從「信任儲存管理」頁,您可以管理硬體安全模組(HSM)憑據。 HSM是第三方PKCS#11設備,可用於安全地生成和儲存私鑰。 HSM實際上保護了對私鑰的訪問和使用。
需要客戶端軟體才能與HSM通信。 HSM客戶端軟體必須安裝並配置在與AEM表單相同的電腦上。
AEM forms數字簽名可以使用儲存在HSM上的憑據來應用伺服器端數字簽名。 按照本節中的說明,為數字簽名將使用的每個HSM憑據建立別名。 別名包含HSM所需的所有參數。
更改HSM配置後,重新啟動AEM Forms伺服器。
在管理控制台中,按一下「設定」>「信任儲存管理」>「HSM憑據」,然後按一下「添加」。
在「設定檔名稱」方塊中,輸入用來識別別名的字串。 此值用作某些數字簽名操作(如簽名簽名欄位操作)的屬性。
在「PKCS11庫」框中,在伺服器上鍵入HSM客戶端庫的完全限定路徑。 例如, c:\Program Files\LunaSA\cryptoki.dll
. 在群集環境中,此路徑對於群集中的所有伺服器必須相同。
按一下測試HSM連接。 如果AEM表單能夠連接到HSM設備,則會顯示一條消息,指出HSM可用。 按一下下一步。
使用令牌名稱、插槽ID或插槽清單索引來標識HSM上儲存憑據的位置。
在Token Pin框中,鍵入訪問HSM密鑰所需的密碼,然後按一下Next。
在「憑據」框中,選擇憑據。 按一下「儲存」。
在管理控制台中,按一下「設定」>「信任儲存管理」>「HSM憑據」,然後按一下「添加」。
在「設定檔名稱」方塊中,輸入用來識別別名的字串。 此值用作某些數字簽名操作(如簽名簽名欄位操作)的屬性。
在「PKCS11庫」框中,在伺服器上鍵入HSM客戶端庫的完全限定路徑。 例如, c:\Program Files\LunaSA\cryptoki.dll
. 在群集環境中,此路徑對於群集中的所有伺服器必須相同。
選取「離線設定檔建立」核取方塊。 按一下下一步。
在「HSM設備」清單中,選擇儲存憑據的HSM設備的製造商。
在「槽類型」清單中,選擇「槽ID」、「槽索引」或「令牌名稱」,並在「槽資訊」框中指定值。 AEM Forms使用這些設定來確定HSM上儲存憑據的位置。
代號名稱: 與分區名稱(如HSMPART1)對應。
插槽Id: 插槽ID是與插槽對應的整數,插槽又與分區對應。 例如,首先向HSMPART1分區註冊的客戶端(表單伺服器)。 這將此客戶端的插槽1映射到HSMPART1分區。 由於HSMPART1是註冊的第一個分區,因此插槽ID為1,您可將插槽資訊設定為1。
插槽ID是逐個用戶端設定。 如果您將第二台電腦註冊到不同的分區(例如,同一HSM設備上的HSMPART2),則插槽1將與該客戶機的HSMPART2分區相關聯。
插槽索引: 如果選擇「插槽索引」,請將「插槽資訊」設定為與插槽對應的整數。 這是一個基於0的索引,這意味著如果客戶端先註冊到HSMPART1分區,則插槽1將映射到此客戶端的HSMPART1。 由於HSMPART1是註冊的第一個分區,因此插槽索引為0。
選取下列其中一個選項,並提供路徑:
在「密碼」框中,鍵入訪問給定插槽資訊的HSM密鑰所需的密碼,然後按一下「保存」。
狀態列反映憑據的當前狀態。 如果失敗,「狀態」欄中會顯示紅色X。 將滑鼠移到X上,可顯示包含失敗原因的工具提示。
在表單伺服器和HSM設備之間的網路會話出現任何中斷後,重置與HSM設備的開啟連接。 例如,由於網路中斷或HSM設備離線進行軟體更新,可能會發生中斷。 中斷後,現有連線會過時,且對這些連線提出的任何簽署要求都會失敗。 使用「重置所有HSM連接」選項可清除舊連接。
AEM表單使用以Web服務為基礎的IPC/RPC機制。 此機制使AEM表單能夠使用安裝在遠程電腦上的HSM。 要使用此功能,請在安裝HSM的遠程電腦上安裝Web服務。 請參閱 在Windows 64位平台上使用Sun JDK為AEM表單ES配置HSM支援以取得更多資訊。
此機制不支援線上建立HSM配置檔案或狀態檢查。 但是,有兩種方法可以建立HSM配置檔案和執行狀態檢查: