Dalla pagina Gestione dell'archivio fonti attendibili è possibile gestire le credenziali del modulo di protezione hardware. Un HSM è un dispositivo di terze parti PKCS#11 che puoi utilizzare per generare e memorizzare in modo sicuro le chiavi private. HSM protegge fisicamente l'accesso e l'uso delle chiavi private.
Il software client è necessario per comunicare con HSM. Il software client HSM deve essere installato e configurato sullo stesso computer dei moduli AEM.
Le firme digitali dei moduli AEM possono utilizzare le credenziali memorizzate su un HSM per applicare le firme digitali lato server. Segui le istruzioni riportate in questa sezione per creare un alias per ogni credenziale HSM utilizzata da Digital Signatures. L’alias contiene tutti i parametri richiesti da HSM.
Dopo aver modificato la configurazione HSM, riavvia il server AEM Forms.
Nella console di amministrazione, fai clic su Impostazioni > Gestione archivio fonti attendibili > Credenziali HSM, quindi fai clic su Aggiungi.
Nella casella Nome profilo digitare una stringa utilizzata per identificare l'alias. Questo valore viene utilizzato come proprietà per alcune operazioni di Firma digitale, ad esempio l'operazione Firma campo.
Nella casella Libreria PKCS11 digitare il percorso completo della libreria client HSM sul server. Ad esempio, c:\Program Files\LunaSA\cryptoki.dll
. In un ambiente cluster, questo percorso deve essere identico per tutti i server del cluster.
Fare clic su Verifica connettività HSM. Se i moduli AEM sono in grado di connettersi al dispositivo HSM, viene visualizzato un messaggio che informa che il dispositivo HSM è disponibile. Fai clic su Avanti.
Utilizzare il Nome token, l'ID slot o l'Indice elenco slot per identificare la posizione in cui sono memorizzate le credenziali nell'HSM.
Nella casella Token Pin, digita la password necessaria per accedere alla chiave HSM e fai clic su Avanti.
Nella casella Credenziali selezionare una credenziale. Fai clic su Salva.
Nella console di amministrazione, fai clic su Impostazioni > Gestione archivio fonti attendibili > Credenziali HSM, quindi fai clic su Aggiungi.
Nella casella Nome profilo digitare una stringa utilizzata per identificare l'alias. Questo valore viene utilizzato come proprietà per alcune operazioni di Firma digitale, ad esempio l'operazione Firma campo.
Nella casella Libreria PKCS11 digitare il percorso completo della libreria client HSM sul server. Ad esempio, c:\Program Files\LunaSA\cryptoki.dll
. In un ambiente cluster, questo percorso deve essere identico per tutti i server del cluster.
Selezionare la casella di controllo Creazione profilo offline. Fai clic su Avanti.
Nell'elenco Periferiche HSM selezionare il produttore della periferica HSM in cui sono memorizzate le credenziali.
Nell'elenco Tipo slot (Slot Type), selezionate ID slot (Slot Id), Indice slot (Slot Index) o Nome token (Token Name) e specificate un valore nella casella Informazioni slot (Slot Info). I moduli AEM utilizzano queste impostazioni per determinare dove vengono memorizzate le credenziali nell'HSM.
Nome token: Corrisponde al nome di una partizione (ad esempio, HSMPART1).
ID slot: L'ID slot è un numero intero che corrisponde allo slot, che a sua volta corrisponde a una partizione. Ad esempio, il client (server Forms) è stato registrato prima con la partizione HSMPART1. Questo mappa lo slot 1 alla partizione HSMPART1 per questo client. Poiché HSMPART1 è la prima partizione registrata, l'ID dello slot è 1 e le informazioni sullo slot vengono impostate su 1.
L'ID dello slot viene impostato client per client. Se si registra un secondo computer in una partizione diversa (ad esempio, HSMPART2 sullo stesso dispositivo HSM), lo slot 1 verrà associato alla partizione HSMPART2 per tale client.
Indice slot: Se selezionate Indice slot (Slot Index), impostate le informazioni sullo slot su un numero intero corrispondente allo slot. Si tratta di un indice basato su 0, il che significa che se il client viene registrato prima con la partizione HSMPART1, lo slot 1 viene mappato a HSMPART1 per questo client. Poiché HSMPART1 è la prima partizione registrata, l'indice di slot è 0.
Seleziona una di queste opzioni e fornisci il percorso:
Nella casella Password digitare la password necessaria per accedere alla chiave HSM per le informazioni sullo slot specificate e quindi fare clic su Salva.
La colonna Stato riflette lo stato corrente delle credenziali. In caso di errore, nella colonna Stato viene visualizzata una X rossa. Passa il puntatore del mouse sulla X per visualizzare una descrizione comando contenente il motivo dell’errore.
Ripristina le connessioni aperte a un dispositivo HSM dopo eventuali interruzioni della sessione di rete tra il server Forms e il dispositivo HSM. Ad esempio, possono verificarsi interruzioni a causa di un’interruzione della rete o della disconnessione del dispositivo HSM per un aggiornamento software. Dopo un’interruzione, le connessioni esistenti non sono aggiornate e le eventuali richieste di firma relative a tali connessioni non riescono. L'utilizzo dell'opzione Reimposta tutte le connessioni HSM consente di cancellare le connessioni precedenti.
I moduli AEM utilizzano un meccanismo IPC/RPC basato su servizi Web. Questo meccanismo consente ai moduli AEM di utilizzare un HSM installato in un computer remoto. Per utilizzare questa funzionalità, installare il servizio Web nel computer remoto in cui è installato HSM. Consulta Configurazione del supporto HSM per AEM Forms ES con Sun JDK su piattaforma Windows a 64 bitper ulteriori informazioni.
Questo meccanismo non supporta la creazione online di profili HSM o i controlli dello stato. Tuttavia, esistono due modi per creare profili HSM ed eseguire controlli dello stato: