HSM を hsm_mgmt_tool で使用する - Key Management Service - Alibaba Cloud ドキュメントセンター

hsm_mgmt_tool は、HSM インスタンス、ユーザー、キーを管理するためのコマンドラインユーティリティです。暗号化オフィサー (CO) ユーザーは HSM インスタンスとユーザーの管理に、暗号化ユーザー (CU) ユーザーはキーの共有とキー属性の管理にこのツールを使用します。

重要

hsm_mgmt_tool コマンドを実行する前に、hsm_mgmt_tool を起動し、適切なユーザータイプで HSM インスタンスにログインする必要があります。詳細については、「HSM ユーザーの権限」をご参照ください。

クライアントのインストール

HSM クライアントパッケージをダウンロードします。
- CentOS
  - 方法 1： HSM クライアントパッケージをダウンロードします。
  - 方法 2：インターネットにアクセスできる ECS インスタンスで次のコマンドを実行します。
```
wget -O hsm-client-v2.03.15.10-1.x86_64.rpm 'https://yundun-hsm4.oss-ap-southeast-1.aliyuncs.com/hsm-client-v2.03.15.10-1.x86_64.rpm'
```
  - 方法 3: [VSMs] ページで、HSM インスタンスを見つけ、[仕様] 列のアイコンをクリックします。
  - 方法 4： [クラスターのアクティブ化] ページで、[HSM 管理ツールのダウンロード] をクリックします。
- Debian
  hsm-client-2.03.15.10-20240710_1.x86_64.deb をダウンロードします。

クライアントを /opt/hsm ディレクトリにインストールします。

CentOS

sudo yum install -y hsm-client-v2.03.15.10-1.x86_64.rpm

Debian

sudo dpkg -i hsm-client-2.03.15.10-20240710_1.x86_64.deb

クライアントの設定

/opt/hsm/etc/hsm_mgmt_tool.cfg 設定ファイルの servers セクションを編集します。

name と hostname をプライマリ HSM のプライベート IP アドレスに設定します。
owner_cert_path を `issuerCA.crt` ファイルのパスに設定します。

hsm_mgmt_tool.cfg ファイルの例

{

"servers": [

{

"name" : "172.16.XX.XX",

"hostname" : "172.16.XX.XX",

"port" : 2225,

"certificate": "/opt/hsm/etc/client.crt",

"pkey": "/opt/hsm/etc/client.key",

"CAfile": "",

"CApath": "/opt/hsm/etc/certs",

"ssl_ciphers": "",

"server_ssl" : "yes",

"enable" : "yes",

"owner_cert_path":"<issuerCA.crt ファイルのパス>"

}],

"scard": {

"enable": "no",

"port": 2225,

"ssl": "no",

"ssl_ciphers": "",

"certificate": "cert-sc",

"pkey": "pkey-sc"

}

ツールの起動と終了

hsm_mgmt_tool の起動：

/opt/hsm/bin/hsm_mgmt_tool /opt/hsm/etc/hsm_mgmt_tool.cfg

hsm_mgmt_tool の終了：

cloudmgmt> quit

ヘルプの取得

利用可能なすべてのコマンドを一覧表示するには：

cloudmgmt> help

特定のコマンドの構文を取得するには：

cloudmgmt> help <command-name>

コマンドリファレンス

次の表に、すべての hsm_mgmt_tool コマンドを一覧表示します。

コマンド	説明	ユーザータイプ
changePswd	HSM インスタンス上のユーザーパスワードを変更します。どのユーザーも自身のパスワードを変更できます。CO ユーザーはどのユーザーのパスワードでも変更できます。	CO ユーザー
createUser	HSM インスタンスにあらゆるタイプのユーザーを作成します。	CO ユーザー
deleteUser	HSM インスタンスからあらゆるタイプのユーザーを削除します。	CO ユーザー
findAllKeys	ユーザーが所有するキー、またはユーザーと共有されているキーを、各 HSM インスタンスのキー所有権データのハッシュとともに一覧表示します。	CO ユーザー、AU ユーザー
getAttribute	キー属性の値を取得し、ファイルまたは標準出力 (stdout) に書き込みます。	CU ユーザー
getCert	HSM インスタンスの証明書を取得し、指定されたフォーマットで保存します。	すべてのユーザー
getCertReq	HSM インスタンスの証明書署名要求 (CSR) を取得し、指定されたフォーマットで保存します。	すべてのユーザー
getHSMInfo	HSM インスタンスを実行するデバイスに関するハードウェア情報を取得します。	すべてのユーザー。ログインは不要です。
getKeyInfo	キーの所有者、共有ユーザー、クォーラム認証のステータスを取得します。	CU ユーザー
info	HSM インスタンスの詳細 (IP アドレス、ホスト名、ポート、現在のユーザー) を取得します。	すべてのユーザー。ログインは不要です。
listAttributes	キー属性とそれに対応する定数値を一覧表示します。	すべてのユーザー。ログインは不要です。
listUsers	各 HSM インスタンス上のユーザーを、ユーザータイプ、ID、その他の属性を含めて一覧表示します。	すべてのユーザー。ログインは不要です。
loginHSM and logoutHSM	HSM インスタンスにログインまたはログアウトします。	すべてのユーザー
server	HSM インスタンスのサーバーモードを開始または終了します。	すべてのユーザー
setAttribute	キーのラベルを変更し、暗号化、復号、ラッピング、アンラッピングのための属性を変更します。	CU ユーザー
quit	hsm_mgmt_tool を終了します。	すべてのユーザー。ログインは不要です。
shareKey	他のユーザーとキーを共有します。	CU ユーザー
storeCert	HSM オーナー証明書とオーナー署名付き証明書を保存します。	PRECO ユーザーまたは CO ユーザー