本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
加密服務為您提供密碼機實例集群功能,實現將處于同一地域不同可用區、用于相同業務的一組密碼機實例關聯起來,進行統一管理,為業務應用提供密碼計算的高可用性、負載均衡以及橫向擴展的能力。本文介紹如何使用密碼機實例集群。
如果您需要創建KMS硬件密鑰管理實例的密碼機集群,請參見配置KMS硬件密鑰管理實例的密碼機集群。
適用場景
應用程序可以通過集群內的任何一個密碼機實例使用同一個密鑰。
應用程序用于生產環境,從而要求加密服務提供業務連續性。
注意事項
一個集群中包括一個主密碼機實例與若干個非主密碼機實例。集群內一個可用區的密碼機實例使用同一VPC子網。
前提條件
已購買并啟用密碼機實例。具體操作,請參見購買并啟用密碼機實例。
警告為了保證密碼機實例數據的安全,請不要在實際生產環境中使用測試密鑰。
僅啟用主密碼機實例即可,無需啟用子密碼機。
已購買Linux系統(CentOS 8或Alibaba Cloud Linux)的ECS實例,且ECS實例需要和密碼機實例在同一VPC。具體操作,請參見Linux系統實例快速入門。
說明該ECS實例用于安裝密碼機管理工具,而非用于業務服務器。
創建并激活集群
登錄加密服務管理控制臺,在頂部菜單欄,選擇目標地域。
在實例列表頁面,定位到主密碼機實例,單擊操作列的創建集群。
在創建并激活集群面板,完成①創建集群,然后單擊下一步。
配置項
說明
集群名稱
自定義集群的名稱。名稱不能重復且長度不允許超過24個字符。
設置集群訪問白名單
允許訪問集群的IP地址。如果未設置白名單,則所有IP地址都能訪問集群,如果設置了白名單,則不在白名單內的訪問請求將被拒絕。
您可以輸入單個IP地址或網段地址,每行輸入1條數據,最多可以輸入10條數據。
重要集群的白名單優先級高于集群中密碼機實例的白名單。例如,您設置的集群中密碼機實例的白名單為10.10.10.10,集群的白名單為172.16.0.1,則您只能通過172.16.0.1訪問集群中的密碼機實例。
不支持配置為0.0.0.0/0(放行所有來源IP)。
基于安全考慮,不推薦您放行所有來源IP。如果因臨時測試等原因確實需要放行所有來源IP,不配置白名單即可。
指定集群的交換機(2~4個)
根據業務需要選擇可用區的交換機。
在密碼機實例集群中,您至少配置2個交換機才能成功創建并激活集群。
在創建并激活集群面板,完成②激活集群,然后單擊下一步。
導入集群證書。
在導入集群證書區域,單擊集群CSR證書下載CSR證書文件,然后上傳到ECS實例上保存。例如,保存為cluster.csr。
創建私鑰,并根據提示設置私鑰口令。例如,保存為issuerCA.key。
openssl genrsa -aes256 -out issuerCA.key 2048創建自簽名證書。例如,保存為issuerCA.crt。
openssl req -new -x509 -days 3652 -key issuerCA.key -out issuerCA.crt簽署集群CSR證書,頒發的集群證書存儲在cluster.crt文件中。
說明該步驟會使用到cluster.csr、issuerCA.key、issuerCA.crt文件。
openssl x509 -req -in cluster.csr -days 3652 -CA issuerCA.crt -CAkey issuerCA.key -set_serial 01 -out cluster.crt返回加密服務管理控制臺,導入集群證書并單擊提交。
在請輸入簽發者證書(PEM編碼)區域,輸入issuerCA.crt文件的內容。
在請輸入簽發集群證書(PEM編碼)區域,輸入cluster.crt文件的內容。
初始化主密碼機實例。
重要僅支持通過密碼機管理實例工具初始化主密碼機實例,密碼機實例管理工具僅支持安裝在Linux操作系統。
步驟
說明
步驟1:下載密碼機實例管理工具。
CentOS
方式一:下載密碼機實例管理工具。
方式二:執行如下命令下載密碼機實例管理工具,該操作需要您的ECS服務器連接公網。
wget -O hsm-client-v2.03.15.10-1.x86_64.rpm 'https://yundun-hsm4.oss-ap-southeast-1.aliyuncs.com/hsm-client-v2.03.15.10-1.x86_64.rpm'方式三:在實例列表頁面,找到目標密碼機實例,通過單擊規格列的
圖標。方式四:在激活集群頁面,單擊下載密碼機實例管理工具。
Debian
訪問hsm-client-2.03.15.10-20240710_1.x86_64.deb,下載密碼機實例管理工具。
步驟2:安裝密碼機管理工具。
執行如下命令:請將程序和配置文件安裝在/opt/hsm目錄下。
CentOS
sudo yum install -y hsm-client-v2.03.15.10-1.x86_64.rpmDebian
sudo dpkg -i hsm-client-2.03.15.10-20240710_1.x86_64.deb
步驟3:修改客戶端配置文件。
在密碼機管理工具的安裝目錄下,修改/opt/hsm/etc/hsm_mgmt_tool.cfg文件中的servers配置項。
name、hostname修改為主密碼機的私有IP地址,您可以在實例列表頁面查詢IP。
owner_cert_path修改為issuerCA.crt的文件路徑。
{
"servers": [
{
"name" : "172.16.XX.XX",
"hostname" : "172.16.XX.XX",
"port" : 2225,
"certificate": "/opt/hsm/etc/client.crt",
"pkey": "/opt/hsm/etc/client.key",
"CAfile": "",
"CApath": "/opt/hsm/etc/certs",
"ssl_ciphers": "",
"server_ssl" : "yes",
"enable" : "yes",
"owner_cert_path":"<issuerCA.crt file path>"
}],
"scard": {
"enable": "no",
"port": 2225,
"ssl": "no",
"ssl_ciphers": "",
"certificate": "cert-sc",
"pkey": "pkey-sc"
}
}
步驟4:登錄主密碼機并查看用戶列表。
通過以下命令登錄主密碼機。
/opt/hsm/bin/hsm_mgmt_tool /opt/hsm/etc/hsm_mgmt_tool.cfg執行
listUsers命令顯示用戶列表。cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO
步驟5:將PRECO用戶改為CO用戶。
執行
loginHSM命令并以PRECO身份登錄加密機。server0>loginHSM PRECO admin password loginHSM success執行
changePswd命令修改PRECO用戶的密碼,當您更改密碼后,PRECO用戶將成為CO用戶。cloudmgmt>changePswd PRECO admin <NewPassword> *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. Cav server does NOT synchronize these changes with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Changing password for admin(PRECO) on 1 nodes通過
listUsers命令查看用戶列表,驗證PRECO用戶是否更改為CO用戶。cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO
步驟6:創建密碼機操作員(CU用戶)
警告請您先創建CU用戶,再將子密碼機添加到集群,否則創建的CU用戶不會自動同步至子密碼機。
執行
createUser命令創建一個CU。CU用戶名和密碼支持ASCII字符,其中CU用戶名不超過20個字符,密碼為8~32個字符。
本文以CU用戶名為
crypto_user為例,您可以根據業務需要自主命名。如果您是配置KMS硬件密鑰管理實例的密碼機集群,CU用戶名請使用kmsuser。createUser CU crypto_user <enter password>執行
listUsers命令,查看CU是否已經創建成功。預期輸出:
cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU crypto_user NO 0 NO
步驟7:驗證主密碼機狀態
返回到加密服務控制臺,在激活集群頁面單擊
圖標刷新密碼機狀態,然后單擊下一步。在③添加加密機頁面,根據提示添加子密碼機到集群,然后單擊完成。
如果需要更多的密碼機實例,您需要購買密碼機實例,并將密碼機實例添加到集群。
使用密碼機實例集群
您可以通過OpenSSL引擎、JCE或PKCS#11庫提供的接口使用密碼機集群。更多信息,請參見OpenSSL動態引擎、JCE或PKCS #11庫。
管理密碼機集群
擴展集群
您可以將處于不同可用區的密碼機實例加入到同一集群進行統一管理,提高加密服務的高可用性。添加到集群的密碼機實例需符合以下要求:
密碼機實例未初始化。
密碼機實例為已啟用或未啟用狀態。
密碼機實例與主密碼機為同一類型密碼機。
密碼機實例未配置交換機或與主密碼機屬于同一交換機。
如果密碼機實例已配置了密碼機實例白名單,加入集群后該密碼機實例的訪問白名單將繼承集群的訪問白名單,原密碼機實例白名單將被清空。
在實例列表頁面,定位到目標主密碼機實例,單擊操作列的擴展集群。
通過以下方式添加密碼機實例到集群。
還未購買密碼機實例時,在添加密碼機實例到集群 對話框,單擊訂購密碼機,新購密碼機實例。
購買的密碼機實例會自動添加到集群,同時加密服務會自動為該密碼機實例分配IP地址,并完成集群內數據的同步。
已購買密碼機實例時,在添加密碼機實例到集群 對話框,選擇需要添加的密碼機實例,單擊
,然后單擊確定。
修改集群名稱和訪問白名單
在實例列表頁面,找到目標主密碼機實例,單擊實例ID。
在彈出的實例詳情頁面,修改集群名稱和訪問白名單。
修改白名單時,您可以輸入單個IP地址或網段地址,每行輸入1條數據,最多可以輸入10條數據。
將子密碼機移出集群
僅支持將子密碼機實例移出集群,不支持將主密碼機實例移出集群。
停用子密碼機。您需要先停用子密碼機后,才可以將子密碼機移出集群。
在實例列表頁面,找到目標子密碼機實例,單擊操作列的停用。
在彈出的對話框,再次單擊停用。
將子密碼機移出集群。
單擊目標子密碼機實例操作列的移出集群。
在彈出的對話框,再次單擊移出集群。
將子密碼機切換為主密碼機
您可以手動將子密碼機切換為集群中的主密碼機。
在實例列表頁面,找到目標子密碼機實例,單擊操作列的切換主機。
在彈出的對話框,單擊切換。