您需要同步应用系统的密钥和配置Java接口来部署云密码机。本文档主要介绍了同步应用系统密钥和配置Java接口的操作方法。

同步应用系统密钥

应用系统的各类应用密钥,可以存储在云密码机内部或者外部系统,这两种存储方式下密钥同步的方法存在差异。下文分别以应用密钥存储在云密码机内部和外部系统两种场景来介绍密钥同步的方法。

密钥存储在云密码机内部

应用密钥存储在云密码机内部时,根据密钥索引将应用密钥通过UKEY备份导出,然后通过密钥恢复导入功能将备份密钥到其他云密码机中,完成密钥同步操作。

说明 应用密钥由随机产生的备份密钥进行加密,您可以将加密后的密文以文件的形式导出或存储在UKEY中。同步密钥时,将UKEY插入需要同步的设备中进行密钥同步。
  1. 登录EVSM,在菜单栏单击密钥管理 > 备份导出
    备份导出
    说明 您需要获取应用密钥管理类别的授权许可,才能进行密钥备份。
  2. 选择导出密钥类型和索引对话框中,根据实际需要进行选择或者输入密钥索引,单击确认选择导出密钥类型
    您可以选择将密钥备份保存到文件保存到UKEY内。本文以将密钥备份保存到文件为例进行说明。
  3. 按照系统提示依次插入3个空UKEY并输入口令,单击下一步,云密码机将依次制作出3个KBK(密钥备份密钥) UKEY。
    密钥备份
    说明 3个KBK UKEY建议由3个密钥管理员分别保管。
  4. 选择要保存密钥密文的文件,单击下一步,EVSM将备份导出全部应用密钥并存储到选择的文件。
    密钥备份导出
    说明 密钥备份完成后,请您妥善保管3个KBK UKEY和密钥备份文件,待密钥恢复时使用。
  5. 登录EVSM,在菜单栏单击密钥管理,选择恢复导入 > 从文件中恢复密钥
    从文件中恢复密钥
    说明 恢复密钥时使用任意2个密钥备份UKEY即可还原出原始的KBK文件,然后将密钥恢复到其他云密码机内或者同步到热备的其他云密码机内。
  6. 按照系统提示依次插入任意2个KBK UKEY并输入口令,单击下一步
    密钥备份
  7. 选择要读取的密钥备份文件,等待系统完成应用密钥的恢复,单击完成
    密钥恢复

密钥存储在外部系统

应用密钥经过LMK分组加密保护后存储在外部系统中,您只需要同步云密码机的DMK即可。同步DMK时,需要云密码机原始初始化时产生DMK成份的UKEY。当多台云密码机进行密钥备份时,在第一台云密码机上完成原始初始化后,对其他的云密码机进行恢复初始化操作,即可完成多台云密码机的密钥同步。

  1. 在您的第一台云密码机上进行原始初始化操作。具体请参见步骤1:配置云密码机客户端
  2. 对您的其他云密码机进行恢复初始化操作。
    1. 导入DMK。
      1. 登录EVSM,单击密钥管理 > 恢复初始化恢复初始化
      2. 安全操作警示对话框中,单击下一步清除云密码机内的全部密钥。
      3. 恢复初始化-第一步对话框中,输入DMK成份UKEY数目,单击下一步恢复初始化
      4. 恢复初始化-第二步对话框中,依次插入n个成份UKEY并输入UKEY口令,单击导入成份UKEY,云密码机将读取UKEY内的DMK成份数据。恢复初始化
      5. DMK成份导入完成后,单击合成DMK合成DMK
      6. DMK合成成功后,确定授权机制制作授权机制
        • 如果您的其他云密码机共用一套授权UKEY,请选择同步授权信息。您只需插入有效授权的UKEY并输入口令,完成恢复初始化操作。
        • 如果您的每台云密码机都需要使用独立的授权UKEY,请选择制作新的授权UKEY > 1选1授权控制机制,制作授权UKEY完成恢复初始化操作。
  3. 在顶部菜单栏,单击密钥管理 > 获取DMK校验值获取DMK校验值
    当DMK同步到您的多台云密码机时,可以通过比对多台云密码机的DMK校验值来确定同步后的DMK是否一致。
  4. 在顶部菜单栏,单击密钥管理 > 导出DMK成份
    DMK成份导出
    导出DMK成份支持将DMK成份导出到多个UKEY中,可防止原有云密码机的成份UKEY丢失或损坏时,能够重新合成出与原有云密码机同样的DMK成份。
    说明 导出DMK成份功能不能保证DMK成份UKEY中的密钥备份与原有云密码机的成份UKEY中的密钥备份完全相同。

配置Java接口

您可以通过文件形式或者内容形式配置Java接口。
  • 文件形式:支持直接将配置文件绝对路径传入初始化接口内。示例:
    [LOGGER]
    logsw=error
    logPath=./
    
    [HOST1]
    hsmModel=SJJ1310
    linkNum=-15
    host=192.168.19.19
    port=8018
    timeout=5
    [HOST2]
    hsmModel=SJJ1310
    linkNum=-15
    host=192.168.19.20
    port=8018
    timeout=5
  • 内容形式:支持直接将配置信息以字符串的形式传入初始化接口内。示例:
    # 内容形式中的属性字段与文件形式中的属性字段保持一致。
    Stringconfig=
    "{"
    +"[LOGGER];"
    +"logsw=error;logPath=./;"
    +"[HOST1];"
    +"hsmModel=SJJ1310;"
    +"host=192.168.19.19;"
    +"port=8018;"
    +"connTimeout=5;"
    +"[HOST2];"
    +"hsmModel=SJJ1310;"
    +"host=192.168.19.20;"
    +"port=8018;"
    +"connTimeout=5;"
    +"}";