管理HSM憑據

在「信任儲存管理」頁中,您可以管理硬體安全模組(HSM)憑據。 HSM是第三方PKCS#11設備,可用於安全地生成和儲存私鑰。 HSM在物理上保護對私有密鑰的訪問和使用。

需要客戶端軟體才能與HSM通信。 HSM用戶端軟體必須與AEM表單安裝在相同的電腦上並加以設定。

AEM表單數位簽章可使用儲存在HSM上的認證來套用伺服器端數位簽名。 請依照本節中的說明,為數位簽章將使用的每個HSM憑證建立別名。 別名包含HSM所需的所有參數。

注意

變更HSM設定後,請重新啟動AEM表單伺服器。

在HSM設備聯機時為HSM憑據建立別名

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」,然後按一下「新增」。

  2. 在「描述檔名稱」方塊中,輸入用來識別別名的字串。 此值用作某些數位簽章作業的屬性,例如「簽章欄位」作業。

  3. 在「PKCS11庫」框中,鍵入伺服器上HSM客戶端庫的完全限定路徑。 例如,c:\Program Files\LunaSA\cryptoki.dll。 在群集環境中,此路徑對於群集中的所有伺服器必須相同。

  4. 按一下「Test HSM Connectivity(測試HSM連接性)」。 如果AEM表單能夠連線至HSM裝置,會顯示訊息,指出HSM可用。 按一下下一步。

  5. 使用Token名稱、Slot ID或Slot List Index來識別憑證儲存在HSM上的位置。

    • Token Name: 與要使用的HSM分區的名稱(例如HSMPART1)對應。
    • 插槽ID: 插槽ID是類型為long的資料類型的插槽標識符。
    • 插槽清單索 引:如果選擇插槽清單索引,請將插槽資訊設定為與插槽對應的整數。這是一個基於0的索引,這意味著如果客戶機首先在HSMPART1分區中註冊,則HSMPART1將使用SlotListIndex值0。
  6. 在「Token Pin」(標籤釘選)框中,鍵入訪問HSM密鑰所需的密碼,然後按一下「Next」(下一步)。

  7. 在「憑據」框中,選擇憑據。 按一下「儲存」。

在HSM設備離線時為HSM憑據建立別名

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」,然後按一下「新增」。

  2. 在「描述檔名稱」方塊中,輸入用來識別別名的字串。 此值用作某些數位簽章作業的屬性,例如「簽章欄位」作業。

  3. 在「PKCS11庫」框中,鍵入伺服器上HSM客戶端庫的完全限定路徑。 例如,c:\Program Files\LunaSA\cryptoki.dll。 在群集環境中,此路徑對於群集中的所有伺服器必須相同。

  4. 選中「離線建立配置檔案」複選框。 按一下下一步。

  5. 在「HSM設備」清單中,選擇儲存憑據的HSM設備的製造商。

  6. 在「插槽類型」清單中,選擇「插槽ID」、「插槽索引」或「標籤名稱」,並在「插槽資訊」框中指定值。 AEM表格會使用這些設定來判斷憑證儲存在HSM上的位置。

    • Token Name: 與分區名稱(例如HSMPART1)對應。

    • 插槽ID: 插槽ID是與插槽對應的整數,插槽ID又與分區對應。例如,首先在HSMPART1分區中註冊的客戶端(表單伺服器)。 這會將此客戶機的插槽1映射到HSMPART1分區。 由於HSMPART1是註冊的第一個分區,因此插槽ID為1,您可將插槽資訊設定為1。

      插槽ID是逐個客戶機設定的。 如果將第二台電腦註冊到不同的分區(例如,在同一HSM設備上的HSMPART2),則插槽1將與該客戶機的HSMPART2分區相關聯。

    • 插槽索引: 如果選擇「插槽索引」,請將「插槽資訊」設定為與插槽對應的整數。這是一個基於0的索引,這意味著如果客戶機首先向HSMPART1分區註冊,則插槽1將映射到此客戶機的HSMPART1。 由於HSMPART1是註冊的第一個分區,因此插槽索引為0。

  7. 選擇下列選項之一併提供路徑:

    • 憑證:(使用SHA1時不需要)按一下瀏覽並找到您使用的憑據的公鑰路徑。
    • 憑證SHA1: (若使用實體憑證則不需要)您所使用憑證的公開金鑰(.cer)檔案的SHA1值(指紋)類型。請確定SHA1值中沒有使用空格。
  8. 在「密碼」框中,鍵入訪問給定插槽資訊的HSM密鑰所需的密碼,然後按一下「保存」。

查看HSM憑據別名屬性

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」。
  2. 按一下憑據別名的別名以查看屬性,然後按一下確定。

檢查HSM憑據的狀態

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」。
  2. 按一下要檢查的憑據旁的複選框,然後按一下「檢查狀態」。

「狀態」列反映憑據的當前狀態。 如果失敗,「狀態」欄會顯示紅色X。 將滑鼠指標暫留在X上,以顯示包含失敗原因的工具提示。

更新HSM憑據別名屬性

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」。
  2. 按一下憑據別名的別名。
  3. 按一下「更新憑證」,並視需要更新設定。

重置所有HSM連接

在表單伺服器與HSM設備之間的網路會話中斷後,重置到HSM設備的開啟連接。 例如,網路中斷或HSM設備離線進行軟體更新可能會造成中斷。 中斷後,現有的連線已過時,對這些連線的任何簽署要求都會失敗。 使用「重置所有HSM連接」選項可清除舊連接。

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」。
  2. 按一下「重置所有HSM連接」。

刪除HSM憑據別名

  1. 在管理控制台中,按一下「設定>信任商店管理> HSM憑證」。
  2. 選擇要刪除的HSM憑據的複選框,按一下刪除,然後按一下確定。

配置遠程HSM支援

AEM表單使用以Web Services為基礎的IPC/RPC機制。 此機制可讓AEM表單使用安裝在遠端電腦上的HSM。 要使用此功能,請在安裝HSM的遠程電腦上安裝Web服務。 如需詳細資訊,請參閱使用Windows 64位元平台上的Sun JDK,針對AEM Forms ES設定HSM支援。

此機制不支援線上建立HSM配置檔案或狀態檢查。 但是,建立HSM配置檔案和執行狀態檢查有兩種方法:

  • 將AEM表單用戶端憑證傳遞給簽署者的憑證,以建立此憑證。 請依照在Windows 64位元平台上使用Sun JDK設定AEM Forms ES的HSM支援中的步驟進行。 Web服務位置作為憑據屬性傳入。 也支援使用憑證碼或憑證SHA-1十六進位建立的離線HSM設定檔。 不過,如果您已從舊版AEM表單升級至AEM表單,請變更用戶端,因為憑證包含憑證和網站服務資訊。
  • Web服務位置是在簽名服務的管理控制台中指定的。 (請參閱簽名服務設定。) 在此,客戶機僅在信任儲存中帶有HSM配置檔案的別名。 即使您已從舊版AEM表單升級至AEM表單,您也可以順暢地使用此選項,不需要任何用戶端變更。 此選項不支援使用證書SHA-1的HSM配置檔案。

本頁內容

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free