Paso 1: Generar los componentes de clave maestra y claves de firma

Si ha creado claves de firma y componentes de clave maestra con el plugin de CLI TKE en la estación de trabajo, puede copiarlos en tarjetas inteligentes en lugar de generar nuevas claves. Para ello, en el separador Tarjeta inteligente, pulse Copiar archivo de claves de firma o Copiar archivo de partes de claves y siga las instrucciones. Durante el proceso, debe proporcionar la contraseña para el archivo de claves.

1. Para generar una clave de firma para un administrador, seleccione el separador Tarjeta inteligente y pulse Generar clave de firma.

   Cuando se le solicite, inserte una tarjeta inteligente EP11 en el lector de tarjetas inteligentes 2. Especifique un nombre para el administrador y especifique el número de identificación personal (PIN) para la tarjeta inteligente en el teclado PIN del lector de tarjetas inteligentes.

   Se genera una clave de firma de administrador y se almacena en la tarjeta inteligente. Cada tarjeta inteligente solo puede contener una clave de firma. Si desea configurar varios administradores, repita este paso utilizando distintas tarjetas inteligentes de EP11.

2. Para generar los componentes de clave maestra para la inicialización de la instancia de servicio, en el separador Tarjeta inteligente, pulse Generar componente de clave.

   Si se le solicita, inserte una tarjeta inteligente de EP11 en el lector de tarjetas inteligentes 2 y especifique el PIN de la tarjeta inteligente.Especifique una descripción para la parte de clave.

   Se genera un componente de clave maestra aleatorio y se almacena en la tarjeta inteligente.

   Para crear más partes de claves maestras, repita este paso.

   Es necesario generar como mínimo dos partes de clave maestra para cargar una clave maestra.Para la seguridad añadida, puede generar un máximo de tres partes de clave maestra. Para mejorar la seguridad, puede elegir generar claves de firma y componentes de claves maestras en distintas tarjetas inteligentes y asignar cada tarjeta inteligente a una persona distinta. Para obtener más información, consulte Recomendaciones para la configuración de tarjetas inteligentes.

3. (Opcional) Si desea crear una copia de seguridad de una tarjeta inteligente de EP11, pulse Copiar tarjeta inteligente en el separador Tarjeta inteligente y siga las indicaciones.

Paso 2: Seleccionar las unidades criptográficas en las que se va a cargar la clave maestra

Seleccione el separador Unidades criptográficas.  Se visualiza una lista de unidades criptográficasA single unit that represents a hardware security module and the corresponding software stack that is dedicated to the hardware security module for cryptography. en el grupo de recursos de destino bajo la cuenta de usuario actual.La columna SELECTED muestra las unidades criptográficas con las que va a trabajar en mandatos posteriores.

Para obtener más información sobre cómo recuperar el ID de su instancia de servicio, consulte Recuperación del ID de instancia.

• Para seleccionar unidades criptográficas adicionales, pulse Añadir unidades criptográficas y especifique el CRYPTO UNIT NUM (números de unidades criptográficas) de las unidades criptográficas adicionales con las que desee trabajar. Puede especificar varios números de unidades criptográficas, separadas por un espacio.
• Para eliminar unidades criptográficas del conjunto con el que va a trabajar, pulse Eliminar unidades criptográficas y especifique el CRYPTO UNIT NUM de las unidades criptográficas que desea eliminar. Puede especificar varios números de unidades criptográficas, separadas por un espacio.

Cuando las operaciones hayan terminado, se visualiza true en la columna SELECTED para dada unidad criptográfica que se verá afectada por mandatos posteriores. Si se asigna más de una unidad criptográfica a una instancia de servicio, todas las unidades criptográficas de la instancia de servicio se deben configurar del mismo modo.

Si habilita la alta disponibilidad entre regiones con unidades criptográficas de migración tras error, asegúrese de que añade todas las unidades criptográficas de migración tras error a la lista seleccionada para la inicialización de la instancia.

Si no inicializa y configura las unidades criptográficas de migración tras error del mismo modo que las unidades criptográficas operativas, no podrá utilizar las unidades criptográficas de migración tras error para la restauración automática de los datos en caso de un desastre regional. Para obtener más información sobre la recuperación tras desastre entre regiones, consulte Alta disponibilidad y recuperación tras desastre.

Paso 3: Añadir administradores a las unidades criptográficas seleccionadas

El mandato para cargar una clave maestra debe estar firmado por un administrador que esté predefinido para la unidad criptográfica.Este paso predefine a un administrador.

1. Seleccione el separador Administradores. Esta pestaña muestra una lista de los administradores que tienen permiso para firmar mandatos en la unidad criptográfica.
2. Pulse Añadir administrador.
3. Cuando se le solicite, inserte la tarjeta inteligente de EP11 que contiene la clave de firma de administrador en el lector de tarjetas inteligentes 1, y especifique el PIN en el teclado de PIN del lector de tarjetas inteligentes.

La clave de la firma pública y el nombre del administrador se leen en la tarjeta inteligente y se instalan en la unidad criptográfica.Cuando se realiza la operación, el nombre del administrador se visualiza en el campo del nombre de administrador de las unidades criptográficas seleccionadas.

Por motivos de seguridad y de conformidad, es posible que el nombre de administrador de la unidad criptográfica se muestre en los registros para fines de auditoría.

Repita este paso si desea añadir varios administradores. El número de administradores que se añade debe ser igual o mayor que el valor más alto de los valores siguientes:

• El valor de umbral de firma. El umbral de firma controla la cantidad de firmas necesarias para ejecutar la mayoría de los mandatos administrativos.
• El valor de umbral de firma de revocación que tiene previsto establecer en el paso 4. El umbral de firma de revocación controla la cantidad de firmas necesarias para eliminar un administrador.

No elimine las claves de firma de administrador de sus tarjetas inteligentes. De lo contrario, no podrá realizar las acciones de TKE que se deben firmar, como por ejemplo, la puesta a cero de las unidades criptográficas y la rotación de claves maestras.

Si desea eliminar el administrador en una fase posterior, pulse Eliminar administrador.

Paso 4: Establecer los umbrales de firma para salir de la modalidad de impresión en las unidades criptográficas seleccionadas

Cuando las unidades criptográficas de las instancias de servicio se asignan a un usuario, se inician en un estado borrado que se denomina modalidad de impresión.En la modalidad de impresión, la mayoría de las operaciones de la unidad criptográfica están inhabilitadas.Para cargar la clave maestra en una unidad criptográfica, en primer lugar salga de la modalidad de impresión estableciendo los umbrales de firma en un valor mayor que cero.

1. Para establecer los umbrales de firma, seleccione el separador Umbrales de firma y pulse Cambiar umbrales de firma.
2. Cuando se le solicite, especifique el nuevo valor de umbral de firma y el nuevo valor de umbral de firma de revocación.  Los valores deben ser números entre uno y ocho, y no es necesario que sean iguales.El umbral de firma controla la cantidad de firmas necesarias para ejecutar la mayoría de los mandatos administrativos.El umbral de firma de revocación controla la cantidad de firmas necesarias para eliminar un administrador después de dejar la modalidad de impresión. Algunos mandatos solo necesitan una firma, independientemente de cómo se haya establecido el umbral de firma.
3. Si se le solicita, inserte una tarjeta inteligente EP11 con una clave de firma de administrador que esté definida en las unidades criptográficas seleccionadas en el lector de tarjetas inteligentes 1. A continuación, introduzca el PIN de tarjeta inteligente en el teclado PIN del lector de tarjetas inteligentes.Repita esta operación si se le solicitan más tarjetas inteligentes EP11 con claves de firma. Cuando la unidad criptográfica sale de la modalidad de impresión, el número de firmas necesarias para este mandato es el nuevo valor de umbral de firma.

Después de establecer los valores de umbral de firma, los nuevos valores se muestran en la página Umbrales de firma. Establecer los umbrales de firma en un valor mayor que uno permite la autenticación de quórum de varios administradores para operaciones confidenciales.

Cuando se inserta una tarjeta inteligente EP11 con una clave de firma de administrador válida en el lector de tarjetas inteligentes 1 y se especifica el PIN, se puede utilizar la tarjeta inteligente para firmar varios mandatos.En el paso 5, si el lector contiene una tarjeta inteligente EP11 con una clave de firma válida y se especifica el PIN, no se le solicita que inserte una tarjeta inteligente EP11 con una clave de firma en el lector de tarjetas inteligentes 1.

Paso 5: Cargar la clave maestra

Para obtener más información acerca de la transición de estado del registro de clave maestra, consulte Visión general de cómo se carga la clave maestra.