专属KMS使用租户独享的密码资源池(密码机集群),实现资源隔离和密码学隔离,以获得更高的安全性。本文介绍如何快速使用专属KMS标准版实例。
前提条件
专属KMS标准版实例需要关联同一阿里云账号下加密服务CloudHSM的密码机集群。请确保加密服务CloudHSM已经完成以下设置:
- 已经购买两个不同可用区的GVSM密码机实例。具体操作,请参见购买加密服务。
- 已经创建并激活密码机集群,集群中已经添加两个不同可用区的GVSM密码机实例。具体操作,请参见使用密码机实例集群。
为密码机GVSM配置双向TLS认证前,您需要提交工单,获取证书文件生成工具。
步骤一:购买专属KMS标准版实例
- 登录密钥管理服务控制台。
- 在左侧导航栏,单击专属KMS。
- 单击购买专属KMS。
- 在购买页面,设置相关参数。
说明 定制实例和密钥数量由系统默认填入,无需手动设置。
- 版本:选择标准版。
- 地域:根据需要选择专属KMS实例所在地域。
- 专有网络数量:根据需要选择专有网络VPC(Virtual Private Cloud)的数量。同一地域内的多个VPC支持使用同一个专属KMS实例。
- 购买数量:根据需要选择实例数量。最多支持同时购买20个实例。
- 购买时长:根据需要选择购买时长。
说明
- 建议您为专属KMS标准版实例和密码机实例设置相同的购买时长,并为专属KMS标准版实例设置自动续费,以确保专属KMS标准版实例正常运行。
- 您也可以选中到期自动续费,当前实例到期后将自动续费。
- 确认总配置费用后,单击立即购买并完成支付。
步骤二:为密码机GVSM配置双向TLS认证
为了确保安全性,专属KMS标准版实例连接密码机GVSM时采用TLS双向认证,需进行双向TLS认证配置。本文以Windows系统的ECS实例为例。
- 登录ECS实例。具体操作,请参见通过密码或密钥认证登录Windows实例。
- 运行证书文件生成工具,生成CA证书、客户端证书和服务端证书。
- Windows系统:双击鼠标左键运行windows文件夹中的hsm_certificate_generate.exe文件,在certs文件夹获取证书文件。
- Linux系统和macOS系统:切换到Linux或darwin文件夹所在路径,然后运行以下命令。
./hsm_certificate_generate -dir ./certs -pswd 12345678
-dir 用于指定生成证书文件的保存路径。
-pswd 用于指定生成的PKCS格式证书口令。
命令执行成功后,会在certs文件夹生成以下证书文件:
certs/
├── client.p12 (客户端PKCS12格式证书,包含客户端证书以及私钥)
├── client.pem (PEM格式客户端证书)
├── rootca.key (CA私钥)
├── rootca.pem (PEM格式CA证书)
└── server.p12 (服务端PKCS12格式证书)
- 使用服务器密码机管理工具连接主密码机GVSM。
- 提交工单,获取服务器密码机管理工具。
- 双击
PKIManager-1.1.2.9.exe
打开密码机管理工具。
- 选择。
- 在TCP/IP连接对话框,输入密码机GVSM IP地址(创建主密码机时生成的IP地址)和端口号(固定为8020)。
- 单击连接。
- 单击登录。
- 使用服务器密码机管理工具配置客户端证书(
client.pem
)。
- 选择。
- 在客户端证书管理对话框,单击导入证书。
- 在导入证书对话框,选择证书文件生成工具生成的客户端证书(
client.pem
),然后单击导入。
- 配置服务端证书(
server.p12
)。
- 选择。
- 在服务端p12证书管理对话框,单击导入证书。
- 在导入证书对话框,选择证书文件生成工具生成的服务端证书(
server.p12
),然后输入证书口令(默认为12345678)。
- 单击导入。
- 单击立即重启,然后单击确定。
- 配置主密码机GVSM设备端口属性。
- 选择。
- 在主机端口属性对话框,配置以下参数:
- Socket KeepAlive时间:60。
- 消息报文头长度:0。
- 消息报文编码格式:ASCII。
- 主机服务通讯方式:双向通讯。
- 主机服务通讯协议:TLSv1.2。
- 单击重置。
- 单击立即重启,然后单击确定。
- 登录加密服务管理控制台,在集群详情页面的密码机实例列表区域单击一键同步集群,将主密码机GVSM中的数据同步到密码机集群中的其他密码机。具体操作,请参见同步集群中密码机实例的数据。
步骤三:启用专属KMS标准版实例
- 在专属KMS页面,找到目标专属KMS标准版实例,在操作列单击启用。
- 在连接密码机对话框,指定密码机集群。
说明 一个密码机集群只能绑定一个专属KMS标准版实例。
- 配置访问凭据。
- 单击连接密码机。
请等待几分钟,然后刷新页面,当状态变更为已启用时,专属KMS标准版实例启用成功。
- 如果您需要设置多个VPC使用同一专属KMS实例,单击目标实例专有网络列下的
,配置专有网络。在
待选专有网络中选中需要设置的专有网络,单击

后,选择该VPC内的一个交换机,完成
确定。
说明
- 您可以单击目标实例操作列的详情,在服务规格中会显示当前实例支持关联的VPC数量。
- 如果选择关联的VPC数量超过了关联资源限制,您可以根据控制台上的提示,单击前往购买升级专有网络数量的规格。
步骤四:为专属KMS标准版实例创建密钥
- 在专属KMS页面,找到目标专属KMS标准版实例,在操作列单击管理。
- 在用户主密钥区域,单击创建密钥。
- 在创建密钥对话框,设置以下参数。
参数名称 |
说明 |
密钥类型 |
取值:
- 对称密钥的类型:
- Aliyun_AES_256
- Aliyun_AES_128
- Aliyun_AES_192
- Aliyun_SM4
- 非对称密钥的类型:
- RSA_2048
- RSA_3072
- RSA_4096
- EC_SM2
- EC_P256
- EC_P256K
|
密钥用途 |
取值:
- Encrypt/Decrypt:数据加密和解密。
- Sign/Verify:产生和验证数字签名。
|
别名 |
用户主密钥的标识符。支持英文字母、数字、下划线(_)、短划线(-)和正斜线(/)。 |
描述 |
密钥的说明信息。 |
- 可选:单击高级选项,选择密钥材料来源和附加密钥用途。
- 密钥材料来源
- 阿里云KMS:密钥材料将由专属KMS生成。
- 外部:专属KMS将不会生成密钥材料,您需要将自己的密钥材料导入专属KMS。更多信息,请参见导入对称密钥材料。
说明 此时需要选中我了解使用外部密钥材料的方法和意义。
- 附加密钥用途:当密钥类型为非对称密钥时,支持设置附加密钥用途,让一个密钥具有多个用途。
- 单击确定。
步骤五:应用接入专属KMS标准版实例
- 创建应用接入点AAP(Application Access Point),控制应用正常访问专属KMS标准版实例。
- 在专属KMS页面,找到目标专属KMS标准版实例,在操作列单击详情。
- 在应用接入指南区域,单击快速创建应用接入点。
- 在快速配置应用身份凭证和权限面板,设置应用接入点信息。
- 输入应用接入点名称。
- 设置访问控制策略。
- 允许访问资源:默认填写
Key/*
,表示允许访问当前专属KMS实例的全部密钥。
- 允许网络来源:允许访问的网络类型和IP地址。您可以设置私网IP地址或者私网网段,多个IP地址之间用半角逗号(,)分隔。
- 单击创建。
- 在应用身份凭证对话框,获取凭证口令和应用身份凭证内容(Client Key)。
- 凭证口令:单击复制口令,获取凭证口令。
- 应用身份凭证内容:单击下载应用身份凭证,保存应用身份凭证信息。
应用身份凭证信息包含凭证ID(KeyId)和凭证内容(PrivateKeyData),凭证内容为PKCS12格式Base64编码。示例如下:
{
"KeyId": "KAAP.71be72c8-73b9-44e0-bb75-81ee51b4****",
"PrivateKeyData": "MIIJwwIBAz****ICNXX/pOw=="
}
说明 KMS不会保存Client Key的凭证口令和应用身份凭证内容,您只能在创建Client Key时获取到该信息,请妥善保管。
- 单击关闭。
- 获取CA证书,以便验证专属KMS标准版实例。
在应用接入指南区域,单击获取实例CA证书下方的下载,下载.pem格式的CA证书文件。