hsm_mgmt_tool命令列工具協助CO使用者管理HSM執行個體和HSM使用者。該工具還允許CU使用者共用密鑰、擷取和設定密鑰屬性。
運行hsm_mgmt_tool命令之前,您必須啟動hsm_mgmt_tool並登入到HSM執行個體。請確保您以正確的使用者身份登入,詳情參見HSM使用者權限表。
下載安裝包
下載密碼機執行個體管理工具。
CentOS
方式一:下載密碼機執行個體管理工具。
方式二:執行如下命令下載密碼機執行個體管理工具,該操作需要您的ECS伺服器串連公網。
wget -O hsm-client-v2.03.15.10-1.x86_64.rpm 'https://yundun-hsm4.oss-ap-southeast-1.aliyuncs.com/hsm-client-v2.03.15.10-1.x86_64.rpm'方式三:在執行個體列表頁面,找到目標密碼機執行個體,通過單擊規格列的
表徵圖。方式四:在啟用叢集頁面,單擊下載密碼機執行個體管理工具。
Debian
訪問hsm-client-2.03.15.10-20240710_1.x86_64.deb,下載密碼機執行個體管理工具。
執行如下命令:將程式和設定檔安裝在/opt/hsm目錄下。
CentOS
sudo yum install -y hsm-client-v2.03.15.10-1.x86_64.rpmDebian
sudo dpkg -i hsm-client-2.03.15.10-20240710_1.x86_64.deb
修改設定檔
在密碼機管理工具的安裝目錄下,修改/opt/hsm/etc/hsm_mgmt_tool.cfg檔案中的servers配置項。
name、hostname修改為主密碼機的私人IP地址。
owner_cert_path修改為issuerCA.crt的檔案路徑。
啟動和退出工具
啟動hsm_mgmt_tool命令列工具。
/opt/hsm/bin/hsm_mgmt_tool /opt/hsm/etc/hsm_mgmt_tool.cfg退出hsm_mgmt_tool命令列工具。
cloudmgmt> quit擷取協助
運行下面的命令,列出所有的hsm_mgmt_tool命令。
cloudmgmt> help運行下面的命令,獲得特定hsm_mgmt_tool命令的文法。
cloudmgmt> help <command-name>命令參考
下表描述了hsm_mgmt_tool中的命令。
命令 | 說明 | 使用者類型 |
更改HSM執行個體上使用者的密碼。所有使用者都可以更改自己的密碼。CO使用者可以更改所有使用者的密碼。 | CO使用者 | |
在HSM執行個體上建立所有類型的使用者。 | CO使用者 | |
從HSM執行個體中刪除所有類型的使用者。 | CO使用者 | |
擷取使用者擁有或共用的密鑰。擷取每個HSM執行個體上所有密鑰的密鑰所有權和資料的雜湊。 | CO使用者, AU使用者 | |
擷取HSM密鑰的屬性值,並將其寫入檔案或標準輸出(stdot)。 | CU使用者 | |
擷取特定HSM執行個體的認證,並將其儲存為指定格式。 | 所有使用者 | |
擷取特定HSM執行個體的認證請求,並將其儲存為指定格式。 | 所有使用者 | |
擷取運行HSM執行個體的裝置資訊。 | 所有使用者。不需要登入。 | |
擷取密鑰的所有者、共用使用者和法定人數認證狀態。 | CU使用者 | |
擷取HSM執行個體的相關資訊,包括IP地址、主機名稱、連接埠和目前使用者。 | 所有使用者。不需要登入。 | |
列出HSM密鑰的屬性和表示它們的常量 | 所有使用者。不需要登入。 | |
擷取每個HSM執行個體中的使用者,其使用者類型、ID以及其他屬性。 | 所有使用者。不需要登入。 | |
登入並登出HSM執行個體。 | 所有使用者 | |
進入和退出HSM執行個體的伺服器模式。 | 所有使用者 | |
更改標籤的值,並對現有密鑰的屬性進行加密,解密,換行和展開。 | CU使用者 | |
退出hsm_mgmt_tool。 | 所有使用者,無需要登入。 | |
與其他使用者共用現有密鑰。 | CU使用者 | |
儲存HSM所有者認證和所有者簽署憑證。 | PRECO使用者或CO使用者 |