すべてのプロダクト
Search

このプロダクト

    Key Management Service:hsm_mgmt_tool

    ドキュメントセンター

    Key Management Service:hsm_mgmt_tool

    最終更新日:Jan 03, 2025

    hsm_mgmt_toolコマンドラインツールは、暗号担当者 (CO) がHSMインスタンスとHSMユーザーを管理するのに役立ちます。このツールでは、暗号ユーザー (CU) がキーを共有し、キー属性を取得および設定することもできます。

    重要

    hsm_mgmt_toolコマンドを実行する前に、hsm_mgmt_toolを起動してHSMインスタンスにログインする必要があります。使用するコマンドを実行できるユーザーとしてログオンしていることを確認してください。 詳細については、「HSMユーザーの権限」をご参照ください。

    パッケージのダウンロードとインストール

    1. HSMインスタンス管理ツールをダウンロードします。

    • CentOS

      • 方法1: ここをクリックしてHSM管理ツールをダウンロードします

      • 方法2: 次のコマンドを実行して、HSM管理ツールをダウンロードします。 この操作では、ECSインスタンスがインターネットに接続されている必要があります。 

        wget -O hsm-client-v2.03.15.10-1.x86_64.rpm 'https://yundun-hsm4.oss-ap-southeast-1.aliyuncs.com/hsm-client-v2.03.15.10-1.x86_64.rpm'

      • 方法3: インスタンス ページで、マスターHSMを見つけ、[仕様] 列のimageアイコンをクリックします。

      • 方法4: [クラスターの有効化] ページで、[HSM管理ツールのダウンロード] をクリックします。

    • Debian

      HSM管理ツールをダウンロードするには、hsm-client-2.03.15.10-20240710_1.x86_64.debにアクセスしてください。

    1. 次のコマンドを実行して、/opt/hsmディレクトリにプログラムおよびクライアント構成ファイルをインストールします。

    • CentOS

      sudo yum install -y hsm-client-v2.03.15.10-1.x86_64.rpm

    • Debian

      sudo dpkg -i hsm-client-2.03.15.10-20240710_1.x86_64.deb

    クライアント構成ファイルの変更

    /opt/hsm/etc/hsm_mgmt_tool.cfgファイルのserversの設定項目を変更します。

    • nameおよびhostnameを、[インスタンス] ページでマスターHSMのプライベートIPアドレスに置き換えます。

    • owner_cert_pathをissuerCA.crtファイルへのパスに置き換えます。

    hsm_mgmt_tool.cfgファイルの例

    {

    "servers": [

    {

    "name" : "172.16.XX.XX" 、

    "hostname" : "172.16.XX.XX" 、

    "port" : 2225、

    "certificate": "/opt/hsm/etc/client.crt" 、

    "pkey": "/opt/hsm/etc/client.key" 、

    "CAfile": "" 、

    "CApath": "/opt/hsm/etc/certs" 、

    "ssl_ciphers": "" 、

    "server_ssl" : "はい" 、

    "enable" : "はい" 、

    "owner_cert_path":"<issuerCA.crtファイルパス>"

    }],

    "scard": {

    "enable": "no" 、

    "port": 2225、

    "ssl": "no" 、

    "ssl_ciphers": "" 、

    "certificate": "cert-sc" 、

    "pkey": "pkey-sc"

    }

    }

    ツールの実行と終了

    hsm_mgmt_toolコマンドラインユーティリティを起動するには:

    /opt/hsm/bin/hsm_mgmt_tool /opt/hsm/etc/hsm_mgmt_tool.cfg

    次のコマンドを実行して、hsm_mgmt_toolセッションを終了します。

    cloudmgmt> quit

    ヘルプを取得する

    次のコマンドを実行して、すべてのhsm_mgmt_toolコマンドを一覧表示します。

    cloudmgmt> help

    次のコマンドを実行して、hsm_mgmt_toolコマンドの構文を取得します。

    cloudmgmt> help <command-name>

    コマンドの参照

    hsm_mgmt_toolのコマンドを次の表に示します。

    コマンド

    説明

    ユーザータイプ

    changePswd

    HSMインスタンス上のユーザーのパスワードを変更します。すべてのユーザーが自分のパスワードを変更できます。COはすべてのユーザーのパスワードを変更できます。

    CO

    createUser

    HSMインスタンスにすべてのタイプのユーザーを作成します。

    CO

    deleteUser

    HSMインスタンスからすべてのタイプのユーザーを削除します。

    CO

    findAllKeys

    ユーザーが所有または共有するキーを取得します。各HSMインスタンスのすべてのキーのキー所有権とデータのハッシュを取得します。

    CO、AU

    getAttribute

    HSMキーの属性値を取得し、ファイルまたは標準出力 (stdout) に書き込みます。

    CU

    getCert

    特定のHSMインスタンスの証明書を取得し、指定された形式で保存します。

    All

    getCertReq

    特定のHSMインスタンスの証明書要求を取得し、指定された形式で保存します。

    All

    getHSMInfo

    HSMインスタンスが実行されているデバイスに関する情報を取得します。

    すべて。ログオンは必要ありません。

    getKeyInfo

    所有者、共有ユーザー、およびキーのクォーラム認証ステータスを取得します。

    CU

    info

    IPアドレス、ホスト名、ポート、現在のユーザーなど、HSMインスタンスに関する情報を取得します。

    すべて。ログオンは必要ありません。

    listAttributes listAttributes

    HSMキーの属性とそれらを表す定数を一覧表示します。

    すべて。ログオンは必要ありません。

    listUsers

    各HSMインスタンスのユーザー、そのユーザータイプとID、およびその他の属性を取得します。

    すべて。ログオンは必要ありません。

    loginHSMおよびlogoutHSM

    HSMインスタンスのログオンとログオフ。

    All

    サーバー

    HSMインスタンスのサーバーモードを開始および終了します。

    All

    setAttribute

    ラベルの値を変更し、既存のキーの属性を暗号化、復号化、ラップ、およびラップ解除します。

    CU

    quit

    hsm_mgmt_toolを終了します。

    すべて。ログオンは必要ありません。

    shareKey

    既存のキーを他のユーザーと共有します。

    CU

    storeCert

    HSM所有者証明書と所有者署名証明書を格納します。

    PRECOまたはCO