管理HSM凭据

从“信任存储管理”页,可以管理硬件安全模块(HSM)凭据。 HSM是第三方PKCS#11设备,可用于安全地生成和存储私钥。 HSM以物理方式保护对私钥的访问和使用。

需要客户端软件才能与HSM通信。 HSM客户端软件必须与AEM表单安装并配置在同一台计算机上。

AEM forms数字签名可以使用存储在HSM上的凭据来应用服务器端数字签名。 按照本节中的说明,为数字签名将使用的每个HSM凭证创建别名。 别名包含HSM所需的所有参数。

注意

更改HSM配置后,重新启动AEM forms服务器。

当HSM设备联机时,为HSM凭据创建别名

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”,然后单击“添加”。

  2. 在“用户档案名称”框中,键入用于标识别名的字符串。 此值用作某些数字签名操作(如签名字段操作)的属性。

  3. 在“PKCS11库”框中,在服务器上键入HSM客户端库的完全限定路径。 例如,c:\Program Files\LunaSA\cryptoki.dll。 在群集环境中,此路径必须对群集中的所有服务器都相同。

  4. 单击“测试HSM连接”。 如果AEM表单能够连接到HSM设备,则显示一条消息,说明HSM可用。 单击下一步。

  5. 使用令牌名称、插槽ID或插槽列表索引来标识凭据在HSM上的存储位置。

    • 令牌名 称:与要使用的HSM分区的名称(例如,HSMPART1)对应。
    • 插槽ID: 插槽ID是数据类型长的插槽标识符。
    • 插槽列表索 引:如果选择“插槽列表索引”,请将“插槽信息”设置为与插槽对应的整数。这是一个基于0的索引,这意味着如果客户端首先注册到HSMPART1分区,则使用SlotListIndex值0将引用HSMPART1。
  6. 在“令牌PIN”框中,键入访问HSM密钥所需的口令,然后单击“下一步”。

  7. 在“凭据”框中,选择凭据。 单击保存。

在HSM设备脱机时为HSM凭据创建别名

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”,然后单击“添加”。

  2. 在“用户档案名称”框中,键入用于标识别名的字符串。 此值用作某些数字签名操作(如签名字段操作)的属性。

  3. 在“PKCS11库”框中,在服务器上键入HSM客户端库的完全限定路径。 例如,c:\Program Files\LunaSA\cryptoki.dll。 在群集环境中,此路径必须对群集中的所有服务器都相同。

  4. 选中脱机用户档案创建复选框。 单击下一步。

  5. 在HSM设备列表中,选择存储凭据的HSM设备的制造商。

  6. 在“插槽类型”列表中,选择“插槽ID”、“插槽索引”或“令牌名称”,并在“插槽信息”框中指定一个值。 AEM表单使用这些设置来确定凭据在HSM上的存储位置。

    • 令牌名 称:与分区名称(例如,HSMPART1)对应。

    • 插槽ID: 插槽ID是与插槽对应的整数,插槽ID又与分区对应。例如,客户端(表单服务器)首先注册到HSMPART1分区。 这会将此客户端的插槽1映射到HSMPART1分区。 由于HSMPART1是已注册的第一个分区,因此插槽ID为1,您应将插槽信息设置为1。

      插槽ID是按客户端逐个设置的。 如果您将另一台计算机注册到不同的分区(例如,同一HSM设备上的HSMPART2),则插槽1将与该客户端的HSMPART2分区相关联。

    • 插槽索 引:如果选择“插槽索引”,请将“插槽信息”设置为与插槽对应的整数。这是一个基于0的索引,这意味着如果客户端首先注册到HSMPART1分区,则插槽1将映射到此客户端的HSMPART1。 由于HSMPART1是已注册的第一个分区,因此插槽索引为0。

  7. 选择以下选项之一并提供路径:

    • 证书:(使用SHA1时不需要)单击“浏览”并找到您所使用凭据的公钥路径。
    • 证书SHA1: (在使用物理证书时不是必需的)为您所使用的凭据键入公钥(.cer)文件的SHA1值(指纹)。确保SHA1值中没有使用空格。
  8. 在“密码”框中,键入访问给定插槽信息的HSM密钥所需的密码,然后单击“保存”。

视图HSM凭据别名属性

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”。
  2. 单击凭据别名的别名以视图属性,然后单击确定。

检查HSM凭据的状态

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”。
  2. 单击要检查的凭据旁边的复选框,然后单击检查状态。

状态列反映凭据的当前状态。 如果失败,“状态”列中将显示红色X。 将鼠标悬停在X上可显示包含失败原因的工具提示。

更新HSM凭据别名属性

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”。
  2. 单击凭据别名的别名。
  3. 单击“更新凭据”,然后根据需要更新设置。

重置所有HSM连接

在表单服务器和HSM设备之间的网络会话中断后,重置到HSM设备的打开连接。 例如,由于网络中断或HSM设备离线进行软件更新,可能会发生中断。 中断后,现有连接过时,针对这些连接的任何签名请求都将失败。 使用“重置所有HSM连接”选项可清除旧连接。

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”。
  2. 单击“重置所有HSM连接”。

删除HSM凭据别名

  1. 在管理控制台中,单击“设置”>“信任存储管理”>“HSM凭据”。
  2. 选中要删除的HSM凭据的复选框,单击删除,然后单击确定。

配置远程HSM支持

AEM表单使用基于Web服务的IPC/RPC机制。 此机制使AEM表单能够使用安装在远程计算机上的HSM。 要使用此功能,请在安装HSM的远程计算机上安装Web服务。 有关详细信息,请参见使用Windows 64位平台上的Sun JDK配置AEM表单ES的HSM支持

此机制不支持在线创建HSM用户档案或状态检查。 但是,有两种方法可创建HSM用户档案并执行状态检查:

  • 通过传递签署方的证书创建AEM表单客户端凭据。 按照使用Windows 64位平台上的Sun JDK配置AEM表单ES的HSM支持中的步骤操作。 Web服务位置作为凭据属性进行传入。 还支持使用证书编号或证书SHA-1十六进制创建的脱机HSM用户档案。 但是,如果您已从AEM表单的早期版本升级到AEM表单,请更改客户端,因为凭据包含证书和Web服务信息。
  • Web服务位置在签名服务的管理控制台中指定。 (请参阅签名服务设置。) 在此,客户端仅在信任存储中携带HSM用户档案的别名。 即使您已从先前版本的AEM表单升级到AEM表单,您也可以无缝地使用此选项,而不需要任何客户端更改。 此选项不支持使用证书SHA-1的HSM用户档案。

On this page

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now