HSM 資格情報の管理 managing-hsm-credentials
Trust Store の管理ページでは、ハードウェアセキュリティモジュール (HSM) 秘密鍵証明書を管理できます。 HSM は、秘密鍵を安全に生成して保存するために使用できる、サードパーティの PKCS#11 デバイスです。 HSM は、秘密鍵へのアクセスと使用を物理的に保護します。
クライアントソフトウェアは、HSM と通信する必要があります。 HSM クライアントソフトウェアは、AEM forms と同じコンピューターにインストールして設定する必要があります。
AEM forms Digital Signatures では、HSM に保存されている資格情報を使用して、サーバー側の電子署名を適用できます。 この節の手順に従って、Digital Signatures で使用する HSM 秘密鍵証明書ごとにエイリアスを作成します。 エイリアスには、HSM に必要なすべてのパラメーターが含まれます。
HSM デバイスがオンラインの場合に HSM 秘密鍵証明書のエイリアスを作成する create-an-alias-for-an-hsm-credential-when-the-hsm-device-is-online
-
管理コンソールで、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックし、「追加」をクリックします。
-
「プロファイル名」ボックスに、エイリアスを識別するための文字列を入力します。 この値は、Sign Signature Field 操作など、一部の Digital Signatures 操作のプロパティとして使用されます。
-
「 PKCS11 ライブラリ」ボックスに、サーバー上の HSM クライアントライブラリの完全修飾パスを入力します。 例えば、
c:\Program Files\LunaSA\cryptoki.dll
のようになります。クラスター環境では、クラスター内のすべてのサーバーでこのパスが同じである必要があります。 -
「HSM 接続をテスト」をクリックします。 AEM forms が HSM デバイスに接続できる場合は、HSM が使用可能であることを示すメッセージが表示されます。 「次へ」をクリックします。
-
「トークン名」、「スロット ID」、「スロットリストのインデックス」のいずれかを使用して、HSM 上の秘密鍵証明書の保存場所を特定します。
- トークン名: 使用する HSM パーティションの名前(HSMPART1 など)に相当します。
- スロット ID: スロット ID は、データタイプが long であるスロットの識別子です。
- スロットリストのインデックス:「スロットリストのインデックス」を選択した場合、「スロット情報」にはスロットに相当する整数を設定します。これは 0 から始まるインデックスです。つまり、クライアントが最初に HSMPART1 パーティションに登録された場合、HSMPART1 は SlotListIndex 値 0 を使用して参照されます。
-
「トークンピン」ボックスに、HSM キーへのアクセスに必要なパスワードを入力し、「次へ」をクリックします。
-
「資格情報」ボックスで、資格情報を選択します。 「保存」をクリックします。
HSM デバイスがオフラインの場合に HSM 秘密鍵証明書のエイリアスを作成する create-an-alias-for-an-hsm-credential-when-the-hsm-device-is-offline
-
管理コンソールで、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックし、「追加」をクリックします。
-
「プロファイル名」ボックスに、エイリアスを識別するための文字列を入力します。 この値は、Sign Signature Field 操作など、一部の Digital Signatures 操作のプロパティとして使用されます。
-
「 PKCS11 ライブラリ」ボックスに、サーバー上の HSM クライアントライブラリの完全修飾パスを入力します。 例えば、
c:\Program Files\LunaSA\cryptoki.dll
のようになります。クラスター環境では、クラスター内のすべてのサーバーでこのパスが同じである必要があります。 -
「オフラインプロファイルの作成」チェックボックスを選択します。 「次へ」をクリックします。
-
「HSM デバイス」リストで、秘密鍵証明書が保存されている HSM デバイスの製造元を選択します。
-
[ スロットタイプ ] リストで、[ スロット ID]、[ スロットインデックス ]、または [ トークン名 ] を選択し、[ スロット情報 ] ボックスに値を指定します。 AEM forms では、これらの設定を使用して、HSM 上の秘密鍵証明書の保存場所を決定します。
-
トークン名: パーティション名に相当します(「HSMPART1」など)。
-
スロット ID: スロット ID は、スロットに相当する整数で、同様にパーティションにも相当します。例えば、クライアント (Formsサーバー ) が最初に HSMPART1 パーティションに登録されたとします。 これにより、このクライアントのスロット 1 が HSMPART1 パーティションにマッピングされます。 HSMPART1 は最初に登録されたパーティションなので、スロット ID は 1 で、スロット情報を 1 に設定します。
スロット ID は、クライアントごとに設定されます。2 台目のマシンを別のパーティション(同じ HSM デバイス上の HSMPART2 など)に登録した場合、スロット 1 はそのクライアントの HSMPART2 パーティションに関連付けられます。
-
スロットインデックス: スロットインデックスを選択した場合、「スロット情報」にはスロットに相当する整数を設定します。これは 0 から始まるインデックスです。つまり、クライアントが最初に HSMPART1 パーティションに登録された場合、スロット 1 はこのクライアントの HSMPART1 にマッピングされます。 HSMPART1 は最初に登録されたパーティションなので、スロットインデックスは 0 です。
-
-
次のいずれかのオプションを選択し、パスを指定します。
- 証明書:(SHA1 を使用している場合は不要)「参照」をクリックし、使用する秘密鍵証明書の公開鍵へのパスに移動します。
- 証明書 SHA1: (物理証明書を使用する場合は不要)使用する秘密鍵証明書の公開鍵 (.cer) ファイルの SHA1 値(拇印)を入力します。 SHA1 値にスペースが使用されていないことを確認します。
-
「パスワード」ボックスに、指定したスロット情報の HSM キーにアクセスするために必要なパスワードを入力し、「保存」をクリックします。
HSM 秘密鍵証明書エイリアスプロパティの表示 view-hsm-credential-alias-properties
- 管理コンソールで、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックします。
- 秘密鍵証明書エイリアスのエイリアス名をクリックしてプロパティを表示し、「OK」をクリックします。
HSM 秘密鍵証明書のステータスの確認 check-the-status-of-an-hsm-credential
- 管理コンソールで、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックします。
- 確認する秘密鍵証明書の横にあるチェックボックスをクリックし、「ステータスを確認」をクリックします。
「ステータス」列に、秘密鍵証明書の現在のステータスが反映されます。 エラーが発生した場合は、赤い X が「ステータス」列に表示されます。 X の上にマウスを移動すると、失敗の理由を示すツールヒントが表示されます。
HSM 秘密鍵証明書エイリアスのプロパティの更新 update-hsm-credential-alias-properties
- 管理コンソールで、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックします。
- 秘密鍵証明書エイリアスのエイリアス名をクリックします。
- 「秘密鍵証明書を更新」をクリックし、必要に応じて設定を更新します。
すべての HSM 接続をリセット reset-all-hsm-connections
Forms Server と HSM デバイス間のネットワークセッションが中断した後に、HSM デバイスへのオープン接続をリセットする。 例えば、ネットワークの停止や、ソフトウェアの更新で HSM デバイスがオフラインになることが原因で、中断が発生する可能性があります。 中断後、既存の接続は古くなり、これらの接続に対する署名要求は失敗します。 「すべての HSM 接続をリセット」オプションを使用すると、古い接続がクリアされます。
- 管理コンソールで、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックします。
- 「すべての HSM 接続をリセット」をクリックします。
HSM 秘密鍵証明書エイリアスの削除 delete-an-hsm-credential-alias
- 管理コンソールで、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックします。
- 削除する HSM 秘密鍵証明書のチェックボックスをオンにし、「削除」をクリックして、「OK」をクリックします。
リモート HSM サポートの設定 configure-remote-hsm-support
AEM forms では、Web サービスベースの IPC/RPC メカニズムが使用されます。 このメカニズムにより、AEM forms はリモートコンピューターにインストールされた HSM を使用できます。 この機能を使用するには、HSM がインストールされているリモートコンピューターに Web サービスをインストールします。 詳しくは、 Windows 64 ビットプラットフォームでの Sun JDK を使用したAEM forms ES の HSM サポートの設定を参照してください。
このメカニズムは、HSM プロファイルやステータスチェックのオンライン作成をサポートしていません。 ただし、HSM プロファイルを作成してステータスチェックを実行する方法は 2 つあります。
- 署名者の証明書を渡して、AEM forms クライアント資格情報を作成します。 次の手順に従います: Windows 64 ビットプラットフォームでの Sun JDK を使用したAEM forms ES の HSM サポートの設定. Web サービスの場所は、Credential プロパティとして渡されます。 証明書 DER または証明書 SHA-1 hex を使用して作成するオフライン HSM プロファイルもサポートされています。 ただし、以前のバージョンのAEM forms からAEM forms にアップグレードした場合は、秘密鍵証明書と Web サービスの情報が証明書に含まれているので、クライアントに変更を加えてください。
- Web サービスの場所は、Signature サービスの管理コンソールで指定します。 ( 詳しくは、 Signature サービスの設定.) この場合、クライアントは Trust Store 内の HSM プロファイルのエイリアスのみを保持します。 このオプションを使用すると、以前のバージョンのAEM forms からAEM forms にアップグレードした場合でも、クライアントに変更を加えることなくシームレスに使用できます。 このオプションは、証明書 SHA-1 を使用する HSM プロファイルをサポートしません。