专属KMS使用租户独享的密码资源池(密码机集群),实现资源隔离和密码学隔离,以获得更高的安全性。购买专属KMS实例后,您需要先完成专属KMS实例配置,才能正常使用该实例。

前提条件

专属KMS实例需要关联同一阿里云账号下加密服务CloudHSM的密码机集群。请确保加密服务CloudHSM已经完成以下设置:
  1. 已经创建密码机集群,集群中已经添加密码机实例。为了密码机集群高可用,建议您添加两个不同可用区的密码机实例。具体操作,请参见创建密码机实例集群
  2. 已经激活集群,当前集群状态为已激活具体操作,请参见激活密码机实例集群

背景信息

专属KMS实例当前仅支持通用服务器密码机GVSM。为了确保安全性,专属KMS实例连接密码机GVSM时采用TLS双向认证,需进行双向TLS认证配置。具体操作,请参见步骤一:为密码机GVSM配置双向TLS认证

认证配置完成后,您需要先指定包含密码机GVSM的密码机集群,然后配置密码机访问凭据,最后连接密码机。具体操作,请参见步骤二:为专属KMS实例配置密码机集群访问凭据

连接成功后,专属KMS实例状态由未连接变为已连接,此时您可以为该专属KMS实例创建密钥和应用接入点,从而实现加密解密、签名验签的业务诉求。

步骤一:为密码机GVSM配置双向TLS认证

您需要先在密码机GVSM所处的VPC中创建ECS实例,然后登录ECS实例为密码机GVSM配置双向TLS认证。下面以Windows系统的ECS实例为例进行介绍。

  1. 登录ECS实例。
  2. 使用文件生成工具为主密码机生成双向TLS认证证书。
    1. 提交工单,获取证书文件生成工具。
    2. 运行证书文件生成工具,生成CA证书、客户端证书和服务端证书。
      • Windows系统:双击鼠标左键运行windows文件夹中的hsm_certificate_generate.exe文件,在certs文件夹获取证书文件。
      • Linux系统和MacOS系统:切换到linux或darwin文件夹所在路径,然后运行以下命令。
        ./hsm_certificate_generate -dir ./certs -pswd 12345678
        
        -dir 用于指定生成证书文件的保存路径。
        -pswd 用于指定生成的PKCS格式证书口令。

        命令执行成功后,会在certs文件夹生成以下证书文件:

        certs/
        ├── client.p12 (客户端PKCS12格式证书,包含客户端证书以及私钥)
        ├── client.pem (PEM格式客户端证书)
        ├── rootca.key (CA私钥)
        ├── rootca.pem (PEM格式CA证书)
        └── server.p12 (服务端PKCS12格式证书)
  3. 使用服务器密码机管理工具连接主密码机GVSM。
    1. 提交工单,获取服务器密码机管理工具。
    2. 双击PKIManager-1.1.2.9.exe打开密码机管理工具。
    3. 选择系统 > TCP/IP连接
    4. TCP/IP连接对话框,输入密码机GVSM IP地址(创建主密码机时生成的IP地址)和端口号(固定为8020)。
    5. 单击连接
    6. 单击登录
  4. 使用服务器密码机管理工具配置客户端证书(client.pem)。
    1. 选择密钥管理 > 客户端管理
    2. 客户端证书管理对话框,单击导入证书
    3. 导入证书对话框,选择步骤2生成的客户端证书(client.pem),然后单击导入
  5. 配置服务端证书(server.p12)。
    1. 选择密钥管理 > 服务端管理
    2. 客户端证书管理对话框,单击导入证书
    3. 导入证书对话框,选择步骤2生成的服务端证书(server.p12),然后输入证书口令(默认为12345678)。
    4. 单击导入
    5. 单击立即重启,然后单击确定
  6. 配置主密码机GVSM设备端口属性。
    1. 选择设备管理 > 主机端口属性
    2. 主机端口属性对话框,配置以下参数:
      • Socket KeepAlive时间:60。
      • 消息报文头长度:0。
      • 消息报文编码格式:ASCII。
      • 主机服务通讯方式:双向通讯。
      • 主机服务通讯协议:TLSv1.2。
    3. 单击重置
    4. 单击立即重启,然后单击确定
  7. 登录加密服务管理控制台,在集群详情页面的密码机实例列表区域单击同步集群,将主密码机GVSM中的数据同步到密码机集群中的其他密码机。
    具体操作,请参见同步集群中密码机实例的数据

步骤二:为专属KMS实例配置密码机集群访问凭据

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择专属KMS所在的地域。
    请选择华东2(上海)或华北2(北京)。
  3. 在左侧导航栏,单击专属KMS
  4. 单击目标专属KMS实例操作列的连接
  5. 连接密码机对话框,指定密码机集群。
    说明 一个密码机集群只能绑定一个专属KMS实例。
  6. 配置访问凭据。
  7. 单击连接密码机
    连接过程中专属KMS实例状态为正在创建连接。请等待几分钟,然后刷新页面,当状态变更为已连接时,专属KMS实例与密码机连接成功。