配置KMS硬件密鑰管理實例的密碼機集群
本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業(yè)務(wù)造成影響,請務(wù)必仔細閱讀。
使用密鑰管理服務(wù)KMS(Key Management Service)的硬件密鑰管理實例時,需要連接加密服務(wù)密碼機集群,由密碼機集群實現(xiàn)數(shù)據(jù)自動同步、負載均衡以及數(shù)據(jù)高可用性。本文介紹如何配置KMS硬件密鑰管理實例的密碼機集群。
背景信息
KMS硬件密鑰管理實例可以對客戶端應(yīng)用或云產(chǎn)品服務(wù)端數(shù)據(jù)進行加密,避免文件或敏感數(shù)據(jù)(用戶手機號碼、身份證號、銀行卡號等)被攻擊或者在傳輸過程中被泄露。
通過KMS實例連接加密服務(wù)密碼機集群的方式,具有以下優(yōu)勢:
降低使用加密服務(wù)的復(fù)雜度,為您提供穩(wěn)定、易用的上層密鑰管理途徑和密碼計算服務(wù)。
將加密服務(wù)密碼機集群與阿里云其他云服務(wù)集成,為云服務(wù)加密提供更高的安全性和可控制性。支持的阿里云服務(wù),請參見支持服務(wù)端集成加密的云服務(wù)。
密碼機支持的地域和可用區(qū)
地域 | 地域ID | 可用區(qū) |
華東1(杭州) | cn-hangzhou | 可用區(qū)A、可用區(qū)G |
華東2(上海) | cn-shanghai | 可用區(qū)A、可用區(qū)B |
華東2(北京) | cn-beijing | 可用區(qū)A、可用區(qū)K |
華南1(深圳) | cn-shenzhen | 可用區(qū)A、可用區(qū)E |
西南1(成都) | cn-chengdu | 可用區(qū)A、可用區(qū)B |
中國香港 | cn-hongkong | 可用區(qū)B、可用區(qū)C |
新加坡 | ap-southeast-1 | 可用區(qū)A、可用區(qū)B |
馬來西亞(吉隆坡) | ap-southeast-3 | 可用區(qū)A、可用區(qū)B |
場景示例
您在華東2(上海)地域創(chuàng)建了1個VPC并搭建了自建應(yīng)用,希望通過硬件密鑰管理實例加解密敏感數(shù)據(jù)或文件,可以搭建如下網(wǎng)絡(luò)架構(gòu)并進行資源規(guī)劃。
資源類型 | 資源個數(shù) | 說明 | 示例名稱 |
交換機 | 2 | 兩個交換機的可用區(qū)不同,且兩個可用區(qū)與密碼機實例的兩個可用區(qū)相同。 |
|
密碼機實例 | 2個或以上,本文以2個為例介紹。 | 兩個密碼機實例的可用區(qū)不同,且兩個可用區(qū)與交換機的兩個可用區(qū)相同。 |
|
KMS硬件密鑰管理實例 | 1 | 與您的自建應(yīng)用在同一個VPC。 | KMS實例1 |
ECS實例 | 1 | ECS實例的操作系統(tǒng)為Windows,且ECS實例與主密碼機實例在同一個VPC子網(wǎng)網(wǎng)段。本文示例選定密碼機實例1為主密碼機。 重要 ECS實例用于連接主密碼機進行相關(guān)配置,您也可以使用本地終端進行配置。本文以ECS實例為例進行介紹。如果使用本文終端,請通過VPN或物理專線使本地終端連接到密碼機實例所屬的VPC網(wǎng)絡(luò)。具體操作,請參見客戶端遠程連接VPC或通過物理專線實現(xiàn)本地IDC與云上VPC互通。 | ECS實例1 |
本文的示例名稱僅為了便于您理解,在實際配置過程中請以控制臺為準。
使用限制
VPC、交換機、密碼機實例、KMS硬件密鑰管理實例、ECS實例必須屬于同一個地域。
重要建議您在購買前,在購買頁充分確認該地域是否有不同可用區(qū)的密碼機,避免只有1個可用區(qū)有密碼機。
兩個交換機實例的可用區(qū),需要和密碼機實例的可用區(qū)相同。例如兩個交換機實例的可用區(qū)為可用區(qū)A、可用區(qū)B,兩個密碼機實例的可用區(qū)也需要為可用區(qū)A、可用區(qū)B。
重要由于華東1(杭州)無法購買可用區(qū)A的交換機,如果密碼機實例是可用區(qū)A,您可創(chuàng)建可用區(qū)J、可用區(qū)G的交換機。該密碼機實例支持綁定可用區(qū)J、可用區(qū)G的交換機。
前提條件
已創(chuàng)建VPC并在VPC內(nèi)創(chuàng)建了兩個不同可用區(qū)的交換機。具體操作,請參見創(chuàng)建專有網(wǎng)絡(luò)和交換機。
已創(chuàng)建Windows操作系統(tǒng)的ECS實例,且ECS實例與主密碼機實例在同一個VPC子網(wǎng)網(wǎng)段。具體操作,請參見使用向?qū)?chuàng)建實例。
步驟一:購買密碼機實例
購買密碼機實例1和密碼機實例2,密碼機實例1的可用區(qū)為可用區(qū)A,密碼機實例2的可用區(qū)為可用區(qū)B。
登錄加密服務(wù)管理控制臺,在頂部菜單欄,選擇目標地域。
在實例列表頁面,單擊創(chuàng)建密碼機實例。
在密碼機購買頁面,參考下表完成各項配置后單擊立即購買。
配置項
說明
示例值
區(qū)域
選擇密碼機實例的地域。支持的地域,請參見支持的地域和可用區(qū)。
重要密碼機實例只能在VPC中使用,且必須與您的VPC、KMS硬件密鑰管理實例的地域相同。
華東2(上海)
密碼服務(wù)類型
設(shè)備型號。KMS硬件密鑰管理實例關(guān)聯(lián)的密碼機僅支持通用服務(wù)器密碼機GVSM。
通用服務(wù)器密碼機GVSM
部署模式
選擇雙可用區(qū)。
重要您購買的兩個密碼機實例的可用區(qū),需要和VPC內(nèi)兩個交換機的可用區(qū)相同。
雙可用區(qū)
購買數(shù)量
需要購買的密碼機實例數(shù)量。選擇1。
2
購買時長
購買的有效服務(wù)時間。建議您選擇與KMS硬件密鑰管理實例相同的購買時長。
說明建議您購買時選擇到期自動續(xù)費,防止加密服務(wù)到期未及時續(xù)費而導(dǎo)致的密鑰永久性丟失。您選擇到期自動續(xù)費后,阿里云會在服務(wù)到期前9個自然日從您購買密碼機時使用的支付賬戶自動扣款。
1年
仔細閱讀并勾選服務(wù)協(xié)議,單擊去支付,然后單擊訂購,完成購買。
步驟二:啟用并配置密碼機實例
配置密碼機實例1和密碼機實例2的網(wǎng)絡(luò)信息,使KMS硬件密鑰管理實例和密碼機集群在同一個VPC內(nèi)。
在實例列表頁面,定位到已創(chuàng)建的密碼機實例,單擊操作列的啟用。
在密碼機實例配置對話框,配置密碼機實例,然后單擊確定。
配置項
說明
示例值
所屬的VPC子網(wǎng)
選擇密碼機實例需要綁定的VPC,和KMS硬件密鑰管理實例所屬的VPC必須保持一致。
vpc-wz95******
所屬的VPC網(wǎng)絡(luò)ID
選擇密碼機實例所屬的VPC子網(wǎng)IP,即選擇當前密碼機實例所在可用區(qū)的交換機。
vsw-wz9h******(交換機1)
分配私網(wǎng)IP地址
為密碼機實例分配一個私網(wǎng)IP地址。
重要私網(wǎng)IP地址必須是所屬的VPC子網(wǎng)網(wǎng)段中的IP地址,否則配置將會失敗。
末位為253、254、255的IP地址為系統(tǒng)保留地址,請勿使用。
192.168.XX.XX
設(shè)置密碼機實例白名單
本場景下無需配置。
由于在后續(xù)操作中會設(shè)置密碼機集群的白名單,而集群的白名單優(yōu)先級高于集群中密碼機實例的白名單, 因此本場景下無需配置。關(guān)于如何配置集群白名單,請參見步驟三:創(chuàng)建并激活集群。
無需配置
配置成功后,密碼機實例的狀態(tài)變?yōu)?b id="yd.hsm.status.on" data-tag="uicontrol" data-isbold="true" class="uicontrol">已啟用。
步驟三:創(chuàng)建并激活集群
集群即將處于同一地域不同可用區(qū)、用于相同業(yè)務(wù)的一組密碼機實例關(guān)聯(lián)起來,進行統(tǒng)一管理,為業(yè)務(wù)應(yīng)用提供密碼計算的高可用性、負載均衡以及橫向擴展的能力。
選定密碼機實例1為主密碼機,創(chuàng)建集群后添加密碼機實例2為子密碼機。
在實例列表頁面,定位到主密碼機實例,單擊操作列的創(chuàng)建集群。
在創(chuàng)建并激活集群面板,完成①創(chuàng)建并激活集群。
填寫集群的配置項信息。
配置項
說明
示例值
集群名稱
自定義集群的名稱。名稱不能重復(fù)且長度不允許超過24個字符。
custer1
設(shè)置集群訪問白名單
允許訪問集群的IP地址。
您可以輸入單個IP地址或網(wǎng)段地址,每行輸入1條數(shù)據(jù),最多可以輸入10條數(shù)據(jù)。
在本文示例中請確保如下IP均已添加到白名單中。
集群中各密碼機實例所在交換機的網(wǎng)段
例如,集群中密碼機實例所屬的VPC子網(wǎng)(交換機)網(wǎng)段分別為172.16.1.0/24和172.16.2.0/24,則在編輯框中增加輸入兩行,內(nèi)容分別為:172.16.1.0/24和172.16.2.0/24。
ECS實例的私網(wǎng)IP
例如,ECS實例的私網(wǎng)IP為172.16.3.0,則在編輯框中增加輸入一行,內(nèi)容為:172.16.3.0。
KMS實例綁定的交換機的網(wǎng)段
如果此時還未購買KMS實例,請在購買并啟用KMS實例后,再為集群添加該白名單。
重要集群的白名單優(yōu)先級高于集群中密碼機實例的白名單。例如,您設(shè)置的集群中密碼機實例的白名單為10.10.10.10,集群的白名單為172.16.0.1,則您只能通過172.16.0.1訪問集群中的密碼機實例。
不支持配置為0.0.0.0/0(放行所有來源IP)。
基于安全考慮,不推薦您放行所有來源IP。如果因臨時測試等原因確實需要放行所有來源IP,不配置白名單即可。
172.16.1.0/24
172.16.2.0/24
172.16.3.0
指定另外一個可用區(qū)的交換機
配置另外一個密碼機實例綁定的交換機。
vsw-wz96******
初始化主密碼機實例,然后單擊下一步。
在創(chuàng)建并激活集群面板的最下方,單擊一鍵初始化主密碼機實例,然后在初始化實例對話框,單擊確定。
預(yù)計需要1~5分鐘時間,請耐心等待。初始化完成后,單擊已選主密碼機:后的圖標,狀態(tài)會顯示已初始化,該狀態(tài)下請勿重復(fù)初始化。
說明只有已選主密碼機:狀態(tài)為已初始化時才能激活集群。
在創(chuàng)建并激活集群面板,完成②添加密碼機。
在可選實例中選擇另外一個密碼機實例,單擊圖標,然后單擊完成。配置成功后,在密碼機實例的集群列,您可以看到兩個密碼機實例的狀態(tài)分別為主密碼機和子密碼機。
說明如果您在此處未將另外一個密碼機實例添加至集群,您也可以在實例列表頁面,找到主密碼機實例,單擊操作列的擴展集群,根據(jù)頁面提示完成添加。
當待添加的密碼機實例狀態(tài)是已初始化時,無法添加到集群。如果此時密碼機上未配置相關(guān)業(yè)務(wù),您可以將密碼機實例先停用,然后重置,最后恢復(fù),使密碼機恢復(fù)到未初始化狀態(tài),整個過程約1分鐘左右。
步驟四:為主密碼機實例配置雙向TLS認證
為了確保安全性,您需要為密碼機實例1配置雙向TLS認證。
訪問下載鏈接,下載證書文件生成工具(dkms_cert_tool)。
將下載的文件解壓后,運行證書文件生成工具生成CA證書、客戶端證書和服務(wù)端證書。
說明后續(xù)在密鑰管理服務(wù)控制臺啟用KMS硬件密鑰管理實例時,也會用到這些證書和私鑰,因此請您妥善保管。
工具的運行環(huán)境沒有限制,可以是本地計算機、ECS實例或其他滿足工具運行條件的環(huán)境。
工具僅為阿里云提供的輔助性工具,如果您有相關(guān)技術(shù)能力可以自己生成這些證書文件,則無需使用本工具。
工具運行操作系統(tǒng)
說明
Windows系統(tǒng)
方式一:在windows文件夾,雙擊鼠標左鍵運行hsm_certificate_generate.exe文件,在certs文件夾獲取證書文件。
說明該方式生成的PKCS12格式證書文件(后綴為.p12)和CA私鑰文件(后綴為.key)的口令為默認值12345678,如果您需要指定口令,請使用方式二。
方式二:切換到windows文件夾所在路徑,然后運行以下命令,在certs文件夾獲取證書文件。
./hsm_certificate_generate -dir ./certs -pswd 12345678
-dir
用于指定生成證書文件的保存路徑,-pswd
用于指定生成的PKCS12格式證書文件(后綴為.p12)和CA私鑰文件(后綴為.key)的口令。
Linux系統(tǒng)
切換到linux文件夾所在路徑,然后運行以下命令,在certs文件夾獲取證書文件。
./hsm_certificate_generate -dir ./certs -pswd 12345678
-dir
用于指定生成證書文件的保存路徑,-pswd
用于指定生成的PKCS12格式證書文件(后綴為.p12)和CA私鑰文件(后綴為.key)的口令。macOS系統(tǒng)
切換到darwin文件夾所在路徑,然后運行以下命令,在certs文件夾獲取證書文件。
./hsm_certificate_generate -dir ./certs -pswd 12345678
-dir
用于指定生成證書文件的保存路徑,-pswd
用于指定生成的PKCS12格式證書文件(后綴為.p12)和CA私鑰文件(后綴為.key)的口令。運行成功后,將在certs文件夾中生成下列文件:
certs/ ├── client.p12 (PKCS12格式客戶端證書,包含客戶端證書以及私鑰) ├── client.pem (PEM格式客戶端證書) ├── rootca.key (CA私鑰) ├── rootca.pem (PEM格式CA證書) ├── server.p12 (PKCS12格式服務(wù)端證書) └── server.pem (PEM格式服務(wù)端證書)
在ECS實例上安裝密碼機實例管理工具。
重要密碼機實例管理工具只支持在Windows系統(tǒng)運行。
在實例列表頁面,定位到主密碼機實例。
單擊主密碼機實例的規(guī)格列信息,然后單擊下載密碼機實例管理工具。
解壓獲取到的密碼機軟件包,然后上傳到ECS實例上。
具體操作,請參見上傳或下載文件(Windows)。
使用密碼機實例管理工具配置主密碼機。
在ECS實例上使用密碼機實例管理工具連接主密碼機GVSM。
雙擊
PKIManager-X.X.X.X.exe
打開密碼機實例管理工具,選擇系統(tǒng)>TCP/IP連接。在TCP/IP連接對話框,輸入主密碼機的IP地址和端口號(固定為8020)。
說明您可以在加密服務(wù)控制臺的實例列表頁面,單擊操作列的圖標后單擊配置,在配置頁面查看IP地址。
單擊連接,在彈出的PKIManager對話框單擊確定,然后單擊登錄。
說明登錄成功后,建議您注冊管理員賬號,使用管理員賬號登錄以獲得更高的安全性。具體操作,請參見隨密碼機實例管理工具下載的GVSM用戶管理手冊中的2.1.3. 注冊管理員、2.1.2. 管理員登錄。
使用密碼機實例管理工具完成如下配置。
配置項
操作步驟
配置客戶端證書(
client.pem
)選擇
。在客戶端證書管理對話框,單擊導(dǎo)入證書。
在導(dǎo)入證書對話框,證書類型選擇國際TLS客戶端RSA證書[pem],然后選擇證書文件生成工具生成的客戶端證書(
client.pem
),單擊導(dǎo)入。
配置服務(wù)端證書(
server.p12
)選擇
。在服務(wù)端p12證書管理對話框,單擊導(dǎo)入證書。
在導(dǎo)入證書對話框,證書類型選擇國際TLS服務(wù)端RSA證書[p12],然后選擇證書文件生成工具生成的服務(wù)端證書(
server.p12
),輸入證書口令(即您在生成證書文件時設(shè)置的口令,如果您未設(shè)置,默認為12345678)。單擊導(dǎo)入。
配置主密碼機GVSM設(shè)備端口屬性
選擇
。在主機端口屬性對話框,配置以下參數(shù):
Socket KeepAlive時間:60。
消息報文頭長度:0。
消息報文編碼格式:ASCII。
主機服務(wù)通訊方式:雙向通訊。
主機服務(wù)通訊協(xié)議:TLSv1.2。
單擊重置。
單擊立即重啟,然后單擊確定。
步驟五:同步集群數(shù)據(jù)
第一次創(chuàng)建并激活集群后,您需要將集群的主密碼機數(shù)據(jù)手動同步到集群的子密碼機實例。當您對集群進行擴容時,集群數(shù)據(jù)會自動同步到新添加的密碼機實例。
同步集群預(yù)計需要5分鐘,請在業(yè)務(wù)空閑期進行同步,以免影響業(yè)務(wù)運行。
在實例列表頁面,找到目標主密碼機實例,在操作列單擊同步集群。
在彈出的對話框,再次單擊同步集群。
同步過程中集群的狀態(tài)為同步中。集群同步結(jié)束后,如果兩臺密碼機實例的摘要信息完全一致,表示您已經(jīng)完成配置密鑰管理服務(wù)關(guān)聯(lián)的加密服務(wù)集群。如果摘要信息不一致請重復(fù)同步集群數(shù)據(jù)的操作,若摘要信息仍不一致,請通過智能在線聯(lián)系技術(shù)支持人員。
后續(xù)配置
請前往密鑰管理服務(wù)控制臺購買KMS硬件密鑰管理實例,并完成相關(guān)配置。具體操作,請參見購買和啟用KMS實例和密鑰服務(wù)快速入門。
配置KMS硬件密鑰管理實例時,會涉及到本文配置的如下信息,因此請您妥善保存。
密碼機集群的名稱
使用證書生成工具生成的證書文件
證書文件的保護口令