在「信任儲存管理」頁中,您可以管理硬體安全模組(HSM)憑據。 HSM是第三方PKCS#11設備,可用於安全地生成和儲存私鑰。 HSM在物理上保護對私有密鑰的訪問和使用。
需要客戶端軟體才能與HSM通信。 HSM用戶端軟體必須與AEM表單安裝在相同的電腦上並加以設定。
AEM表單數位簽章可使用儲存在HSM上的認證來套用伺服器端數位簽名。 請依照本節中的說明,為數位簽章將使用的每個HSM憑證建立別名。 別名包含HSM所需的所有參數。
變更HSM設定後,請重新啟動AEM表單伺服器。
在管理控制台中,按一下「設定>信任商店管理> HSM憑證」,然後按一下「新增」。
在「描述檔名稱」方塊中,輸入用來識別別名的字串。 此值用作某些數位簽章作業的屬性,例如「簽章欄位」作業。
在「PKCS11庫」框中,鍵入伺服器上HSM客戶端庫的完全限定路徑。 例如,c:\Program Files\LunaSA\cryptoki.dll
。 在群集環境中,此路徑對於群集中的所有伺服器必須相同。
按一下「Test HSM Connectivity(測試HSM連接性)」。 如果AEM表單能夠連線至HSM裝置,會顯示訊息,指出HSM可用。 按一下下一步。
使用Token名稱、Slot ID或Slot List Index來識別憑證儲存在HSM上的位置。
在「Token Pin」(標籤釘選)框中,鍵入訪問HSM密鑰所需的密碼,然後按一下「Next」(下一步)。
在「憑據」框中,選擇憑據。 按一下「儲存」。
在管理控制台中,按一下「設定>信任商店管理> HSM憑證」,然後按一下「新增」。
在「描述檔名稱」方塊中,輸入用來識別別名的字串。 此值用作某些數位簽章作業的屬性,例如「簽章欄位」作業。
在「PKCS11庫」框中,鍵入伺服器上HSM客戶端庫的完全限定路徑。 例如,c:\Program Files\LunaSA\cryptoki.dll
。 在群集環境中,此路徑對於群集中的所有伺服器必須相同。
選中「離線建立配置檔案」複選框。 按一下下一步。
在「HSM設備」清單中,選擇儲存憑據的HSM設備的製造商。
在「插槽類型」清單中,選擇「插槽ID」、「插槽索引」或「標籤名稱」,並在「插槽資訊」框中指定值。 AEM表格會使用這些設定來判斷憑證儲存在HSM上的位置。
Token Name: 與分區名稱(例如HSMPART1)對應。
插槽ID: 插槽ID是與插槽對應的整數,插槽ID又與分區對應。例如,首先在HSMPART1分區中註冊的客戶端(表單伺服器)。 這會將此客戶機的插槽1映射到HSMPART1分區。 由於HSMPART1是註冊的第一個分區,因此插槽ID為1,您可將插槽資訊設定為1。
插槽ID是逐個客戶機設定的。 如果將第二台電腦註冊到不同的分區(例如,在同一HSM設備上的HSMPART2),則插槽1將與該客戶機的HSMPART2分區相關聯。
插槽索引: 如果選擇「插槽索引」,請將「插槽資訊」設定為與插槽對應的整數。這是一個基於0的索引,這意味著如果客戶機首先向HSMPART1分區註冊,則插槽1將映射到此客戶機的HSMPART1。 由於HSMPART1是註冊的第一個分區,因此插槽索引為0。
選擇下列選項之一併提供路徑:
在「密碼」框中,鍵入訪問給定插槽資訊的HSM密鑰所需的密碼,然後按一下「保存」。
「狀態」列反映憑據的當前狀態。 如果失敗,「狀態」欄會顯示紅色X。 將滑鼠指標暫留在X上,以顯示包含失敗原因的工具提示。
在表單伺服器與HSM設備之間的網路會話中斷後,重置到HSM設備的開啟連接。 例如,網路中斷或HSM設備離線進行軟體更新可能會造成中斷。 中斷後,現有的連線已過時,對這些連線的任何簽署要求都會失敗。 使用「重置所有HSM連接」選項可清除舊連接。
AEM表單使用以Web Services為基礎的IPC/RPC機制。 此機制可讓AEM表單使用安裝在遠端電腦上的HSM。 要使用此功能,請在安裝HSM的遠程電腦上安裝Web服務。 如需詳細資訊,請參閱使用Windows 64位元平台上的Sun JDK,針對AEM Forms ES設定HSM支援。
此機制不支援線上建立HSM配置檔案或狀態檢查。 但是,建立HSM配置檔案和執行狀態檢查有兩種方法: