日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關(guān)鍵字查找
首頁 密鑰管理服務(wù) 加密服務(wù)HSM 快速入門 非中國內(nèi)地密碼機

非中國內(nèi)地密碼機

更新時間:
產(chǎn)品詳情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務(wù)造成影響,請務(wù)必仔細(xì)閱讀。

本文介紹如何快速上手使用加密服務(wù)。

說明

如果您需要創(chuàng)建KMS硬件密鑰管理實例的密碼機集群,請參見配置KMS硬件密鑰管理實例的密碼機集群

前提條件

  • 已購買并啟用密碼機實例。具體操作,請參見購買并啟用密碼機實例

    警告

    • 為了保證密碼機實例數(shù)據(jù)的安全,請不要在實際生產(chǎn)環(huán)境中使用測試密鑰。

    • 僅啟用主密碼機實例即可,無需啟用子密碼機。

  • 已購買Linux系統(tǒng)(CentOS 8或Alibaba Cloud Linux)的ECS實例,且ECS實例需要和密碼機實例在同一VPC。具體操作,請參見Linux系統(tǒng)實例快速入門

    說明

    該ECS實例用于安裝密碼機管理工具,而非用于業(yè)務(wù)服務(wù)器。

步驟一:創(chuàng)建并激活集群

一個集群中包括一個主密碼機實例與若干個非主密碼機實例。集群內(nèi)一個可用區(qū)的密碼機實例使用同一VPC子網(wǎng)。

  1. 實例列表頁面,定位到主密碼機實例,單擊操作列的創(chuàng)建集群

  2. 創(chuàng)建并激活集群面板,完成①創(chuàng)建集群,然后單擊下一步

    配置項

    說明

    集群名稱

    自定義集群的名稱。名稱不能重復(fù)且長度不允許超過24個字符。

    設(shè)置集群訪問白名單

    允許訪問集群的IP地址。如果未設(shè)置白名單,則所有IP地址都能訪問集群,如果設(shè)置了白名單,則不在白名單內(nèi)的訪問請求將被拒絕。

    您可以輸入單個IP地址或網(wǎng)段地址,每行輸入1條數(shù)據(jù),最多可以輸入10條數(shù)據(jù)。

    重要

    • 集群的白名單優(yōu)先級高于集群中密碼機實例的白名單。例如,您設(shè)置的集群中密碼機實例的白名單為10.10.10.10,集群的白名單為172.16.0.1,則您只能通過172.16.0.1訪問集群中的密碼機實例。

    • 不支持配置為0.0.0.0/0(放行所有來源IP)。

      基于安全考慮,不推薦您放行所有來源IP。如果因臨時測試等原因確實需要放行所有來源IP,不配置白名單即可。

    指定集群的交換機(2~4個)

    根據(jù)業(yè)務(wù)需要選擇可用區(qū)的交換機。

    在密碼機實例集群中,您至少配置2個交換機才能成功創(chuàng)建并激活集群。

  3. 創(chuàng)建并激活集群面板,完成②激活集群。

    1. 導(dǎo)入集群證書。

      1. 導(dǎo)入集群證書區(qū)域,單擊集群CSR證書下載CSR證書文件,然后上傳到ECS實例上保存。例如,保存為cluster.csr。

      2. 創(chuàng)建私鑰,并根據(jù)提示設(shè)置私鑰口令。例如,保存為issuerCA.key。

        openssl genrsa -aes256 -out issuerCA.key 2048

      3. 創(chuàng)建自簽名證書。例如,保存為issuerCA.crt。

        openssl req -new -x509 -days 3652 -key issuerCA.key -out issuerCA.crt

      4. 簽署集群CSR證書,頒發(fā)的集群證書存儲在cluster.crt文件中。

        說明

        該步驟會使用到cluster.csr、issuerCA.key、issuerCA.crt文件。

        openssl x509 -req -in cluster.csr -days 3652 -CA issuerCA.crt -CAkey issuerCA.key -set_serial 01 -out cluster.crt

      5. 返回加密服務(wù)管理控制臺,導(dǎo)入集群證書并單擊提交

        • 請輸入簽發(fā)者證書(PEM編碼)區(qū)域,輸入issuerCA.crt文件的內(nèi)容。

        • 請輸入簽發(fā)集群證書(PEM編碼)區(qū)域,輸入cluster.crt文件的內(nèi)容。

    2. 初始化主密碼機實例。

      步驟

      說明

      步驟1:下載密碼機實例管理工具。

      重要

      密碼機實例管理工具僅支持安裝在Linux操作系統(tǒng)。

      • CentOS

        • 方式一:下載密碼機實例管理工具

        • 方式二:執(zhí)行如下命令下載密碼機實例管理工具,該操作需要您的ECS服務(wù)器連接公網(wǎng)。

          wget -O hsm-client-v2.03.15.10-1.x86_64.rpm 'https://yundun-hsm4.oss-ap-southeast-1.aliyuncs.com/hsm-client-v2.03.15.10-1.x86_64.rpm'

        • 方式三:在實例列表頁面,找到目標(biāo)密碼機實例,通過單擊規(guī)格列的image圖標(biāo)。

        • 方式四:在激活集群頁面,單擊下載密碼機實例管理工具

      • Debian

        訪問hsm-client-2.03.15.10-20240710_1.x86_64.deb,下載密碼機實例管理工具。

      步驟2:安裝密碼機管理工具。

      執(zhí)行如下命令:將程序和配置文件安裝在/opt/hsm目錄下。

      • CentOS

        sudo yum install -y hsm-client-v2.03.15.10-1.x86_64.rpm

      • Debian

        sudo dpkg -i hsm-client-2.03.15.10-20240710_1.x86_64.deb

      步驟3:修改客戶端配置文件。

      在密碼機管理工具的安裝目錄下,修改/opt/hsm/etc/hsm_mgmt_tool.cfg文件中的servers配置項。

      • name、hostname修改為主密碼機的私有IP地址。

      • owner_cert_path修改為issuerCA.crt的文件路徑。

      hsm_mgmt_tool.cfg文件示例

      {

      "servers": [

      {

      "name" : "172.16.XX.XX",

      "hostname" : "172.16.XX.XX",

      "port" : 2225,

      "certificate": "/opt/hsm/etc/client.crt",

      "pkey": "/opt/hsm/etc/client.key",

      "CAfile": "",

      "CApath": "/opt/hsm/etc/certs",

      "ssl_ciphers": "",

      "server_ssl" : "yes",

      "enable" : "yes",

      "owner_cert_path":"<issuerCA.crt file path>"

      }],

      "scard": {

      "enable": "no",

      "port": 2225,

      "ssl": "no",

      "ssl_ciphers": "",

      "certificate": "cert-sc",

      "pkey": "pkey-sc"

      }

      }

      步驟4:登錄主密碼機并查看用戶列表。

      1. 通過以下命令登錄主密碼機。

        /opt/hsm/bin/hsm_mgmt_tool /opt/hsm/etc/hsm_mgmt_tool.cfg

      2. 執(zhí)行listUsers命令顯示用戶列表。

        cloudmgmt>listUsers
Users on server 0(172.16.XX.XX):
Number of users found:2

    User Id            User Type          User Name                     MofnPubKey       LoginFailureCnt            2FA
         1             PRECO          admin                                       NO               0                     NO
         2             AU             app_user                                    NO               0                     NO

      步驟5:將PRECO用戶改為CO用戶。

      1. 執(zhí)行loginHSM命令并以PRECO身份登錄加密機。

        cloudmgmt>loginHSM PRECO admin password
loginHSM success

      2. 執(zhí)行changePswd命令修改PRECO用戶的密碼,當(dāng)您更改密碼后,PRECO用戶將成為CO用戶。

        cloudmgmt>changePswd PRECO admin <NewPassword>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. Cav server does NOT synchronize these changes with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Changing password for admin(PRECO) on 1 nodes

      3. 通過listUsers命令查看用戶列表,驗證PRECO用戶是否更改為CO用戶。

        cloudmgmt>listUsers
Users on server 0(172.16.XX.XX):
Number of users found:2

    User Id            User Type          User Name                     MofnPubKey       LoginFailureCnt            2FA
         1             CO             admin                                       NO               0                     NO
         2             AU             app_user                                    NO               0                     NO

      步驟6:創(chuàng)建密碼機操作員(CU用戶)

      警告

      請您先創(chuàng)建CU用戶,再將子密碼機添加到集群,否則創(chuàng)建的CU用戶不會自動同步至子密碼機。

      1. 執(zhí)行createUser命令創(chuàng)建一個CU用戶。

        CU用戶名和密碼支持ASCII字符,其中CU用戶名不超過20個字符,密碼為8~32個字符。

        本文以CU用戶名為crypto_user為例,您可以根據(jù)業(yè)務(wù)需要自主命名。如果您是配置KMS硬件密鑰管理實例的密碼機集群,CU用戶名請使用kmsuser

        createUser CU crypto_user <enter password>

      2. 執(zhí)行listUsers命令,查看CU是否已經(jīng)創(chuàng)建成功。

        預(yù)期輸出:

        cloudmgmt>listUsers
Users on server 0(172.16.XX.XX):
Number of users found:3

    User Id         User Type       User Name                  MofnPubKey    LoginFailureCnt         2FA
         1          CO          admin                                    NO               0               NO
         2          AU          app_user                                 NO               0               NO
         3          CU          crypto_user                              NO               0               NO

      步驟7:驗證主密碼機狀態(tài)

      返回到加密服務(wù)控制臺,在激活集群頁面單擊update圖標(biāo)刷新密碼機狀態(tài),然后單擊下一步

  4. ③添加加密機頁面,根據(jù)提示添加子密碼機到集群,然后單擊完成

    如果需要更多的密碼機實例,您需要購買密碼機實例,并添加密碼機實例到集群。

步驟二:啟動HSM客戶端(hsm_proxy)

  1. 修改HSM客戶端配置文件。

    在密碼機管理工具的安裝目錄下,找到/opt/hsm/etc/hsm_proxy.cfg文件,修改server.hostname為當(dāng)前實例所屬VPC的IP地址,client.e2e_owner_crt_path為issuerCA.crt的文件路徑。

    說明

    issuerCA.crt即您在激活集群的過程中創(chuàng)建的自簽名證書。具體信息,請參見步驟一:創(chuàng)建并激活集群

    {

    "ssl": {
        "certificate": "/opt/hsm/etc/client.crt",
        "pkey": "/opt/hsm/etc/client.key",
        "CApath": "/opt/hsm/etc/certs",
        "server_ssl": "yes",
        "server_ch_ssl_ciphers": "default"
    },

    "client": {
        "socket_type" : "UNIXSOCKET",
        "tcp_port" : 1111,
        "zoneid" : 0,
        "workers" : 1,
        "daemon_id" : 1,
        "reconnect_attempts": -1,
        "reconnect_interval": 1,
        "log_level": "INFO",
        "sslreneg": 0,
        "CriticalAlertScript": "",
        "e2e_owner_crt_path" : "<issuerCA.crt file path>",
        "create_object_minimum_nodes" : 1,
        "logfiles_location" : ""
    },

    "loadbalance" : {
        "enable" : "yes",
        "prefer_same_zone": "no",
        "success_rate_weight" : 1,
        "relative_idleness_weight" : 1
    },

    "dualfactor": {
        "enable" : "no",
        "port" : 2225,
        "certificate" : "certificate.crt",
        "pkey" : "pkey.pem",
        "dualfactor_ssl": "yes",
        "dualfactor_ch_ssl_ciphers": "default"
    },

    "server": {
        "hostname": "<instance ip>",
        "port": 2224
    }
}

  2. 啟動HSM客戶端(hsm_proxy),并設(shè)置日志文件路徑。

    本文以將日志保存到liquidSecurity.1.WKCrty.log為例。

    /opt/hsm/bin/hsm_proxy /opt/hsm/etc/hsm_proxy.cfg

logfiles_location is not specified, logs will be available in current directory

Logs will be available in liquidSecurity.1.WKCrty.log file

  3. 驗證hsm_proxy是否連接成功。

    通過執(zhí)行tail命令獲取hsm_proxy的日志文件,查看hsm_proxy是否連接成功。例如,執(zhí)行tail liquidSecurity.1.WKCrty.log命令,如果結(jié)果中出現(xiàn)e2e_handle_client_request:HSM FIPS STATE 2,表示已連接成功。

    tail liquidSecurity.1.WKCrty.log
2023-10-28T13:33:05Z liquidSecurity INF: check_preferred_srv_status_noclock: New preferred server node id:0
2023-10-28T13:33:05Z liquidSecurity INF: do_e2e_encryption_handshake: Trying to login to server as new server connection is established
2023-10-28T13:33:05Z liquidSecurity INF: e2e_handle_client_request:  Got Authorize session response
2023-10-28T13:33:05Z liquidSecurity INF: get_partition_info: Get pHSM Info using e2e mgmtch
2023-10-28T13:33:05Z liquidSecurity INF: e2e_handle_client_request: Authorize session SUCCESS
2023-10-28T13:33:05Z liquidSecurity INF: e2e_handle_client_request: Got Partition Info
2023-10-28T13:33:05Z liquidSecurity INF: e2e_handle_client_request: GetPartitionInfo success 0 : HSM Return: SUCCESS
2023-10-28T13:33:05Z liquidSecurity INF: e2e_handle_client_request: HSM FIPS STATE 2
2023-10-28T13:33:06Z liquidSecurity INF: libevmulti_init: Initializing events
2023-10-28T13:33:06Z liquidSecurity INF: libevmulti_init: Ready !

(可選)步驟三:創(chuàng)建密鑰

說明

如果您是配置KMS硬件密鑰管理實例的密碼機集群,請?zhí)^本步驟。

  1. 啟動key_mgmt_tool命令行工具。

    /opt/hsm/bin/key_mgmt_tool

  2. 執(zhí)行loginHSM命令,以CU身份登錄HSM。

    Command:  loginHSM -u CU -s crypto_user -p <enter password>

        Cfm3LoginHSM returned: 0x00 : HSM Return: SUCCESS

        Cluster Status:
        Node id 0 status: 0x00000000 : HSM Return: SUCCESS

  3. 執(zhí)行genSymKey命令,生成一個對稱密鑰。

    Command:  genSymKey -l testkey -t 31 -s 32

        Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

        Symmetric Key Created.  Key Handle: 6

        Cluster Status:
        Node id 0 status: 0x00000000 : HSM Return: SUCCESS

  4. 執(zhí)行findKey命令,查詢您創(chuàng)建的密鑰。

    Command:  findKey

        Total number of keys present: 1

        Number of matching keys from start index 0::0

        Handles of matching keys:
        6

        Cluster Status:
        Node id 0 status: 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS

  5. 執(zhí)行exit命令,退出key_mgmt_tool命令行工具。

    Command:  exit

(可選)步驟四:使用密碼機實例集群進(jìn)行加密解密

您可以通過OpenSSL引擎、JCE或PKCS#11庫提供的接口使用密碼機集群。更多信息,請參見OpenSSL動態(tài)引擎JCEPKCS #11庫

相關(guān)文檔

創(chuàng)建GVSM(NIST FIPS)密碼機集群