管理HSM凭据

从“信任存储管理”页,可以管理硬件安全模块(HSM)凭据。 HSM是第三方PKCS#11设备,可用于安全地生成和存储私钥。 HSM以物理方式保护对私钥的访问和使用。

需要客户端软件才能与HSM通信。 HSM客户端软件必须与AEM表单安装并配置在同一台计算机上。

AEM forms数字签名可以使用存储在HSM上的凭据来应用服务器端数字签名。 按照本节中的说明,为数字签名将使用的每个HSM凭证创建别名。 别名包含HSM所需的所有参数。

注意

更改HSM配置后,重新启动AEM forms服务器。

当HSM设备联机时,为HSM凭据创建别名

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”,然后单击“添加”。

  2. 在“用户档案名称”框中,键入用于标识别名的字符串。 此值用作某些数字签名操作(如签名字段操作)的属性。

  3. 在“PKCS11库”框中,在服务器上键入HSM客户端库的完全限定路径。 例如,c:\Program Files\LunaSA\cryptoki.dll。 在群集环境中,此路径必须对群集中的所有服务器都相同。

  4. 单击“测试HSM连接”。 如果AEM表单能够连接到HSM设备,则显示一条消息,说明HSM可用。 单击下一步。

  5. 使用令牌名称、插槽ID或插槽列表索引来标识凭据在HSM上的存储位置。

    • 令牌名 称:与要使用的HSM分区的名称(例如,HSMPART1)对应。
    • 插槽ID: 插槽ID是数据类型长的插槽标识符。
    • 插槽列表索 引:如果选择“插槽列表索引”,请将“插槽信息”设置为与插槽对应的整数。这是一个基于0的索引,这意味着如果客户端首先注册到HSMPART1分区,则使用SlotListIndex值0将引用HSMPART1。
  6. 在“令牌PIN”框中,键入访问HSM密钥所需的口令,然后单击“下一步”。

  7. 在“凭据”框中,选择凭据。 单击保存。

在HSM设备脱机时为HSM凭据创建别名

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”,然后单击“添加”。

  2. 在“用户档案名称”框中,键入用于标识别名的字符串。 此值用作某些数字签名操作(如签名字段操作)的属性。

  3. 在“PKCS11库”框中,在服务器上键入HSM客户端库的完全限定路径。 例如,c:\Program Files\LunaSA\cryptoki.dll。 在群集环境中,此路径必须对群集中的所有服务器都相同。

  4. 选中脱机用户档案创建复选框。 单击下一步。

  5. 在HSM设备列表中,选择存储凭据的HSM设备的制造商。

  6. 在“插槽类型”列表中,选择“插槽ID”、“插槽索引”或“令牌名称”,并在“插槽信息”框中指定一个值。 AEM表单使用这些设置来确定凭据在HSM上的存储位置。

    • 令牌名 称:与分区名称(例如,HSMPART1)对应。

    • 插槽ID: 插槽ID是与插槽对应的整数,插槽ID又与分区对应。例如,客户端(表单服务器)首先注册到HSMPART1分区。 这会将此客户端的插槽1映射到HSMPART1分区。 由于HSMPART1是已注册的第一个分区,因此插槽ID为1,您应将插槽信息设置为1。

      插槽ID是按客户端逐个设置的。 如果您将另一台计算机注册到不同的分区(例如,同一HSM设备上的HSMPART2),则插槽1将与该客户端的HSMPART2分区相关联。

    • 插槽索 引:如果选择“插槽索引”,请将“插槽信息”设置为与插槽对应的整数。这是一个基于0的索引,这意味着如果客户端首先注册到HSMPART1分区,则插槽1将映射到此客户端的HSMPART1。 由于HSMPART1是已注册的第一个分区,因此插槽索引为0。

  7. 选择以下选项之一并提供路径:

    • 证书:(使用SHA1时不需要)单击“浏览”并找到您所使用凭据的公钥路径。
    • 证书SHA1: (在使用物理证书时不是必需的)为您所使用的凭据键入公钥(.cer)文件的SHA1值(指纹)。确保SHA1值中没有使用空格。
  8. 在“密码”框中,键入访问给定插槽信息的HSM密钥所需的密码,然后单击“保存”。

视图HSM凭据别名属性

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”。
  2. 单击凭据别名的别名以视图属性,然后单击确定。

检查HSM凭据的状态

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”。
  2. 单击要检查的凭据旁边的复选框,然后单击检查状态。

状态列反映凭据的当前状态。 如果失败,“状态”列中将显示红色X。 将鼠标悬停在X上可显示包含失败原因的工具提示。

更新HSM凭据别名属性

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”。
  2. 单击凭据别名的别名。
  3. 单击“更新凭据”,然后根据需要更新设置。

重置所有HSM连接

在表单服务器和HSM设备之间的网络会话中断后,重置到HSM设备的打开连接。 例如,由于网络中断或HSM设备离线进行软件更新,可能会发生中断。 中断后,现有连接过时,针对这些连接的任何签名请求都将失败。 使用“重置所有HSM连接”选项可清除旧连接。

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”。
  2. 单击“重置所有HSM连接”。

删除HSM凭据别名

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”。
  2. 选中要删除的HSM凭据的复选框,单击删除,然后单击确定。

配置远程HSM支持

AEM表单使用基于Web服务的IPC/RPC机制。 此机制使AEM表单能够使用安装在远程计算机上的HSM。 要使用此功能,请在安装HSM的远程计算机上安装Web服务。 有关详细信息,请参见使用Windows 64位平台上的Sun JDK配置AEM表单ES的HSM支持

此机制不支持在线创建HSM用户档案或状态检查。 但是,有两种方法可创建HSM用户档案并执行状态检查:

  • 通过传递签署方的证书创建AEM表单客户端凭据。 按照使用Windows 64位平台上的Sun JDK配置AEM表单ES的HSM支持中的步骤操作。 Web服务位置作为凭据属性进行传入。 还支持使用证书编号或证书SHA-1十六进制创建的脱机HSM用户档案。 但是,如果您已从AEM表单的早期版本升级到AEM表单,请更改客户端,因为凭据包含证书和Web服务信息。
  • Web服务位置在签名服务的管理控制台中指定。 (请参阅签名服务设置。) 在此,客户端仅在信任存储中携带HSM用户档案的别名。 即使您已从先前版本的AEM表单升级到AEM表单,您也可以无缝地使用此选项,而不需要任何客户端更改。 此选项不支持使用证书SHA-1的HSM用户档案。

在此页面上