使用Key Management Service(Key Management Service)的硬體密鑰管理執行個體時,需要串連Data Encryption Service密碼機叢集,由密碼機叢集實現資料自動同步、負載平衡以及資料高可用性。本文介紹如何配置KMS硬體密鑰管理執行個體的密碼機叢集。
架構樣本
KMS整合密碼機叢集可以兼顧密鑰管理的靈活性與硬體級安全保障,滿足國密或FIPS 140-2 Level 3的合規要求。KMS提供密鑰管理,確保密鑰的生命週期得到嚴格管控,降低使用密碼機的複雜度,HSM通過硬體級的安全保障設施,安全儲存體金鑰材料。雙方通訊採用TLS雙向認證加密通道,確保傳輸安全。
由於密碼機管理工具僅支援安裝在阿里雲ECS,因此您必須在主密碼機所屬的VPC子網內部署一台ECS伺服器,用於串連主密碼機進行密碼機相關配置。您也可以使用本地終端進行配置,但需確保與密碼機網路打通。
注意事項
KMS硬體密鑰管理執行個體關聯的密碼機僅支援通用密碼機。
密碼機、KMS硬體密鑰管理執行個體、ECS執行個體必須屬於同一個地區、且屬於同一個VPC。
管理中國內地密碼機時,ECS需要為Windows作業系統。管理非中國內地密碼機時,ECS需要為CentOS 8或 Alibaba Cloud Linux作業系統。
密碼機支援的地區和可用性區域
中國內地
地區
地區ID
可用性區域
華東1(杭州)
cn-hangzhou
可用性區域A、可用性區域G
華東2(上海)
cn-shanghai
可用性區域A、可用性區域B、可用性區域F
華北2(北京)
cn-beijing
可用性區域A、可用性區域F、可用性區域K
華南1(深圳)
cn-shenzhen
可用性區域A、可用性區域E
西南1(成都)
cn-chengdu
可用性區域A、可用性區域B
非中國內地
地區
地區ID
可用性區域
中國香港
cn-hongkong
可用性區域B、可用性區域C
新加坡
ap-southeast-1
可用性區域A、可用性區域B
馬來西亞(吉隆坡)
ap-southeast-3
可用性區域A、可用性區域B
沙特(利雅得)
me-central-1
可用性區域A、可用性區域B
印尼(雅加達)
ap-southeast-5
可用性區域A、可用性區域B
前提條件
已建立VPC,並在兩個可用性區域內分別建立了一個交換器。具體操作,請參見建立專用網路和交換器。
已建立ECS執行個體,且ECS執行個體與主密碼機執行個體在同一個VPC。具體操作,請參見使用嚮導建立執行個體。
說明操作中國內地密碼機時,ECS需要為Windows作業系統。操作非中國內地密碼機時,ECS需要為CentOS 8或 Alibaba Cloud Linux作業系統。
本文以ECS執行個體為例進行介紹,您也可以使用本地終端管理密碼機。使用本地終端時,請通過VPN或物理專線使本地終端串連到密碼機執行個體所屬的VPC網路。具體操作,請參見用戶端通過SSL-VPN遠程加密訪問VPC或通過物理專線實現本地IDC與雲上VPC互連。
配置GVSM(國密)密碼機叢集
步驟二:同步叢集資料
根據叢集同步方式,確定是否需要同步叢集中密碼機的資料。
叢集類型為自動同步叢集
叢集內密碼機資料會自動同步,您無需同步叢集資料。
叢集類型為手動同步叢集
第一次建立並啟用叢集後,您需要將叢集的主密碼機資料手動同步到叢集的子密碼機執行個體。當您對叢集進行擴容時,叢集資料會自動同步到新添加的密碼機執行個體。
單擊操作列的同步叢集,將主密碼機資料同步到子密碼機。
同步過程中叢集的狀態為同步中。叢集同步結束後,查看密碼機摘要是否一致。
請在密碼機詳情頁面查看摘要,如果兩台密碼機摘要資訊完全一致,表示您已經完成密碼機叢集配置。如果摘要資訊不一致請重複同步叢集資料的操作,若摘要資訊仍不一致,請聯絡我們。
配置GVSM(FIPS)密碼機叢集
步驟二:啟用密碼機執行個體
步驟三:建立並啟用叢集
叢集即將處於同一地區不同可用性區域、用於相同業務的一組密碼機執行個體關聯起來,進行統一管理,為業務應用提供密碼計算的高可用性、負載平衡以及橫向擴充的能力。
使用主密碼機建立叢集,然後添加子密碼機。
訪問Data Encryption Service控制台的虛擬密碼機執行個體頁面,在頂部功能表列,選擇目標地區。
定位到主密碼機執行個體,單擊操作列的建立叢集。
在建立並啟用叢集面板,完成①建立叢集,然後單擊下一步 。
配置項
說明
叢集名稱
自訂叢集的名稱。名稱不能重複且長度不允許超過24個字元。
設定叢集訪問白名單
允許訪問叢集的IP地址。
您可以輸入單個IP地址或網段地址,每行輸入1條資料,最多可以輸入10條資料。
在本文樣本中請確保如下IP均已添加到白名單中。
叢集中各密碼機執行個體所在交換器的網段
例如,叢集中密碼機執行個體所屬的VPC子網(交換器)網段分別為172.16.1.0/24和172.16.2.0/24,則在編輯框中增加輸入兩行,內容分別為:172.16.1.0/24和172.16.2.0/24。
ECS執行個體的私網IP
例如,ECS執行個體的私網IP為172.16.3.0,則在編輯框中增加輸入一行,內容為:172.16.3.0。
KMS執行個體綁定的交換器的網段
如果此時還未購買KMS執行個體,請在購買並啟用KMS執行個體後,再為叢集添加該白名單。
重要叢集的白名單優先順序高於叢集中密碼機執行個體的白名單。例如,您設定的叢集中密碼機執行個體的白名單為10.10.10.10,叢集的白名單為172.16.0.1,則您只能通過172.16.0.1訪問叢集中的密碼機執行個體。
不支援配置為0.0.0.0/0(允許存取所有來源IP)。
基於安全考慮,不推薦您允許存取所有來源IP。如果因臨時測試等原因確實需要允許存取所有來源IP,不配置白名單即可。
指定叢集的交換器(2~4個)
配置另外一個密碼機執行個體綁定的交換器。
在建立並啟用叢集面板,完成②啟用叢集。
匯入叢集認證。
在匯入叢集認證地區,單擊叢集CSR認證下載CSR認證檔案,然後上傳到ECS執行個體上儲存。以儲存為cluster.csr為例。
建立私密金鑰,並根據提示設定私密金鑰口令。以儲存為issuerCA.key為例。
openssl genrsa -aes256 -out issuerCA.key 2048建立自我簽署憑證。以儲存為issuerCA.crt為例。
openssl req -new -x509 -days 3652 -key issuerCA.key -out issuerCA.crt簽署叢集CSR認證,頒發的叢集憑證存放區在cluster.crt檔案中。
說明該步驟會使用到cluster.csr、issuerCA.key、issuerCA.crt檔案。
openssl x509 -req -in cluster.csr -days 3652 -CA issuerCA.crt -CAkey issuerCA.key -set_serial 01 -out cluster.crt返回Data Encryption Service管理主控台,匯入叢集認證並單擊提交。
在請輸入簽發者認證(PEM編碼)地區,輸入issuerCA.crt檔案的內容。
在請輸入簽發叢集認證(PEM編碼)地區,輸入cluster.crt檔案的內容。
初始化主密碼機執行個體。
步驟
說明
步驟1:下載密碼機執行個體管理工具。
重要密碼機執行個體管理工具僅支援安裝在Linux作業系統。
選擇如下方式之一下載工具:
執行如下命令下載密碼機執行個體管理工具,該操作需要您的ECS伺服器串連公網。
wget -O hsm-client-v2.03.15.10-1.x86_64.rpm 'https://yundun-hsm4.oss-ap-southeast-1.aliyuncs.com/hsm-client-v2.03.15.10-1.x86_64.rpm'在執行個體列表頁面,找到目標密碼機執行個體,通過單擊密碼機執行個體的規格列資訊,然後單擊下載密碼機執行個體管理工具。
在啟用叢集頁面,單擊下載密碼機執行個體管理工具。
步驟2:安裝密碼機管理工具。
執行如下命令:將程式和設定檔安裝在/opt/hsm目錄下。
sudo yum install -y hsm-client-v2.03.15.10-1.x86_64.rpm步驟3:修改用戶端設定檔。
在密碼機管理工具的安裝目錄下,修改/opt/hsm/etc/hsm_mgmt_tool.cfg檔案中的servers配置項。
name、hostname修改為主密碼機的私人IP地址。
owner_cert_path修改為issuerCA.crt的檔案路徑。
步驟4:登入主密碼機並查看使用者列表。
通過以下命令登入主密碼機。
/opt/hsm/bin/hsm_mgmt_tool /opt/hsm/etc/hsm_mgmt_tool.cfg執行
listUsers命令顯示使用者列表。cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO
步驟5:將PRECO使用者改為CO使用者。
執行
loginHSM命令並以PRECO身份登入加密機。server0>loginHSM PRECO admin password loginHSM success執行
changePswd命令修改PRECO使用者的密碼,當您更改密碼後,PRECO使用者將成為CO使用者。cloudmgmt>changePswd PRECO admin <NewPassword> *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. Cav server does NOT synchronize these changes with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Changing password for admin(PRECO) on 1 nodes通過
listUsers命令查看使用者列表,驗證PRECO使用者是否更改為CO使用者。cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO
步驟6:建立密碼機操作員(CU使用者)
警告請您先建立CU使用者,再將子密碼機添加到叢集,否則建立的CU使用者不會自動同步至子密碼機。
為了確保安全性,KMS硬體密鑰管理執行個體通過使用者名稱為kmsuser的CU使用者身份訪問密碼機叢集。
使用密碼機執行個體管理工具登入主密碼機,執行
createUser命令建立一個名為kmsuser的Crypto User(CU)使用者。createUser CU kmsuser <enter password>重要請您牢記kmsuser的初始密碼,在後續啟用KMS硬體密鑰管理執行個體時會用到。
執行
listUsers命令,查看CU使用者是否已經建立成功。cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU kmsuser NO 0 NO執行
quit命令退出管理工具。cloudmgmt>quit disconnecting from servers, please wait...
步驟7:驗證主密碼機狀態
返回到Data Encryption Service控制台,在啟用叢集頁面單擊
表徵圖重新整理密碼機狀態,然後單擊下一步。
在③添加加密機頁面,根據提示將子密碼機添加到叢集,然後單擊完成。
說明當待添加的密碼機執行個體狀態是已初始化時,無法添加到叢集,請聯絡我們。
配置成功後,叢集會自動將主要金鑰資料同步到子密碼機,例如將主密碼機中的kmsuser同步至子密碼機。您只需查看叢集中兩台密碼機執行個體的摘要資訊是否一致,若摘要資訊不一致,請聯絡我們。
後續配置
請前往Key Management Service控制台購買KMS硬體密鑰管理執行個體,並完成相關配置。具體操作,請參見購買和啟用KMS執行個體。