Dalla pagina Gestione dell'archivio fonti attendibili è possibile gestire le credenziali del modulo di sicurezza hardware (HSM). Un HSM è un dispositivo PKCS#11 di terze parti che può essere utilizzato per generare e memorizzare in modo sicuro le chiavi private. L'HSM protegge fisicamente l'accesso e l'uso delle chiavi private.
Il software client è necessario per comunicare con l'HSM. Il software client HSM deve essere installato e configurato sullo stesso computer dei moduli AEM.
AEM moduli Le firme digitali possono utilizzare le credenziali memorizzate in un HSM per applicare le firme digitali lato server. Segui le istruzioni riportate in questa sezione per creare un alias per ogni credenziale HSM che verranno utilizzate con Digital Signatures. L'alias contiene tutti i parametri richiesti dall'HSM.
Dopo aver modificato la configurazione HSM, riavviare il server dei moduli AEM.
Nella console di amministrazione, fai clic su Impostazioni > Gestione archivio attendibilità > Credenziali HSM, quindi fai clic su Aggiungi.
Nella casella Nome profilo digitare una stringa utilizzata per identificare l'alias. Questo valore viene utilizzato come proprietà per alcune operazioni relative alle firme digitali, ad esempio l’operazione Firma campo firma.
Nella casella Libreria PKCS11 digitare il percorso completo della libreria client HSM sul server. Esempio: c:\Program Files\LunaSA\cryptoki.dll
. In un ambiente cluster, questo percorso deve essere identico per tutti i server del cluster.
Fai clic su Test della connettività HSM. Se AEM moduli è in grado di connettersi al dispositivo HSM, viene visualizzato un messaggio in cui si informa che l’HSM è disponibile. Fai clic su Avanti.
Utilizza il Nome token, l’ID slot o l’indice dell’elenco di slot per identificare la posizione in cui le credenziali sono memorizzate nell’HSM.
Nella casella Token Pin digitare la password necessaria per accedere alla chiave HSM e fare clic su Avanti.
Nella casella Credenziali selezionare una credenziale. Fai clic su Salva.
Nella console di amministrazione, fai clic su Impostazioni > Gestione archivio attendibilità > Credenziali HSM, quindi fai clic su Aggiungi.
Nella casella Nome profilo digitare una stringa utilizzata per identificare l'alias. Questo valore viene utilizzato come proprietà per alcune operazioni relative alle firme digitali, ad esempio l’operazione Firma campo firma.
Nella casella Libreria PKCS11 digitare il percorso completo della libreria client HSM sul server. Esempio: c:\Program Files\LunaSA\cryptoki.dll
. In un ambiente cluster, questo percorso deve essere identico per tutti i server del cluster.
Selezionare la casella di controllo Creazione profilo offline. Fai clic su Avanti.
Nell’elenco dei dispositivi HSM, selezionare il produttore del dispositivo HSM in cui è memorizzata la credenziale.
Nell’elenco Tipo di slot, selezionare ID slot, Indice slot o Nome token e specificare un valore nella casella Informazioni slot. Nei moduli AEM vengono utilizzate queste impostazioni per determinare dove sono memorizzate le credenziali nell’HSM.
Nome token: Corrisponde al nome di una partizione (ad esempio, HSMPART1).
ID slot: L'ID slot è un numero intero che corrisponde allo slot, che a sua volta corrisponde a una partizione. Ad esempio, il client (server forms) registrato prima con la partizione HSMPART1. Questo mappa lo slot 1 alla partizione HSMPART1, per questo client. Poiché HSMPART1 è la prima partizione registrata, l'ID slot è 1 e si imposta Slot Info su 1.
L'ID dello slot è impostato client per client. Se si registra una seconda macchina in una partizione diversa (ad esempio, HSMPART2 sullo stesso dispositivo HSM), lo slot 1 verrebbe associato alla partizione HSMPART2 per quel client.
Indice della slot: Se si seleziona Indice slot, impostare le informazioni slot su un numero intero corrispondente allo slot. Questo è un indice basato su 0, il che significa che se il client è registrato prima con la partizione HSMPART1, lo slot 1 è mappato all'HSMPART1 per questo client. Poiché HSMPART1 è la prima partizione registrata, l'indice di slot è 0.
Selezionare una delle seguenti opzioni e specificare il percorso:
Nella casella Password digitare la password necessaria per accedere alla chiave HSM per le informazioni sullo slot specificate, quindi fare clic su Salva.
La colonna Stato riflette lo stato corrente della credenziale. In caso di errore, nella colonna Stato viene visualizzata una X rossa. Passa il mouse sulla X per visualizzare una descrizione comandi contenente il motivo dell’errore.
Ripristinare le connessioni aperte a un dispositivo HSM dopo eventuali interruzioni della sessione di rete tra il server dei moduli e il dispositivo HSM. Ad esempio, possono verificarsi interruzioni a causa di un'interruzione di rete o di un dispositivo HSM che viene portato offline per un aggiornamento software. Dopo un’interruzione, le connessioni esistenti non sono più aggiornate e le richieste di firma relative a tali connessioni falliscono. L'opzione Reset All HSM Connections cancella le vecchie connessioni.
I moduli AEM utilizzano un meccanismo IPC/RPC basato su servizi Web. Questo meccanismo consente ai moduli AEM di utilizzare un HSM installato su un computer remoto. Per utilizzare questa funzionalità, installare il servizio Web sul computer remoto in cui è installato l'HSM. Vedi Configurazione del supporto HSM per AEM forms ES utilizzando Sun JDK sulla piattaforma Windows a 64 bitper ulteriori informazioni.
Questo meccanismo non supporta la creazione online di profili HSM o controlli di stato. Tuttavia, esistono due modi per creare profili HSM ed eseguire controlli di stato: