AEM 6.4 ha llegado al final de la compatibilidad ampliada y esta documentación ya no se actualiza. Para obtener más información, consulte nuestra períodos de asistencia técnica. Buscar las versiones compatibles here.
Desde la página Administración de almacén de confianza, puede administrar las credenciales del Módulo de seguridad de hardware (HSM). Un HSM es un dispositivo PKCS#11 de terceros que puede utilizar para generar y almacenar claves privadas de forma segura. El HSM protege físicamente el acceso a las claves privadas y su uso.
El software cliente es necesario para comunicarse con el HSM. El software cliente HSM debe estar instalado y configurado en el mismo equipo que AEM formularios.
AEM formularios Digital Signatures puede utilizar credenciales almacenadas en un HSM para aplicar firmas digitales del lado del servidor. Siga las instrucciones de esta sección para crear un alias para cada credencial de HSM que utilizarán las firmas digitales. El alias contiene todos los parámetros requeridos por el HSM.
Después de cambiar la configuración de HSM, reinicie el servidor de AEM forms.
En la consola de administración, haga clic en Configuración > Administración de almacén de confianza > Credenciales de HSM y, a continuación, haga clic en Agregar.
En el cuadro Nombre de perfil, escriba una cadena utilizada para identificar el alias. Este valor se utiliza como propiedad para algunas operaciones de firmas digitales, como la operación Firmar campo de firma .
En el cuadro Biblioteca PKCS11, escriba la ruta completa de su biblioteca de cliente HSM en el servidor. Por ejemplo, c:\Program Files\LunaSA\cryptoki.dll
. En un entorno en clúster, esta ruta debe ser idéntica para todos los servidores del clúster.
Haga clic en Probar conectividad HSM. Si AEM formularios pueden conectarse al dispositivo HSM, aparece un mensaje que indica que el HSM está disponible. Haga clic en Siguiente.
Utilice el Nombre del token, el ID de ranura o el Índice de lista de ranuras para identificar dónde se almacenan las credenciales en el HSM.
En el cuadro Token Pin, escriba la contraseña necesaria para acceder a la clave HSM y haga clic en Next.
En el cuadro Credenciales, seleccione una credencial. Haga clic en Guardar.
En la consola de administración, haga clic en Configuración > Administración de almacén de confianza > Credenciales de HSM y, a continuación, haga clic en Agregar.
En el cuadro Nombre de perfil, escriba una cadena utilizada para identificar el alias. Este valor se utiliza como propiedad para algunas operaciones de firmas digitales, como la operación Firmar campo de firma .
En el cuadro Biblioteca PKCS11, escriba la ruta completa de su biblioteca de cliente HSM en el servidor. Por ejemplo, c:\Program Files\LunaSA\cryptoki.dll
. En un entorno en clúster, esta ruta debe ser idéntica para todos los servidores del clúster.
Active la casilla de verificación Creación de perfiles sin conexión . Haga clic en Siguiente.
En la lista de dispositivos HSM, seleccione el fabricante del dispositivo HSM en el que se almacena la credencial.
En la lista Tipo de ranura, seleccione Id. de ranura, Índice de ranura o Nombre de token y especifique un valor en el cuadro Información de ranura. AEM formularios utiliza esta configuración para determinar dónde se almacenan las credenciales en el HSM.
Nombre del token: Corresponde a un nombre de partición (por ejemplo, HSMPART1).
Id De Ranura: El ID de ranura es un número entero que corresponde a la ranura, que a su vez corresponde a una partición. Por ejemplo, el cliente (servidor de formularios) registrado primero con la partición HSMPART1. Esto asigna la ranura 1 a la partición HSMPART1, para este cliente. Como HSMPART1 es la primera partición registrada, el ID de ranura es 1 y usted establecería Información de ranura en 1.
El ID de ranura se establece cliente por cliente. Si ha registrado una segunda máquina en una partición diferente (por ejemplo, HSMPART2 en el mismo dispositivo HSM), la ranura 1 se asociará con la partición HSMPART2 para ese cliente.
Índice de ranura: Si selecciona Índice de ranura, establezca la información de ranura en un número entero que corresponda a la ranura. Este es un índice basado en 0, lo que significa que si el cliente está registrado primero con la partición HSMPART1, la ranura 1 está asignada al HSMPART1 para este cliente. Como HSMPART1 es la primera partición registrada, el Índice de ranuras es 0.
Seleccione una de estas opciones y proporcione la ruta:
En el cuadro Contraseña, escriba la contraseña necesaria para acceder a la clave HSM de la información de ranura dada y, a continuación, haga clic en Guardar.
La columna Estado refleja el estado actual de la credencial. En caso de error, se muestra una X roja en la columna Estado. Pase el ratón sobre la X para mostrar una información del objeto que contenga el motivo del error.
Restablezca las conexiones abiertas a un dispositivo HSM después de cualquier interrupción en la sesión de red entre el servidor de formularios y el dispositivo HSM. Por ejemplo, pueden producirse interrupciones debido a una interrupción de la red o al desconexión del dispositivo HSM para una actualización de software. Después de una interrupción, las conexiones existentes están obsoletas y cualquier solicitud de firma contra esas conexiones falla. Al utilizar la opción Restablecer todas las conexiones HSM, se borran las conexiones antiguas.
AEM formularios utiliza un mecanismo IPC/RPC basado en Web Services. Este mecanismo permite que AEM formularios utilicen un HSM instalado en un equipo remoto. Para utilizar esta funcionalidad, instale el servicio web en el equipo remoto en el que está instalado el HSM. Consulte Configuración de la compatibilidad con HSM para formularios AEM ES mediante Sun JDK en una plataforma Windows de 64 bitspara obtener más información.
Este mecanismo no admite la creación en línea de perfiles HSM o comprobaciones de estado. Sin embargo, existen dos formas de crear perfiles HSM y realizar comprobaciones de estado: