************************************
Continue updating firmware (y/[n]): y
Local file to read upack: c:/sec/hsm_dinamo-firmware_upgrade-v_5.0.23.0.upack
Confirme pela descrição do upack que o arquivo enviado foi o correto, tecle Y e Enter:
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.152 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - Firmware update
*******************************************************************************
* *
* Warning *
* *
* Firmware update is a critical operation for the correct and safe *
* operation of the HSM. In case of doubt consult the technical support of *
* of your vendor. *
* *
*******************************************************************************
Continue updating firmware (y/[n]): y
Local file to read upack: c:/sec/hsm_dinamo-firmware_upgrade-v_5.0.23.0.upack
Upack size: 72355387 bytes
Upack description: 'Dinamo HSM, full firmware upgrade to version 5.0.23.0'.
Confirm sending upack to HSM (y/[n]): y
Upack successfully sent. This upack will be processed by the HSM in the next restart.
Press ENTER key to continue..
Reboot do HSM
-
Após o envio do upack é preciso iniciar um reboot. Utilizando um monitor e teclado, autentique com os cartões na console local.
-
É possível antes do reboot fazer uma verificação do upack pendente pressionando a tecla F6 na tela inicial.
Dinamo - Local Management Console ┌──────────────────┤ ├──────────────────┐ │ │ │ Pending operations: │ │ │ │ Backup => no │ │ Update package => Dinamo HSM, full │ │ firmware upgrade to version 5.0.23.0 │ │ │ │ ┌────┐ │ │ │ OK │ │ │ └────┘ │ │ │ │ │ └────────────────────────────────────────┘ Service running... Replication Domain: <none>Tela com upack pendente -
Na tela inicial escolha a opção Power Off, depois Reboot e tecle Enter.
Dinamo - Local Management Console ┌─┤ Power Off ├──┐ │ ◂ │ │ Reboot │ │ Shutdown │ └────────────────┘ Service running... Replication Domain: <none>Tela inicial console local -
Escolha Yes e tecle Enter.
Dinamo - Local Management Console ┌──────────────┤ ├───────────────┐ │ │ │ Are you sure you want to reboot │ │ the system? │ │ │ │ ┌────┐ ┌─────┐ │ │ │ No │ │ Yes │ │ │ └────┘ └─────┘ │ │ │ │ │ └─────────────────────────────────┘ Service running... Replication Domain: <none>Confirmação de reboot -
Caso apareça uma mensagem indicando usuários ainda conectados, basta esperar.
Dinamo - Local Management Console ┌───────────────────┤ Active Sessions ├───────────────────┐ │ │ │ Total: 01 │ │ │ │ IP id tls duration user │ │ ------------------------------------------------------- │ │ 172.17.0.1 29 y 25 master │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ └─────────────────────────────────────────────────────────┘ Service stopping... / (4s)Esperando fechar conexões de usuários -
Quando aparecer uma mensagem de confirmação da atualização, selecione Yes e tecle Enter.
Dinamo - Local Management Console ┌──────────────────────────┤ ├───────────────────────────┐ │ │ │ A request for update package processing was detected. │ │ │ │ Description: Dinamo HSM, full firmware upgrade to │ │ version 5.0.23.0 │ │ Size: 72355387 bytes. │ │ │ │ Do you want to confirm it? │ │ Warning: choosing No will discard it definitely. │ │ │ │ ┌────┐ ┌─────┐ │ │ │ No │ │ Yes │ │ │ └────┘ └─────┘ │ │ │ │ │ └─────────────────────────────────────────────────────────┘ Service stopped Replication Domain: <none>Confirmação da atualização -
Na tela inicial proceda com o start do serviço do HSM.
Note
O reboot do HSM também pode ser comandado remotamente via a opção de Gerência Remota da console Dinamocon. Ver detalhes no tópico Gerência Remota.
Verificação
-
A primeira verificação pode ser feita localmente na console, olhando a versão na tela de about.
Dinamo - Local Management Console ┌─────────────────────────────┤ ├─────────────────────────────┐ │ │ │ Dinamo 5.0.23.0 (DXP) - TCA0000000 ↑ │ │ ░ │ │ Operation mode: NRM ▒ │ │ Hardware profile: 6.0BA.1.01.01.01F.5.15.146U ▒ │ │ SVMK fingerprint: 11:8E:02:8E:46:6E:F8:E1 ▒ │ │ TPOEM: 9C1531FF ▒ │ │ ▒ │ │ Includes thirdy-party software. All rights reserved. ▒ │ │ ▒ │ │ Copyright © Free Software Foundation, Inc. ▒ │ │ Copyright © 1998-2018 The OpenSSL Project. ▒ │ │ Copyright © 1997-2018 Red Hat Software, Inc. ▒ │ │ Copyright © 2002-2018 Aleksey Sanin. ↓ │ │ │ │ ┌────┐ │ │ │ OK │ │ │ └────┘ │ │ │ │ │ └──────────────────────────────────────────────────────────────┘ Service stopped Replication Domain: <none>Verificação da atualização -
Uma segunda verificação pode ser feita no console HTTP, para isso basta conectar no IP do HSM em https utilizando um navegador (exemplo:
https://192.168.1.100). -
Depois de conectado, verifique qual a versão atual do firmware e dos módulos carregados, indo em Informações do sistema e então em Módulos Carregados.
Informações do sistema - Módulos Carregados