配置KMS硬件密钥管理实例的密码机集群

为了确保安全性，您需要为主密码机配置双向TLS认证。

1. 访问下载链接，下载证书文件生成工具（dkms_cert_tool）。

2. 将下载的文件解压后，运行证书文件生成工具生成CA证书、客户端证书和服务端证书。

   说明

   • 后续在密钥管理服务控制台启用KMS硬件密钥管理实例时，也会用到这些证书和私钥，因此请您妥善保管。

   • 工具的运行环境没有限制，可以是本地计算机、ECS实例或其他满足工具运行条件的环境。

   • 工具仅为阿里云提供的辅助性工具，如果您有相关技术能力可以自己生成这些证书文件，则无需使用本工具。

   工具运行操作系统	说明
   Windows系统	方式一：在Windows文件夹，双击鼠标左键运行hsm_certificate_generate.exe文件，在certs文件夹获取证书文件。 说明 该方式生成的PKCS12格式证书文件（后缀为.p12）和CA私钥文件（后缀为.key）的口令为默认值12345678，如果您需要指定口令，请使用方式二。 方式二：切换到Windows文件夹所在路径，然后运行以下命令，在certs文件夹获取证书文件。 ./hsm_certificate_generate -dir ./certs -pswd 12345678 -dir 用于指定生成证书文件的保存路径，-pswd 用于指定生成的PKCS12格式证书文件（后缀为.p12）和CA私钥文件（后缀为.key）的口令。
   Linux系统	切换到Linux文件夹所在路径，然后运行以下命令，在certs文件夹获取证书文件。 ./hsm_certificate_generate -dir ./certs -pswd 12345678 -dir 用于指定生成证书文件的保存路径，-pswd 用于指定生成的PKCS12格式证书文件（后缀为.p12）和CA私钥文件（后缀为.key）的口令。
   macOS系统	切换到darwin文件夹所在路径，然后运行以下命令，在certs文件夹获取证书文件。 ./hsm_certificate_generate -dir ./certs -pswd 12345678 -dir 用于指定生成证书文件的保存路径，-pswd 用于指定生成的PKCS12格式证书文件（后缀为.p12）和CA私钥文件（后缀为.key）的口令。

   运行成功后，将在certs文件夹中生成下列文件：

   certs/
   ├── client.p12 （PKCS12格式客户端证书，包含客户端证书以及私钥）
   ├── client.pem （PEM格式客户端证书）
   ├── rootca.key （CA私钥）
   ├── rootca.pem （PEM格式CA证书）
   ├── server.p12 （PKCS12格式服务端证书）
   └── server.pem （PEM格式服务端证书）

3. 在ECS实例上安装密码机实例管理工具。

   重要

   密码机实例管理工具只支持在Windows系统运行。

   1. 单击主密码机实例的规格列的图标，下载密码机实例管理工具。

   2. 解压获取到的密码机软件包，找到PKIManager-X.X.X.X.exe然后上传到ECS实例上。具体操作，请参见使用远程桌面或Windows APP向Windows实例传输文件。

4. 使用密码机实例管理工具配置主密码机。

   1. 在ECS实例上使用密码机实例管理工具连接主密码机GVSM。

      1. 双击PKIManager-X.X.X.X.exe打开密码机实例管理工具，选择系统>TCP/IP连接。

      2. 在TCP/IP连接对话框，输入主密码机的IP地址和端口号（固定为8020）。

         IP地址请在控制台此处查看。

      3. 单击连接，在弹出的PKIManager对话框单击确定，然后单击登录。

         说明

         登录成功后，建议您注册管理员账号，使用管理员账号登录以获得更高的安全性。具体操作，请参见随密码机实例管理工具下载的GVSM用户管理手册中的2.1.3. 注册管理员、2.1.2. 管理员登录。

   2. 使用密码机实例管理工具完成如下配置。

      配置项	操作步骤
      配置客户端证书（client.pem）	选择密钥管理 > 客户端管理。 在客户端证书管理对话框，单击导入证书。 在导入证书对话框，证书类型选择国际TLS客户端RSA证书[pem]，然后选择证书文件生成工具生成的客户端证书（client.pem），单击导入。
      配置服务端证书（server.p12）	选择密钥管理 > 服务端管理。 在服务端p12证书管理对话框，单击导入证书。 在导入证书对话框，证书类型选择国际TLS服务端RSA证书[p12]，然后选择证书文件生成工具生成的服务端证书（server.p12），输入证书口令（即您在生成证书文件时设置的口令，如果您未设置，默认为12345678）。 单击导入。
      配置主密码机GVSM设备端口属性	选择设备管理 > 主机端口属性。 在主机端口属性对话框，配置以下参数： Socket KeepAlive时间：60。 消息报文头长度：0。 消息报文编码格式：ASCII。 主机服务通讯方式：双向通讯。 主机服务通讯协议：TLSv1.2。 单击重置。 单击立即重启，然后单击确定。

根据集群同步方式，确定是否需要同步集群中密码机的数据。

• 集群类型为自动同步集群

  集群内密码机数据会自动同步，您无需同步集群数据。

• 集群类型为手动同步集群

  第一次创建并激活集群后，您需要将集群的主密码机数据手动同步到集群的子密码机实例。当您对集群进行扩容时，集群数据会自动同步到新添加的密码机实例。

  1. 单击操作列的同步集群，将主密码机数据同步到子密码机。同步过程中集群的状态为同步中。

  2. 集群同步结束后，查看密码机摘要是否一致。

     请在密码机详情页面查看摘要，如果两台密码机摘要信息完全一致，表示您已经完成密码机集群配置。如果摘要信息不一致请重复同步集群数据的操作，若摘要信息仍不一致，请联系我们。

集群即将处于同一地域不同可用区、用于相同业务的一组密码机实例关联起来，进行统一管理，为业务应用提供密码计算的高可用性、负载均衡以及横向扩展的能力。

使用主密码机创建集群，然后添加子密码机。

1. 访问加密服务控制台的虚拟密码机实例页面，在顶部菜单栏，选择目标地域。

2. 定位到主密码机实例，单击操作列的创建集群。

3. 在创建并激活集群面板，完成①创建集群，然后单击下一步 。

   配置项	说明
   集群名称	自定义集群的名称。名称不能重复且长度不允许超过24个字符。
   设置集群访问白名单	允许访问集群的IP地址。 您可以输入单个IP地址或网段地址，每行输入1条数据，最多可以输入10条数据。 在本文示例中请确保如下IP均已添加到白名单中。 集群中各密码机实例所在交换机的网段 例如，集群中密码机实例所属的VPC子网（交换机）网段分别为172.16.1.0/24和172.16.2.0/24，则在编辑框中增加输入两行，内容分别为：172.16.1.0/24和172.16.2.0/24。 ECS实例的私网IP 例如，ECS实例的私网IP为172.16.3.0，则在编辑框中增加输入一行，内容为：172.16.3.0。 KMS实例绑定的交换机的网段 如果此时还未购买KMS实例，请在购买并启用KMS实例后，再为集群添加该白名单。 重要 集群的白名单优先级高于集群中密码机实例的白名单。例如，您设置的集群中密码机实例的白名单为10.10.10.10，集群的白名单为172.16.0.1，则您只能通过172.16.0.1访问集群中的密码机实例。 不支持配置为0.0.0.0/0（放行所有来源IP）。 基于安全考虑，不推荐您放行所有来源IP。如果因临时测试等原因确实需要放行所有来源IP，不配置白名单即可。
   指定另外一个可用区的交换机	配置另外一个密码机实例绑定的交换机。

4. 在创建并激活集群面板，完成②激活集群。

   1. 导入集群证书。

      1. 在导入集群证书区域，单击集群CSR证书下载CSR证书文件，然后上传到ECS实例上保存。以保存为cluster.csr为例。

      2. 创建私钥，并根据提示设置私钥口令。以保存为issuerCA.key为例。

         openssl genrsa -aes256 -out issuerCA.key 2048

      3. 创建自签名证书。以保存为issuerCA.crt为例。

         openssl req -new -x509 -days 3652 -key issuerCA.key -out issuerCA.crt

      4. 签署集群CSR证书，颁发的集群证书存储在cluster.crt文件中。

         说明

         该步骤会使用到cluster.csr、issuerCA.key、issuerCA.crt文件。

         openssl x509 -req -in cluster.csr -days 3652 -CA issuerCA.crt -CAkey issuerCA.key -set_serial 01 -out cluster.crt

      5. 返回加密服务管理控制台，导入集群证书并单击提交。

         • 在请输入签发者证书（PEM编码）区域，输入issuerCA.crt文件的内容。

         • 在请输入签发集群证书（PEM编码）区域，输入cluster.crt文件的内容。

   2. 初始化主密码机实例。

      步骤	说明
      步骤1：下载密码机实例管理工具。	重要 密码机实例管理工具仅支持安装在Linux操作系统。 选择如下方式之一下载工具： 下载密码机实例管理工具。 执行如下命令下载密码机实例管理工具，该操作需要您的ECS服务器连接公网。 wget -O hsm-client-v2.03.15.10-1.x86_64.rpm 'https://yundun-hsm4.oss-ap-southeast-1.aliyuncs.com/hsm-client-v2.03.15.10-1.x86_64.rpm' 在实例列表页面，找到目标密码机实例，通过单击密码机实例的规格列信息，然后单击下载密码机实例管理工具。 在激活集群页面，单击下载密码机实例管理工具。
      步骤2：安装密码机管理工具。	执行如下命令：将程序和配置文件安装在/opt/hsm目录下。 sudo yum install -y hsm-client-v2.03.15.10-1.x86_64.rpm
      步骤3：修改客户端配置文件。	在密码机管理工具的安装目录下，修改/opt/hsm/etc/hsm_mgmt_tool.cfg文件中的servers配置项。 name、hostname修改为主密码机的私有IP地址。 owner_cert_path修改为issuerCA.crt的文件路径。 hsm_mgmt_tool.cfg文件示例 { "servers": [{ "name": "172.16.XX.XX", "hostname": "172.16.XX.XX", "port": 2225, "certificate": "/opt/hsm/etc/client.crt", "pkey": "/opt/hsm/etc/client.key", "CAfile": "", "CApath": "/opt/hsm/etc/certs", "ssl_ciphers": "", "server_ssl": "yes", "enable": "yes", "owner_cert_path": "<issuerCA.crt file path>" }], "scard": { "enable": "no", "port": 2225, "ssl": "no", "ssl_ciphers": "", "certificate": "cert-sc", "pkey": "pkey-sc", } }
      步骤4：登录主密码机并查看用户列表。	通过以下命令登录主密码机。 /opt/hsm/bin/hsm_mgmt_tool /opt/hsm/etc/hsm_mgmt_tool.cfg 执行listUsers命令显示用户列表。 cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO
      步骤5：将PRECO用户改为CO用户。	执行loginHSM命令并以PRECO身份登录加密机。 server0>loginHSM PRECO admin password loginHSM success 执行changePswd命令修改PRECO用户的密码，当您更改密码后，PRECO用户将成为CO用户。 cloudmgmt>changePswd PRECO admin <NewPassword> *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. Cav server does NOT synchronize these changes with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Changing password for admin(PRECO) on 1 nodes 通过listUsers命令查看用户列表，验证PRECO用户是否更改为CO用户。 cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO
      步骤6：创建密码机操作员（CU用户）	警告 请您先创建CU用户，再将子密码机添加到集群，否则创建的CU用户不会自动同步至子密码机。 为了确保安全性，KMS硬件密钥管理实例通过用户名为kmsuser的CU用户身份访问密码机集群。 使用密码机实例管理工具登录主密码机，执行createUser命令创建一个名为kmsuser的Crypto User（CU）用户。 createUser CU kmsuser <enter password> 重要 请您牢记kmsuser的初始密码，在后续启用KMS硬件密钥管理实例时会用到。 执行listUsers命令，查看CU用户是否已经创建成功。 cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU kmsuser NO 0 NO 执行quit命令退出管理工具。 cloudmgmt>quit disconnecting from servers, please wait...
      步骤7：验证主密码机状态	返回到加密服务控制台，在激活集群页面单击图标刷新密码机状态，然后单击下一步。

5. 在③添加加密机页面，根据提示将子密码机添加到集群，然后单击完成。

   说明

   当待添加的密码机实例状态是已初始化时，无法添加到集群，请联系我们。

   配置成功后，集群会自动将主密钥数据同步到子密码机，例如将主密码机中的kmsuser同步至子密码机。您只需查看集群中两台密码机实例的摘要信息是否一致，若摘要信息不一致，请联系我们。