配置KMS硬件密钥管理实例的密码机集群

背景信息

KMS硬件密钥管理实例可以对客户端应用或云产品服务端数据进行加密，避免文件或敏感数据（用户手机号码、身份证号、银行卡号等）被攻击或者在传输过程中被泄露。

通过KMS实例连接加密服务密码机集群的方式，具有以下优势：

• 降低使用加密服务的复杂度，为您提供稳定、易用的上层密钥管理途径和密码计算服务。

• 将加密服务密码机集群与阿里云其他云服务集成，为云服务加密提供更高的安全性和可控制性。支持的阿里云服务，请参见支持服务端集成加密的云服务。

密码机支持的地域和可用区

场景示例

您在华东2（上海）地域创建了1个VPC并搭建了自建应用，希望通过硬件密钥管理实例加解密敏感数据或文件，可以搭建如下网络架构并进行资源规划。

使用限制

• VPC、交换机、密码机实例、KMS硬件密钥管理实例、ECS实例必须属于同一个地域。

  重要

  建议您在购买前，在购买页充分确认该地域是否有不同可用区的密码机，避免只有1个可用区有密码机。

• 两个交换机实例的可用区，需要和密码机实例的可用区相同。例如两个交换机实例的可用区为可用区A、可用区B，两个密码机实例的可用区也需要为可用区A、可用区B。

  重要

  由于华东1（杭州）无法购买可用区A的交换机，如果密码机实例是可用区A，您可创建可用区J、可用区G的交换机。该密码机实例支持绑定可用区J、可用区G的交换机。

前提条件

• 已创建VPC并在VPC内创建了两个不同可用区的交换机。具体操作，请参见创建专有网络和交换机。

• 已创建Windows操作系统的ECS实例，且ECS实例与主密码机实例在同一个VPC子网网段。具体操作，请参见使用向导创建实例。

步骤一：购买密码机实例

购买密码机实例1和密码机实例2，密码机实例1的可用区为可用区A，密码机实例2的可用区为可用区B。

1. 登录加密服务管理控制台，在顶部菜单栏，选择目标地域。

2. 在实例列表页面，单击创建密码机实例。

3. 在密码机购买页面，参考下表完成各项配置后单击立即购买，仔细阅读并勾选服务协议，单击去支付完成购买。

   配置项	说明	示例值
   区域	选择密码机实例的地域。支持的地域，请参见支持的地域和可用区。 重要 密码机实例只能在VPC中使用，且必须与您的VPC、KMS硬件密钥管理实例的地域相同。	华东2（上海）
   可用区	选择密码机实例的可用区。 重要 您购买的两个密码机实例的可用区，需要和VPC内两个交换机的可用区相同。	可用区A
   密码机类型	设备型号。KMS硬件密钥管理实例关联的密码机仅支持通用服务器密码机GVSM。	通用服务器密码机GVSM
   购买数量	需要购买的密码机实例数量。选择1。	1
   购买时长	购买的有效服务时间。建议您选择与KMS硬件密钥管理实例相同的购买时长。 说明 建议您购买时选择到期自动续费，防止加密服务到期未及时续费而导致的密钥永久性丢失。您选择到期自动续费后，阿里云会在服务到期前9个自然日从您购买密码机时使用的支付账户自动扣款。	1年

4. 购买另外一个可用区的密码机实例。

   参考步骤3的配置，除可用区不同外（本文示例中此处为可用区B），其他配置项取值相同。

   配置成功后，您可以在实例列表页面查看到两个密码机实例。

步骤二：启用并配置密码机实例

配置密码机实例1和密码机实例2的网络信息，使KMS硬件密钥管理实例和密码机集群在同一个VPC内。

1. 在实例列表页面，定位到已创建的密码机实例，单击操作列的启用。

2. 在密码机实例配置对话框，配置密码机实例，然后单击确定。

   配置项	说明	示例值
   所属的VPC子网	选择密码机实例需要绑定的VPC，和KMS硬件密钥管理实例所属的VPC必须保持一致。	vpc-wz95******
   所属的VPC网络ID	选择密码机实例所属的VPC子网IP，即选择当前密码机实例所在可用区的交换机。	vsw-wz9h******（交换机1）
   分配私网IP地址	为密码机实例分配一个私网IP地址。 重要 私网IP地址必须是所属的VPC子网网段中的IP地址，否则配置将会失败。 末位为253、254、255的IP地址为系统保留地址，请勿使用。	192.168.XX.XX
   设置密码机实例白名单	本场景下无需配置。 由于在后续操作中会设置密码机集群的白名单，而集群的白名单优先级高于集群中密码机实例的白名单， 因此本场景下无需配置。关于如何配置集群白名单，请参见步骤三：创建并激活集群。	无需配置

3. 启用另外一个密码机实例，并参照步骤2配置。

   示例值如下：所属的VPC网络ID为vsw-wz96******（交换机2），分配私网IP地址为192.169.XX.XX，其他配置项取值和步骤2相同。

   配置成功后，密码机实例的状态变为已启用。

步骤三：创建并激活集群

集群即将处于同一地域不同可用区、用于相同业务的一组密码机实例关联起来，进行统一管理，为业务应用提供密码计算的高可用性、负载均衡以及横向扩展的能力。

选定密码机实例1为主密码机，创建集群后添加密码机实例2为子密码机。

1. 在实例列表页面，定位到主密码机实例，单击操作列的创建集群。

2. 在创建并激活集群面板，完成①创建并激活集群。

   1. 填写集群的配置项信息。

      配置项	说明	示例值
      集群名称	自定义集群的名称。名称不能重复且长度不允许超过24个字符。	custer1
      设置集群访问白名单	允许访问集群的IP地址。 您可以输入单个IP地址或网段地址，每行输入1条数据，最多可以输入10条数据。 在本文示例中请确保如下IP均已添加到白名单中。 集群中各密码机实例所在交换机的网段 例如，集群中密码机实例所属的VPC子网（交换机）网段分别为172.16.1.0/24和172.16.2.0/24，则在编辑框中增加输入两行，内容分别为：172.16.1.0/24和172.16.2.0/24。 ECS实例的私网IP 例如，ECS实例的私网IP为172.16.3.0，则在编辑框中增加输入一行，内容为：172.16.3.0。 KMS实例绑定的交换机的网段 如果此时还未购买KMS实例，请在购买并启用KMS实例后，再为集群添加该白名单。 重要 集群的白名单优先级高于集群中密码机实例的白名单。例如，您设置的集群中密码机实例的白名单为10.10.10.10，集群的白名单为172.16.0.1，则您只能通过172.16.0.1访问集群中的密码机实例。 不支持配置为0.0.0.0/0（放行所有来源IP）。 基于安全考虑，不推荐您放行所有来源IP。如果因临时测试等原因确实需要放行所有来源IP，不配置白名单即可。	172.16.1.0/24 172.16.2.0/24 172.16.3.0
      指定另外一个可用区的交换机	配置另外一个密码机实例绑定的交换机。	vsw-wz96******

   2. 初始化主密码机实例，然后单击下一步。

      在创建并激活集群面板的最下方，单击一键初始化主密码机实例，然后在初始化实例对话框，单击确定。

      预计需要1~5分钟时间，请耐心等待。初始化完成后，单击已选主密码机：后的图标，状态会显示已初始化，该状态下请勿重复初始化。

      说明

      只有已选主密码机：状态为已初始化时才能激活集群。

3. 在创建并激活集群面板，完成②添加密码机。

   在可选实例中选择另外一个密码机实例，单击图标，然后单击完成。配置成功后，在密码机实例的集群列，您可以看到两个密码机实例的状态分别为主密码机和子密码机。

   说明

   • 如果您在此处未将另外一个密码机实例添加至集群，您也可以在实例列表页面，找到主密码机实例，单击操作列的扩展集群，根据页面提示完成添加。

   • 当待添加的密码机实例状态是已初始化时，无法添加到集群。如果此时密码机上未配置相关业务，您可以将密码机实例先停用，然后重置，最后恢复，使密码机恢复到未初始化状态，整个过程约1分钟左右。

步骤四：为主密码机实例配置双向TLS认证

为了确保安全性，您需要为密码机实例1配置双向TLS认证。

1. 访问下载链接，下载证书文件生成工具（dkms_cert_tool）。

2. 将下载的文件解压后，运行证书文件生成工具生成CA证书、客户端证书和服务端证书。

   说明

   • 后续在密钥管理服务控制台启用KMS硬件密钥管理实例时，也会用到这些证书和私钥，因此请您妥善保管。

   • 工具的运行环境没有限制，可以是本地计算机、ECS实例或其他满足工具运行条件的环境。

   • 工具仅为阿里云提供的辅助性工具，如果您有相关技术能力可以自己生成这些证书文件，则无需使用本工具。

   工具运行操作系统	说明
   Windows系统	方式一：在windows文件夹，双击鼠标左键运行hsm_certificate_generate.exe文件，在certs文件夹获取证书文件。 说明 该方式生成的PKCS12格式证书文件（后缀为.p12）和CA私钥文件（后缀为.key）的口令为默认值12345678，如果您需要指定口令，请使用方式二。 方式二：切换到windows文件夹所在路径，然后运行以下命令，在certs文件夹获取证书文件。 ./hsm_certificate_generate -dir ./certs -pswd 12345678 -dir 用于指定生成证书文件的保存路径，-pswd 用于指定生成的PKCS12格式证书文件（后缀为.p12）和CA私钥文件（后缀为.key）的口令。
   Linux系统	切换到linux文件夹所在路径，然后运行以下命令，在certs文件夹获取证书文件。 ./hsm_certificate_generate -dir ./certs -pswd 12345678 -dir 用于指定生成证书文件的保存路径，-pswd 用于指定生成的PKCS12格式证书文件（后缀为.p12）和CA私钥文件（后缀为.key）的口令。
   macOS系统	切换到darwin文件夹所在路径，然后运行以下命令，在certs文件夹获取证书文件。 ./hsm_certificate_generate -dir ./certs -pswd 12345678 -dir 用于指定生成证书文件的保存路径，-pswd 用于指定生成的PKCS12格式证书文件（后缀为.p12）和CA私钥文件（后缀为.key）的口令。

   运行成功后，将在certs文件夹中生成下列文件：

   certs/
   ├── client.p12 （PKCS12格式客户端证书，包含客户端证书以及私钥）
   ├── client.pem （PEM格式客户端证书）
   ├── rootca.key （CA私钥）
   ├── rootca.pem （PEM格式CA证书）
   ├── server.p12 （PKCS12格式服务端证书）
   └── server.pem （PEM格式服务端证书）

3. 在ECS实例上安装密码机实例管理工具。

   重要

   密码机实例管理工具只支持在Windows系统运行。

   1. 在实例列表页面，定位到主密码机实例。

   2. 单击主密码机实例的规格列信息，然后单击下载密码机实例管理工具。

      

   3. 解压获取到的密码机软件包，然后上传到ECS实例上。

   4. 具体操作，请参见本地Windows主机使用MSTSC上传文件到Windows云服务器。

4. 使用密码机实例管理工具配置主密码机。

   1. 在ECS实例上使用密码机实例管理工具连接主密码机GVSM。

      1. 双击PKIManager-X.X.X.X.exe打开密码机实例管理工具，选择系统>TCP/IP连接。

      2. 在TCP/IP连接对话框，输入主密码机的IP地址和端口号（固定为8020）。

         说明

         您可以在加密服务控制台的实例列表页面，单击操作列的图标后单击配置，在配置页面查看IP地址。

      3. 单击连接，在弹出的PKIManager对话框单击确定，然后单击登录。

         说明

         登录成功后，建议您注册管理员账号，使用管理员账号登录以获得更高的安全性。具体操作，请参见随密码机实例管理工具下载的GVSM用户管理手册中的2.1.3. 注册管理员、2.1.2. 管理员登录。

   2. 使用密码机实例管理工具完成如下配置。

      配置项	操作步骤
      配置客户端证书（client.pem）	选择密钥管理 > 客户端管理。 在客户端证书管理对话框，单击导入证书。 在导入证书对话框，证书类型选择国际TLS客户端RSA证书[pem]，然后选择证书文件生成工具生成的客户端证书（client.pem），单击导入。
      配置服务端证书（server.p12）	选择密钥管理 > 服务端管理。 在服务端p12证书管理对话框，单击导入证书。 在导入证书对话框，证书类型选择国际TLS服务端RSA证书[p12]，然后选择证书文件生成工具生成的服务端证书（server.p12），输入证书口令（即您在生成证书文件时设置的口令，如果您未设置，默认为12345678）。 单击导入。
      配置主密码机GVSM设备端口属性	选择设备管理 > 主机端口属性。 在主机端口属性对话框，配置以下参数： Socket KeepAlive时间：60。 消息报文头长度：0。 消息报文编码格式：ASCII。 主机服务通讯方式：双向通讯。 主机服务通讯协议：TLSv1.2。 单击重置。 单击立即重启，然后单击确定。

步骤五：同步集群数据

第一次创建并激活集群后，您需要将集群的主密码机数据手动同步到集群的子密码机实例。当您对集群进行扩容时，集群数据会自动同步到新添加的密码机实例。

1. 在实例列表页面，找到目标主密码机实例，在操作列单击同步集群。

2. 在弹出的对话框，再次单击同步集群。

后续配置

请前往密钥管理服务控制台购买KMS硬件密钥管理实例，并完成相关配置。具体操作，请参见购买和启用KMS实例和密钥服务快速入门。

相关文档

密钥服务概述