您需要同步应用系统的密钥和配置Java接口来部署云密码机。本文主要介绍了同步应用系统密钥和配置Java接口的操作方法。

同步应用系统密钥

应用系统的各类应用密钥,可以存储在云密码机内部或者外部系统,这两种存储方式下密钥同步的方法存在差异。接下来,我们以应用密钥存储在云密码机的内部和外部系统这两个场景来介绍密钥同步的方法。

密钥存储在云密码机内部

应用密钥存储在云密码机内部时,根据密钥索引将应用密钥通过UKEY备份导出,然后通过密钥恢复导入功能将备份密钥到其他云密码机中,完成密钥同步操作。

说明 应用密钥由随机产生的备份密钥进行加密,您可以将加密后的密文以文件的形式导出或存储在UKEY中。同步密钥时,将UKEY插入需要同步的设备中进行密钥同步。
  1. 使用拥有应用密钥管理类别授权许可的UKEY登录EVSM
  2. 在顶部菜单栏,单击密钥管理,然后在密钥管理菜单中,单击备份导出备份导出
  3. 选择导出密钥类型和索引对话框中,根据实际需要选择密钥类型并输入密钥索引,单击确认选择导出密钥类型
    您可以选择将密钥备份保存到文件保存到UKEY内。本文以将密钥备份保存到文件为例进行说明。
  4. 按照系统提示依次插入3个空UKEY并输入口令,单击下一步
    云密码机将依次制作出3个KBK(密钥备份密钥)UKEY。密钥备份
    说明 3个KBK UKEY建议由3个密钥管理员分别保管。
  5. 选择要保存密钥密文的文件,单击下一步
    EVSM将导出全部应用密钥并保存到您选择的文件中。密钥备份导出
    说明 密钥备份完成后,请您妥善保管3个KBK UKEY和密钥备份文件,待密钥恢复时使用。
  6. 登录EVSM,在顶部菜单栏单击密钥管理
  7. 在密钥管理菜单中,选择恢复导入 > 从文件中恢复密钥
    从文件中恢复密钥
    说明 恢复密钥时使用任意2个密钥备份UKEY即可还原出原始的KBK文件,然后将密钥恢复到其他云密码机内或者同步到热备的其他云密码机内。
  8. 按照系统提示依次插入任意2个KBK UKEY并输入口令,单击下一步
    密钥备份
  9. 选择要读取的密钥备份文件,等待系统完成应用密钥的恢复,单击完成
    密钥恢复

密钥存储在外部系统

应用密钥经过LMK分组加密保护后存储在外部系统中,如果需要同步应用系统密钥,您还需同步云密码机的DMK。您可以通过云密码机原始初始化操作,来产生DMK成分的UKEY。当多台云密码机进行密钥备份时,只需要在第一台云密码机上完成原始初始化后,对其他的云密码机进行恢复初始化操作,即可完成多台云密码机的密钥同步。

  1. 在第一台云密码机上进行原始初始化操作。具体操作,请参见步骤1:配置云密码机客户端
  2. 对其他云密码机进行恢复初始化操作(即导入DMK)。
    1. 登录EVSM,在顶部菜单栏,单击密钥管理,在密钥管理菜单中,单击恢复初始化恢复初始化
    2. 安全操作警示对话框中,单击下一步,清除云密码机内的全部密钥。
    3. 恢复初始化-第一步对话框中,输入DMK成份UKEY数目,单击下一步恢复初始化
    4. 恢复初始化-第二步对话框中,依次插入n个成份UKEY并输入UKEY口令,单击导入成份UKEY,云密码机将读取UKEY内的DMK成份数据。恢复初始化
    5. DMK成份导入完成后,单击合成DMK合成DMK
    6. DMK合成成功后,确定授权机制制作授权机制
      • 如果您的其他云密码机共用一套授权UKEY,请选择同步授权信息。您只需插入有效授权的UKEY并输入口令,单击完成,完成恢复初始化操作。
      • 如果您的每台云密码机都需要使用独立的授权UKEY,选中制作新的授权UKEY,并从选择授权机制列表中选择请选择1选1授权控制机制,制作授权UKEY完成恢复初始化操作。
  3. 在顶部菜单栏,单击密钥管理,在密钥管理菜单中,单击获取DMK校验值获取DMK校验值
    当DMK同步到多台云密码机时,可以通过比对多台云密码机的DMK校验值来确定同步后的DMK是否一致。
  4. 在顶部菜单栏,单击密钥管理在密钥管理菜单中,单击导出DMK成份成分导出
    导出DMK成份支持将DMK成份导出到多个UKEY中,可防止原有云密码机的成份UKEY丢失或损坏的情况下,能够重新合成出与原有云密码机同样的DMK成份。
    说明 导出DMK成份功能不能保证DMK成份UKEY中的密钥备份与原有云密码机的成份UKEY中的密钥备份完全相同。

配置Java接口

您可以通过文件形式或者内容形式配置Java接口。
  • 文件形式:支持直接将配置文件绝对路径传入初始化接口内。示例:
    [LOGGER]
    logsw=error
    logPath=./
    
    [HOST1]
    hsmModel=SJJ1310
    linkNum=-15
    host=192.168.XX.XX
    port=8018
    timeout=5
    [HOST2]
    hsmModel=SJJ1310
    linkNum=-15
    host=192.168.XX.XX
    port=8018
    timeout=5
  • 内容形式:支持直接将配置信息以字符串的形式传入初始化接口内。示例:
    # 内容形式中的属性字段与文件形式中的属性字段保持一致。
    Stringconfig=
    "{"
    +"[LOGGER];"
    +"logsw=error;logPath=./;"
    +"[HOST1];"
    +"hsmModel=SJJ1310;"
    +"host=192.168.XX.XX;"
    +"port=8018;"
    +"connTimeout=5;"
    +"[HOST2];"
    +"hsmModel=SJJ1310;"
    +"host=192.168.XX.XX;"
    +"port=8018;"
    +"connTimeout=5;"
    +"}";