Buat kluster Cloud Hardware Security Module (Cloud HSM) dari awal: aktifkan hardware security module (HSM) sebagai master, buat dan aktifkan kluster, hubungkan klien HSM, serta hasilkan kunci kriptografi pertama Anda.
Jangan gunakan kunci uji di lingkungan produksi. Kunci uji hanya ditujukan untuk validasi dan tidak memberikan jaminan keamanan yang diperlukan dalam produksi.
Untuk menggunakan kluster HSM dengan instance Key Management Service (KMS) tipe manajemen kunci perangkat keras, lihat Konfigurasikan kluster HSM untuk instance KMS tipe manajemen kunci perangkat keras sebagai gantinya. Langkah 4 dan 5 dalam panduan ini tidak berlaku dalam skenario tersebut.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
HSM yang telah dibeli dan diaktifkan. Lihat Beli dan aktifkan HSM.
Instance ECS yang menjalankan CentOS 8 atau Alibaba Cloud Linux, berada dalam Virtual Private Cloud (VPC) yang sama dengan HSM. Instance ECS digunakan untuk menginstal tool manajemen HSM — bukan sebagai server bisnis. Lihat Memulai instance Linux.
Langkah 1: Aktifkan HSM sebagai HSM utama
Kluster HSM terdiri dari satu HSM utama dan beberapa HSM non-master. Sebelum membuat kluster, tetapkan satu HSM sebagai master.
Buka halaman VSMs di konsol Cloud Hardware Security Module. Di bilah navigasi atas, pilih wilayah.
Di halaman VSMs, temukan HSM dan klik Enable pada kolom Actions.
Pada kotak dialog Configure HSM instance, atur parameter berikut dan klik OK. Jika konfigurasi berhasil, Status HSM akan berubah menjadi Enabled.
Parameter Deskripsi VPC ID VPC yang akan di-bind ke HSM. VPC subnet Subnet yang akan dialokasikan ke HSM dalam VPC. Private IP address Alamat IP privat yang akan dialokasikan ke HSM. Harus berada dalam subnet yang ditentukan. Sistem menyisihkan alamat IP dengan oktet terakhir 253, 254, atau 255 — jangan gunakan alamat tersebut. Configure HSM whitelist Alamat IP atau Blok CIDR yang diizinkan mengakses HSM. Mendukung hingga 10 entri (satu per baris). Jika dibiarkan kosong, semua alamat IP dapat mengakses HSM. Jika daftar putih kluster dikonfigurasi, maka akan menggantikan daftar putih HSM. Entri 0.0.0.0/0tidak didukung — untuk mengizinkan semua alamat IP, biarkan daftar putih kosong.
Langkah 2: Buat dan aktifkan kluster HSM
Langkah ini menetapkan kepemilikan dan kendali Anda atas kluster melalui rantai kepercayaan berbasis sertifikat. Prosesnya mencakup:
Membuat kluster dan menentukan konfigurasi jaringan
Menghasilkan otoritas sertifikat (CA) tanda tangan sendiri dan menggunakannya untuk menandatangani permintaan penandatanganan sertifikat (CSR) kluster
Menginisialisasi HSM utama dengan tool manajemen HSM
HSM dalam zona yang sama menggunakan subnet VPC yang sama.
Buat kluster
Di halaman VSMs, temukan HSM utama dan klik Create cluster pada kolom Actions.
Pada panel Create and activate cluster, lengkapi langkah Create cluster dan klik Next.
Parameter Deskripsi Cluster name Nama unik untuk kluster. Maksimal 24 karakter. Configure whitelist Alamat IP atau Blok CIDR yang diizinkan mengakses kluster. Mendukung hingga 10 entri (satu per baris). Daftar putih kluster menggantikan daftar putih tingkat HSM mana pun. Entri 0.0.0.0/0tidak didukung — untuk mengizinkan semua alamat IP, biarkan daftar putih kosong.Specify vSwitches vSwitch untuk kluster. Diperlukan minimal 2 vSwitch.
Aktifkan kluster
Impor sertifikat kluster
Proses aktivasi kluster menggunakan sertifikat CA yang Anda hasilkan secara lokal untuk menandatangani CSR kluster. Hal ini membuktikan kepemilikan Anda atas HSM dan membangun fondasi kepercayaan untuk semua koneksi HSM di masa depan.
Pada bagian Upload cluster certificate, klik Cluster CSR certificate untuk mengunduh file CSR (
cluster.csr). Unggah file tersebut ke instance ECS Anda.Hasilkan kunci privat dan atur kata sandi untuknya. Ini akan membuat
issuerCA.key.openssl genrsa -aes256 -out issuerCA.key 2048Buat sertifikat CA tanda tangan sendiri. Ini akan membuat
issuerCA.crt, yang akan Anda gunakan pada langkah selanjutnya.openssl req -new -x509 -days 3652 -key issuerCA.key -out issuerCA.crtTandatangani CSR kluster menggunakan sertifikat dan kunci CA Anda. Ini akan membuat
cluster.crt, yang akan Anda unggah ke konsol pada langkah berikutnya.Perintah ini menggunakan
cluster.csr,issuerCA.crt, danissuerCA.key.openssl x509 -req -in cluster.csr -days 3652 -CA issuerCA.crt -CAkey issuerCA.key -set_serial 01 -out cluster.crtKembali ke langkah Activate cluster di konsol, impor sertifikat dan klik Submit:
Pada bagian Enter the issuer certificate in PEM format, tempel isi dari
issuerCA.crt.Pada bagian Enter the issued cluster certificate in PEM format, tempel isi dari
cluster.crt.
Inisialisasi HSM utama
HSM utama hanya dapat diinisialisasi menggunakan tool manajemen HSM pada sistem operasi Linux.
Langkah 1: Unduh tool manajemen HSM
Versi tool bervariasi tergantung wilayah tempat HSM berada.
Wilayah Indonesia (Jakarta)
CentOS
Metode 1: Buka hsm-client-v2.09.07.02-1.202411041707.x86_64.rpm untuk mengunduh tool manajemen HSM.
Metode 3: Pada halaman VSMs, temukan instance HSM, lalu klik ikon
di kolom Spesifikasi.Metode 3: Di halaman Activate Cluster, klik Download HSM Management Tool.
Debian
Buka hsm-client-v2.09.07.02-1.202411041707.x86_64.deb untuk mengunduh tool manajemen HSM.
Semua Wilayah kecuali Indonesia (Jakarta)
Versi tool tergantung pada wilayah Anda:
Wilayah Indonesia (Jakarta)
CentOS: Unduh hsm-client-v2.09.07.02-1.202411041707.x86_64.rpm, atau klik Download HSM management tool di halaman Activated cluster.
Debian: Unduh hsm-client-v2.09.07.02-1.202411041707.x86_64.deb
Semua wilayah lainnya
CentOS: Pilih salah satu metode berikut:
Jalankan perintah berikut (memerlukan akses internet dari instance ECS): ``
bash wget -O hsm-client-v2.03.15.10-1.x86_64.rpm 'https://yundun-hsm4.oss-ap-southeast-1.aliyuncs.com/hsm-client-v2.03.15.10-1.x86_64.rpm'``Klik Download HSM management tool di halaman Activate cluster.
Langkah 2: Instal tool manajemen HSM
Tool akan diinstal ke /opt/hsm.
CentOS — ganti
<TOOL_NAME>dengan nama file sebenarnya (misalnya,hsm-client-v2.09.07.02-1.202411041707.x86_64.rpm):sudo yum install -y <TOOL_NAME>Debian — ganti
<TOOL_NAME>dengan nama file sebenarnya (misalnya,hsm-client-2.03.15.10-20240710_1.x86_64.deb):sudo dpkg -i <TOOL_NAME>
Langkah 3: Perbarui file konfigurasi klien
Edit bagian servers pada /opt/hsm/etc/hsm_mgmt_tool.cfg:
Atur
namedanhostnameke alamat IP privat HSM utama (terlihat di halaman Instances).Atur
owner_cert_pathke path lengkapissuerCA.crt.
Contoh konfigurasi:
{
"servers": [
{
"name" : "172.16.XX.XX",
"hostname" : "172.16.XX.XX",
"port" : 2225,
"certificate": "/opt/hsm/etc/client.crt",
"pkey": "/opt/hsm/etc/client.key",
"CAfile": "",
"CApath": "/opt/hsm/etc/certs",
"ssl_ciphers": "",
"server_ssl" : "yes",
"enable" : "yes",
"owner_cert_path":"<issuerCA.crt_FILE_PATH>"
}],
"scard": {
"enable": "no",
"port": 2225,
"ssl": "no",
"ssl_ciphers": "",
"certificate": "cert-sc",
"pkey": "pkey-sc"
}
}Langkah 4: Masuk ke HSM utama dan verifikasi pengguna
Masuk ke HSM utama:
/opt/hsm/bin/hsm_mgmt_tool /opt/hsm/etc/hsm_mgmt_tool.cfgJalankan
listUsersuntuk melihat pengguna default:cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NOPengguna default adalah
admin(precrypto officer, PRECO) danapp_user(app user, AU).
Langkah 5: Promosikan PRECO menjadi crypto officer (CO)
Masuk sebagai PRECO:
server0>loginHSM PRECO admin password loginHSM successUbah kata sandi PRECO. Ini akan mempromosikan
admindari PRECO menjadi CO:cloudmgmt>changePswd PRECO admin <NewPassword>Verifikasi perubahan peran dengan
listUsers:cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NOadminkini muncul sebagai CO.
Langkah 6: Buat crypto user (CU)
Buat CU sebelum menambahkan HSM non-master ke kluster. Informasi CU hanya disinkronkan ke HSM non-master saat HSM tersebut ditambahkan — HSM yang ditambahkan sebelum CU dibuat tidak akan memiliki CU.
Jalankan
createUseruntuk membuat CU. Nama pengguna: maksimal 20 karakter ASCII. Kata sandi: 8–32 karakter ASCII.Jika Anda mengonfigurasi kluster untuk instance manajemen kunci perangkat keras KMS, gunakan
kmsusersebagai nama pengguna.createUser CU crypto_user <enter password>Jalankan
listUsersuntuk mengonfirmasi bahwa CU telah dibuat:cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU crypto_user NO 0 NO
Langkah 7: Konfirmasi status HSM utama dan lanjutkan
Di langkah Activate cluster di konsol, klik ikon 
untuk refresh status HSM utama, lalu klik Next.
Tambahkan HSM non-master
Di langkah Add HSM, tambahkan HSM non-master ke kluster sesuai petunjuk dan klik Complete.
Anda dapat membeli HSM tambahan dan menambahkannya ke kluster nanti sesuai kebutuhan.
Langkah 3: Jalankan klien HSM hsm_proxy
hsm_proxy adalah klien HSM yang berjalan di instance ECS Anda dan mengarahkan permintaan kriptografi ke kluster HSM.
Edit
/opt/hsm/etc/hsm_proxy.cfg: Contoh konfigurasi:Atur
server.hostnameke alamat IP VPC tempat instance saat ini berada.Atur
client.e2e_owner_crt_pathke path lengkapissuerCA.crt(sertifikat CA tanda tangan sendiri yang Anda buat di Langkah 2).
{ "ssl": { "certificate": "/opt/hsm/etc/client.crt", "pkey": "/opt/hsm/etc/client.key", "CApath": "/opt/hsm/etc/certs", "server_ssl": "yes", "server_ch_ssl_ciphers": "default" }, "client": { "socket_type" : "UNIXSOCKET", "tcp_port" : 1111, "zoneid" : 0, "workers" : 1, "daemon_id" : 1, "reconnect_attempts": -1, "reconnect_interval": 1, "log_level": "INFO", "sslreneg": 0, "CriticalAlertScript": "", "e2e_owner_crt_path" : "<issuerCA.crt file path>", "create_object_minimum_nodes" : 1, "logfiles_location" : "" }, "loadbalance" : { "enable" : "yes", "prefer_same_zone": "no", "success_rate_weight" : 1, "relative_idleness_weight" : 1 }, "dualfactor": { "enable" : "no", "port" : 2225, "certificate" : "certificate.crt", "pkey" : "pkey.pem", "dualfactor_ssl": "yes", "dualfactor_ch_ssl_ciphers": "default" }, "server": { "hostname": "<instance ip>", "port": 2224 } }Jalankan
hsm_proxy:/opt/hsm/bin/hsm_proxy /opt/hsm/etc/hsm_proxy.cfgOutput menampilkan path file log:
logfiles_location is not specified, logs will be available in current directory Logs will be available in liquidSecurity.1.WKCrty.log fileVerifikasi koneksi dengan memeriksa file log:
tail liquidSecurity.1.WKCrty.logKoneksi yang berhasil mencakup baris berikut:
2023-10-28T13:33:05Z liquidSecurity INF: e2e_handle_client_request: HSM FIPS STATE 2Output lengkap yang diharapkan tampak seperti:
2023-10-28T13:33:05Z liquidSecurity INF: check_preferred_srv_status_noclock: New preferred server node id:0 2023-10-28T13:33:05Z liquidSecurity INF: do_e2e_encryption_handshake: Trying to login to server as new server connection is established 2023-10-28T13:33:05Z liquidSecurity INF: e2e_handle_client_request: Got Authorize session response 2023-10-28T13:33:05Z liquidSecurity INF: get_partition_info: Get pHSM Info using e2e mgmtch 2023-10-28T13:33:05Z liquidSecurity INF: e2e_handle_client_request: Authorize session SUCCESS 2023-10-28T13:33:05Z liquidSecurity INF: e2e_handle_client_request: Got Partition Info 2023-10-28T13:33:05Z liquidSecurity INF: e2e_handle_client_request: GetPartitionInfo success 0 : HSM Return: SUCCESS 2023-10-28T13:33:05Z liquidSecurity INF: e2e_handle_client_request: HSM FIPS STATE 2 2023-10-28T13:33:06Z liquidSecurity INF: libevmulti_init: Initializing events 2023-10-28T13:33:06Z liquidSecurity INF: libevmulti_init: Ready !
Langkah 4: Buat kunci
Lewati langkah ini jika Anda mengonfigurasi kluster untuk instance manajemen kunci perangkat keras KMS. Lihat Konfigurasikan kluster HSM untuk instance manajemen kunci perangkat keras KMS.
Jalankan
key_mgmt_tool:/opt/hsm/bin/key_mgmt_toolMasuk sebagai crypto user (CU):
Command: loginHSM -u CU -s crypto_user -p <enter password> Cfm3LoginHSM returned: 0x00 : HSM Return: SUCCESS Cluster Status: Node id 0 status: 0x00000000 : HSM Return: SUCCESSHasilkan kunci simetris:
Command: genSymKey -l testkey -t 31 -s 32 Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS Symmetric Key Created. Key Handle: 6 Cluster Status: Node id 0 status: 0x00000000 : HSM Return: SUCCESSCatat handle kunci (
6dalam contoh ini) — gunakan untuk mereferensikan kunci dalam operasi selanjutnya.Konfirmasi keberadaan kunci dengan
findKey:Command: findKey Total number of keys present: 1 Number of matching keys from start index 0::0 Handles of matching keys: 6 Cluster Status: Node id 0 status: 0x00000000 : HSM Return: SUCCESS Cfm3FindKey returned: 0x00 : HSM Return: SUCCESSKeluar dari
key_mgmt_tool:Command: exit
Langkah 5: Enkripsi dan dekripsi data
Lewati langkah ini jika Anda mengonfigurasi kluster untuk instance manajemen kunci perangkat keras KMS. Lihat Konfigurasikan kluster HSM untuk instance manajemen kunci perangkat keras KMS.
Untuk menggunakan kluster HSM dalam operasi kriptografi, pilih salah satu antarmuka berikut:
Langkah berikutnya
Untuk mengelola kluster Anda — menambah atau menghapus HSM, mengganti nama kluster, atau memperbarui daftar putih akses — lihat Buat dan aktifkan kluster HSM yang divalidasi NIST FIPS.