管理HSM憑據

在「信任儲存管理」頁中,您可以管理硬體安全模組(HSM)憑據。 HSM是第三方PKCS#11設備,可用於安全地生成和儲存私鑰。 HSM在物理上保護對私有密鑰的訪問和使用。

需要客戶端軟體才能與HSM通信。 HSM用戶端軟體必須與AEM表單安裝在相同的電腦上並加以設定。

AEM表單數位簽章可使用儲存在HSM上的認證來套用伺服器端數位簽名。 請依照本節中的說明,為數位簽章將使用的每個HSM憑證建立別名。 別名包含HSM所需的所有參數。

注意

變更HSM設定後,請重新啟動AEM表單伺服器。

在HSM設備聯機時為HSM憑據建立別名

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」,然後按一下「新增」。

  2. 在「描述檔名稱」方塊中,輸入用來識別別名的字串。 此值用作某些數位簽章作業的屬性,例如「簽章欄位」作業。

  3. 在「PKCS11庫」框中,鍵入伺服器上HSM客戶端庫的完全限定路徑。 例如,c:\Program Files\LunaSA\cryptoki.dll。 在群集環境中,此路徑對於群集中的所有伺服器必須相同。

  4. 按一下「Test HSM Connectivity(測試HSM連接性)」。 如果AEM表單能夠連線至HSM裝置,會顯示訊息,指出HSM可用。 按一下下一步。

  5. 使用Token名稱、Slot ID或Slot List Index來識別憑證儲存在HSM上的位置。

    • Token Name: 與要使用的HSM分區的名稱(例如HSMPART1)對應。
    • 插槽ID: 插槽ID是類型為long的資料類型的插槽標識符。
    • 插槽清單索 引:如果選擇插槽清單索引,請將插槽資訊設定為與插槽對應的整數。這是一個基於0的索引,這意味著如果客戶機首先在HSMPART1分區中註冊,則HSMPART1將使用SlotListIndex值0。
  6. 在「Token Pin」(標籤釘選)框中,鍵入訪問HSM密鑰所需的密碼,然後按一下「Next」(下一步)。

  7. 在「憑據」框中,選擇憑據。 按一下「儲存」。

在HSM設備離線時為HSM憑據建立別名

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」,然後按一下「新增」。

  2. 在「描述檔名稱」方塊中,輸入用來識別別名的字串。 此值用作某些數位簽章作業的屬性,例如「簽章欄位」作業。

  3. 在「PKCS11庫」框中,鍵入伺服器上HSM客戶端庫的完全限定路徑。 例如,c:\Program Files\LunaSA\cryptoki.dll。 在群集環境中,此路徑對於群集中的所有伺服器必須相同。

  4. 選中「離線建立配置檔案」複選框。 按一下下一步。

  5. 在「HSM設備」清單中,選擇儲存憑據的HSM設備的製造商。

  6. 在「插槽類型」清單中,選擇「插槽ID」、「插槽索引」或「標籤名稱」,並在「插槽資訊」框中指定值。 AEM表格會使用這些設定來判斷憑證儲存在HSM上的位置。

    • Token Name: 與分區名稱(例如HSMPART1)對應。

    • 插槽ID: 插槽ID是與插槽對應的整數,插槽ID又與分區對應。例如,首先在HSMPART1分區中註冊的客戶端(表單伺服器)。 這會將此客戶機的插槽1映射到HSMPART1分區。 由於HSMPART1是註冊的第一個分區,因此插槽ID為1,您可將插槽資訊設定為1。

      插槽ID是逐個客戶機設定的。 如果將第二台電腦註冊到不同的分區(例如,在同一HSM設備上的HSMPART2),則插槽1將與該客戶機的HSMPART2分區相關聯。

    • 插槽索引: 如果選擇「插槽索引」,請將「插槽資訊」設定為與插槽對應的整數。這是一個基於0的索引,這意味著如果客戶機首先向HSMPART1分區註冊,則插槽1將映射到此客戶機的HSMPART1。 由於HSMPART1是註冊的第一個分區,因此插槽索引為0。

  7. 選擇下列選項之一併提供路徑:

    • 憑證:(使用SHA1時不需要)按一下瀏覽並找到您使用的憑據的公鑰路徑。
    • 憑證SHA1: (若使用實體憑證則不需要)您所使用憑證的公開金鑰(.cer)檔案的SHA1值(指紋)類型。請確定SHA1值中沒有使用空格。
  8. 在「密碼」框中,鍵入訪問給定插槽資訊的HSM密鑰所需的密碼,然後按一下「保存」。

查看HSM憑據別名屬性

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」。
  2. 按一下憑據別名的別名以查看屬性,然後按一下確定。

檢查HSM憑據的狀態

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」。
  2. 按一下要檢查的憑據旁的複選框,然後按一下「檢查狀態」。

「狀態」列反映憑據的當前狀態。 如果失敗,「狀態」欄會顯示紅色X。 將滑鼠指標暫留在X上,以顯示包含失敗原因的工具提示。

更新HSM憑據別名屬性

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」。
  2. 按一下憑據別名的別名。
  3. 按一下「更新憑證」,並視需要更新設定。

重置所有HSM連接

在表單伺服器與HSM設備之間的網路會話中斷後,重置到HSM設備的開啟連接。 例如,網路中斷或HSM設備離線進行軟體更新可能會造成中斷。 中斷後,現有的連線已過時,對這些連線的任何簽署要求都會失敗。 使用「重置所有HSM連接」選項可清除舊連接。

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」。
  2. 按一下「重置所有HSM連接」。

刪除HSM憑據別名

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」。
  2. 選擇要刪除的HSM憑據的複選框,按一下刪除,然後按一下確定。

配置遠程HSM支援

AEM表單使用以Web Services為基礎的IPC/RPC機制。 此機制可讓AEM表單使用安裝在遠端電腦上的HSM。 要使用此功能,請在安裝HSM的遠程電腦上安裝Web服務。 如需詳細資訊,請參閱使用Windows 64位元平台上的Sun JDK,針對AEM Forms ES設定HSM支援。

此機制不支援線上建立HSM配置檔案或狀態檢查。 但是,建立HSM配置檔案和執行狀態檢查有兩種方法:

  • 將AEM表單用戶端憑證傳遞給簽署者的憑證,以建立此憑證。 請依照在Windows 64位元平台上使用Sun JDK設定AEM Forms ES的HSM支援中的步驟進行。 Web服務位置作為憑據屬性傳入。 也支援使用憑證碼或憑證SHA-1十六進位建立的離線HSM設定檔。 不過,如果您已從舊版AEM表單升級至AEM表單,請變更用戶端,因為憑證包含憑證和網站服務資訊。
  • Web服務位置是在簽名服務的管理控制台中指定的。 (請參閱簽名服務設定。) 在此,客戶機僅在信任儲存中帶有HSM配置檔案的別名。 即使您已從舊版AEM表單升級至AEM表單,您也可以順暢地使用此選項,不需要任何用戶端變更。 此選項不支援使用證書SHA-1的HSM配置檔案。

本頁內容

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now