快速入门

操作流程

步骤一：购买专属KMS标准版实例

1. 登录密钥管理服务控制台。
2. 在左侧导航栏，单击专属KMS。
3. 单击购买专属KMS。
4. 在购买页面，设置相关参数。
   说明 定制实例和密钥数量由系统默认填入，无需手动设置。

   • 版本：选择标准版。
   • 地域：根据需要选择专属KMS实例所在地域。
   • 专有网络数量：根据需要选择专有网络VPC（Virtual Private Cloud）的数量。同一地域内的多个VPC支持使用同一个专属KMS实例。
   • 购买数量：根据需要选择实例数量。最多支持同时购买20个实例。
   • 购买时长：根据需要选择购买时长。
     说明

     • 建议您为专属KMS标准版实例和密码机实例设置相同的购买时长，并为专属KMS标准版实例设置自动续费，以确保专属KMS标准版实例正常运行。
     • 您也可以选中到期自动续费，当前实例到期后将自动续费。
5. 确认总配置费用后，单击立即购买并完成支付。

步骤二：为密码机GVSM配置双向TLS认证

为了确保安全性，专属KMS标准版实例连接密码机GVSM时采用TLS双向认证，需进行双向TLS认证配置。本文以Windows系统的ECS实例为例。

1. 登录ECS实例。具体操作，请参见通过密码或密钥认证登录Windows实例。
2. 运行证书文件生成工具，生成CA证书、客户端证书和服务端证书。
   • Windows系统：双击鼠标左键运行windows文件夹中的hsm_certificate_generate.exe文件，在certs文件夹获取证书文件。
   • Linux系统和macOS系统：切换到Linux或darwin文件夹所在路径，然后运行以下命令。

     ./hsm_certificate_generate -dir ./certs -pswd 12345678
     
     -dir 用于指定生成证书文件的保存路径。
     -pswd 用于指定生成的PKCS格式证书口令。

     命令执行成功后，会在certs文件夹生成以下证书文件：

     certs/
     ├── client.p12 (客户端PKCS12格式证书，包含客户端证书以及私钥)
     ├── client.pem (PEM格式客户端证书)
     ├── rootca.key (CA私钥)
     ├── rootca.pem (PEM格式CA证书)
     └── server.p12 (服务端PKCS12格式证书)

3. 使用服务器密码机管理工具连接主密码机GVSM。
   1. 提交工单，获取服务器密码机管理工具。
   2. 双击PKIManager-1.1.2.9.exe打开密码机管理工具。
   3. 选择系统 > TCP/IP连接。
   4. 在TCP/IP连接对话框，输入密码机GVSM IP地址（创建主密码机时生成的IP地址）和端口号（固定为8020）。
   5. 单击连接。
   6. 单击登录。
4. 使用服务器密码机管理工具配置客户端证书（client.pem）。
   1. 选择密钥管理 > 客户端管理。
   2. 在客户端证书管理对话框，单击导入证书。
   3. 在导入证书对话框，选择证书文件生成工具生成的客户端证书（client.pem），然后单击导入。
5. 配置服务端证书（server.p12）。
   1. 选择密钥管理 > 服务端管理。
   2. 在服务端p12证书管理对话框，单击导入证书。
   3. 在导入证书对话框，选择证书文件生成工具生成的服务端证书（server.p12），然后输入证书口令（默认为12345678）。
   4. 单击导入。
   5. 单击立即重启，然后单击确定。
6. 配置主密码机GVSM设备端口属性。
   1. 选择设备管理 > 主机端口属性。
   2. 在主机端口属性对话框，配置以下参数：
      • Socket KeepAlive时间：60。
      • 消息报文头长度：0。
      • 消息报文编码格式：ASCII。
      • 主机服务通讯方式：双向通讯。
      • 主机服务通讯协议：TLSv1.2。
   3. 单击重置。
   4. 单击立即重启，然后单击确定。
7. 登录加密服务管理控制台，在集群详情页面的密码机实例列表区域单击一键同步集群，将主密码机GVSM中的数据同步到密码机集群中的其他密码机。具体操作，请参见同步集群中密码机实例的数据。

步骤三：启用专属KMS标准版实例

1. 在专属KMS页面，找到目标专属KMS标准版实例，在操作列单击启用。
2. 在连接密码机对话框，指定密码机集群。
   说明 一个密码机集群只能绑定一个专属KMS标准版实例。
3. 配置访问凭据。
   • 客户端保护口令：客户端证书保护口令，默认为12345678。
   • 客户端证书：经过Base64编码的PKCS12格式证书。请获取步骤二：为密码机GVSM配置双向TLS认证中的client.p12文件，进行Base64编码后输入文本框。
   • 安全域证书：PEM格式CA证书。请将步骤二：为密码机GVSM配置双向TLS认证中的rootca.pem文件内容输入文本框。
4. 单击连接密码机。
   请等待几分钟，然后刷新页面，当状态变更为已启用时，专属KMS标准版实例启用成功。
5. 如果您需要设置多个VPC使用同一专属KMS实例，单击目标实例专有网络列下的，配置专有网络。
   在待选专有网络中选中需要设置的专有网络，单击后，选择该VPC内的一个交换机，完成确定。

   说明

   • 您可以单击目标实例操作列的详情，在服务规格中会显示当前实例支持关联的VPC数量。
   • 如果选择关联的VPC数量超过了关联资源限制，您可以根据控制台上的提示，单击前往购买升级专有网络数量的规格。

步骤四：为专属KMS标准版实例创建密钥

1. 在专属KMS页面，找到目标专属KMS标准版实例，在操作列单击管理。
2. 在用户主密钥区域，单击创建密钥。
3. 在创建密钥对话框，设置以下参数。

   参数名称	说明
   密钥类型	取值： 对称密钥的类型： Aliyun_AES_256 Aliyun_AES_128 Aliyun_AES_192 Aliyun_SM4 非对称密钥的类型： RSA_2048 RSA_3072 RSA_4096 EC_SM2 EC_P256 EC_P256K
   密钥用途	取值： Encrypt/Decrypt：数据加密和解密。 Sign/Verify：产生和验证数字签名。
   别名	用户主密钥的标识符。支持英文字母、数字、下划线（_）、短划线（-）和正斜线（/）。
   描述	密钥的说明信息。

4. 可选：单击高级选项，选择密钥材料来源和附加密钥用途。
   • 密钥材料来源
     • 阿里云KMS：密钥材料将由专属KMS生成。
     • 外部：专属KMS将不会生成密钥材料，您需要将自己的密钥材料导入专属KMS。更多信息，请参见导入对称密钥材料。
       说明 此时需要选中我了解使用外部密钥材料的方法和意义。
   • 附加密钥用途：当密钥类型为非对称密钥时，支持设置附加密钥用途，让一个密钥具有多个用途。
5. 单击确定。

步骤五：应用接入专属KMS标准版实例

1. 创建应用接入点AAP（Application Access Point），控制应用正常访问专属KMS标准版实例。
   1. 在专属KMS页面，找到目标专属KMS标准版实例，在操作列单击详情。
   2. 在应用接入指南区域，单击快速创建应用接入点。
   3. 在快速配置应用身份凭证和权限面板，设置应用接入点信息。
      1. 输入应用接入点名称。
      2. 设置访问控制策略。
         • 允许访问资源：默认填写Key/*，表示允许访问当前专属KMS实例的全部密钥。
         • 允许网络来源：允许访问的网络类型和IP地址。您可以设置私网IP地址或者私网网段，多个IP地址之间用半角逗号（,）分隔。
      3. 单击创建。
   4. 在应用身份凭证对话框，获取凭证口令和应用身份凭证内容（Client Key）。
      • 凭证口令：单击复制口令，获取凭证口令。
      • 应用身份凭证内容：单击下载应用身份凭证，保存应用身份凭证信息。

        应用身份凭证信息包含凭证ID（KeyId）和凭证内容（PrivateKeyData），凭证内容为PKCS12格式Base64编码。示例如下：

        {
          "KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
          "PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
        }

        说明 KMS不会保存Client Key的凭证口令和应用身份凭证内容，您只能在创建Client Key时获取到该信息，请妥善保管。
   5. 单击关闭。
2. 获取CA证书，以便验证专属KMS标准版实例。
   在应用接入指南区域，单击获取实例CA证书下方的下载，下载.pem格式的CA证书文件。