使用智能卡和管理实用程序初始化服务实例
在可以使用 Hyper Protect Crypto Services 实例之前,需要首先通过装入主密钥来初始化服务实例。 使用智能卡和 Hyper Protect Crypto Services 管理实用程序以及提供的步骤来初始化服务实例。
有关服务实例初始化方法和相关基本概念的简介,请参阅 初始化服务实例 和 引入服务实例初始化方法。
Hyper Protect Crypto Services 管理实用程序 使用智能卡来保存 签名密钥An encryption key that is used by the crypto unit administrator to sign commands that are issued to the crypto unit. 和主密钥部件。 您需要先完成 设置智能卡和管理实用程序 中的任务,然后才能完成此任务中的步骤。
您还可以观看以下视频,以了解如何使用智能卡和管理实用程序初始化 Hyper Protect Crypto Services 实例:
您负责保护用于初始化 Hyper Protect Crypto Services 实例的资产。 有关最佳实践,请参阅 常见问题。
准备工作
从智能卡装入主密钥
分配给 IBM Cloud 用户的加密单元将以称为 印记方式An operational mode in which crypto units are assigned to a user.的已清除状态启动。 要从智能卡装入主密钥,请使用“可信密钥输入”应用程序完成以下步骤:
步骤 1: 生成签名密钥和主密钥部件
如果您已在工作站上使用 TKE CLI 插件创建签名密钥和主密钥部件,那么可以将它们复制到智能卡,而不是生成新密钥。 要执行此操作,请在 智能卡 选项卡上单击 复制签名密钥文件 或 复制密钥部件文件 并遵循指示信息。 在此过程中,您需要提供密钥文件的密码。
-
要为管理员生成签名密钥,请选择 智能卡 选项卡,然后单击 生成签名密钥。
出现提示时,请在智能卡读卡器 2 中插入 EP11 智能卡。 输入管理员的名称,并在智能卡读卡器 PIN 板上输入智能卡的个人标识号 (PIN)。
将生成管理员签名密钥并将其存储在智能卡上。 每个智能卡只能包含一个签名密钥。 如果要设置多个管理员,请使用不同的 EP11 智能卡重复此步骤。
-
要生成用于服务实例初始化的主密钥部件,请在 智能卡 选项卡上单击 生成密钥部件。
如果出现提示,请在智能卡读卡器 2 中插入 EP11 智能卡,然后输入智能卡 PIN。 输入密钥部件的描述。
生成随机主密钥部件并将其存储在智能卡上。
要创建更多主密钥部件,请重复此步骤。
您需要生成至少两个主密钥部件以装入主密钥。 为了提高安全性,您最多可以生成三个主密钥部分。 为提高安全性,您可以选择在单独的智能卡上生成签名密钥和主密钥部件,并将每个智能卡分配给不同的人员。 有关更多信息,请参阅 智能卡设置建议。
-
(可选) 如果要创建 EP11 智能卡的备份副本,请单击 智能卡 选项卡上的 复制智能卡 并遵循提示。
步骤 2: 选择要装入主密钥的加密单元
选择 加密单元 选项卡。 将显示当前用户帐户下的目标资源组中的 加密单元A single unit that represents a hardware security module and the corresponding software stack that is dedicated to the hardware security module for cryptography. 列表。 SELECTED 列显示您将在以后的命令中使用的加密单元。
有关如何检索服务实例标识的更多信息,请参阅 检索实例标识。
- 要选择要使用的额外加密单元,请单击 添加加密单元,然后输入要使用的额外加密单元的 CRYPTO UNIT NUM (加密单元号)。 您可以输入多个加密单元号,这些单元号之间用空格分隔。
- 要从要使用的集合中除去加密单元,请单击 除去加密单元,然后输入要除去的加密单元的 CRYPTO UNIT NUM。 您可以输入多个加密单元号,这些单元号之间用空格分隔。
完成操作后,将在 SELECTED 列中显示以后的命令将影响的每个加密单元的 true
。 如果将多个加密单元分配给服务实例,那么必须将该服务实例中的所有加密单元配置为相同。
如果使用 failover crypto units 启用跨区域高可用性,请确保将所有故障转移加密单元添加到所选列表以进行实例初始化。
如果未初始化和配置与操作加密单元相同的故障转移加密单元,那么在发生区域灾难时,无法使用故障转移加密单元进行自动数据复原。 有关跨区域灾难恢复的更多信息,请参阅 高可用性和灾难恢复。
步骤 3: 将管理员添加到所选加密单元
用于装入主密钥的命令必须由预定义到加密单元的管理员签署。 此步骤预定义管理员。
- 选择 管理员 选项卡。 此选项卡显示允许对加密单元的命令进行签名的管理员列表。
- 单击 添加管理员。
- 出现提示时,请在智能卡读卡器 1 中插入保存该管理员签名密钥的 EP11 智能卡,并在智能卡读卡器 PIN 板上输入 PIN。
公用签名密钥和管理员名称从智能卡读取并安装在加密单元中。 操作完成后,管理员的名称将显示在所选加密单元的 ADMIN NAME 字段中。
出于安全和合规性原因,出于审计目的,可能会在日志中显示加密单元的管理员名称。
如果要添加多个管理员,请重复此步骤。 添加的管理员数量必须等于或大于以下值中的较大值:
- 特征符阈值 值。 签名阈值控制运行大多数管理命令所需的签名数。
- 您打算在步骤 4 中设置的撤销签名阈值。 撤销签名阈值控制除去管理员所需的签名数。
请勿从智能卡中除去管理员签名密钥。 否则,您无法执行需要签名的 TKE 操作,例如将加密单元清零和旋转主密钥。
如果要在以后的阶段中除去管理员,请单击 除去管理员。
步骤 4: 设置签名阈值以退出所选加密单元中的印记方式
将服务实例中的加密单元分配给用户时,它们将以称为“印记方式”的已清除状态开始。 在印记方式下,将禁用加密单元上的大多数操作。 要在加密单元中装入主密钥,请首先通过将签名阈值设置为大于零的值来退出印记方式。
- 要设置签名阈值,请选择 签名阈值 选项卡,然后单击 更改签名阈值。
- 出现提示时,请输入新的签名阈值和新的撤销签名阈值。 值必须是 1 到 8 之间的数字,并且不需要相同。 签名阈值控制运行大多数管理命令所需的签名数。 撤销签名阈值控制在离开印记方式后除去管理员所需的签名数。 某些命令只需要一个签名,而不考虑如何设置签名阈值。
- 如果出现提示,请插入具有管理员签名密钥的 EP11 智能卡,该密钥已定义到智能卡读卡器 1 中的所选加密单元。 然后,在智能卡读卡器 PIN 板上输入智能卡 PIN。 如果提示您输入更多带有签名密钥的 EP11 智能卡,请重复此操作。 当加密单元退出印记方式时,此命令所需的签名数是新的签名阈值。
设置签名阈值后,新值将显示在“签名阈值”页面上。 将签名阈值设置为大于 1 的值将允许来自多个管理员的 定额认证 进行敏感操作。
当在智能卡读卡器 1 中插入具有有效管理员签名密钥的 EP11 智能卡并输入 PIN 时,可以使用该智能卡对多个命令进行签名。 在步骤 5 中,如果阅读器包含具有有效签名密钥的 EP11 智能卡,并且输入了 PIN,那么系统不会提示您在智能卡阅读器 1 中插入具有签名密钥的 EP11 智能卡。
步骤 5: 装入主密钥
有关主密钥寄存器的状态过渡的更多信息,请参阅 了解如何装入主密钥。
装入新的
主密钥 寄存器
- 选择 主密钥 选项卡,然后单击 装入。
- 如果出现提示,请插入具有管理员签名密钥的 EP11 智能卡,该密钥已定义到智能卡读卡器 1 中的所选加密单元。 然后,在智能卡读卡器 PIN 板上输入智能卡 PIN。
- 提示时,输入要装入的主密钥部件数。 仅接受 2 或 3 主密钥部件。
- 出现提示时,请插入包含智能卡读卡器中第一个主密钥部件的 EP11 智能卡 2,并在智能卡读卡器 PIN 板上输入智能卡 PIN。
- 从智能卡上的主密钥部件列表中选择要装入的主密钥部件。
- 对要装入的每个主密钥部件重复子步骤 4 和 5。
- 如果出现提示,请在智能卡读卡器 1 中插入具有管理员签名密钥的 EP11 智能卡 (定义到所选加密单元),并在智能卡读卡器 PIN 板上输入智能卡 PIN。
装入所有主密钥部件后,新的主密钥寄存器处于 Full uncommitted
状态。
落实新的
主密钥寄存器
确保在 上一步 之后立即完成此步骤,以将新的主密钥寄存器移至 Full committed
状态。 否则,您将无法初始化服务实例或使用 GREP11 API 或 PKCS #11 API 执行加密操作。
- 单击 落实 以将主密钥移至
Full committed
状态。 - 如果出现提示,请在智能卡读卡器 1 中插入 EP11 智能卡,其中包含定义到所选加密单元的管理员签名密钥,并在智能卡读卡器 PIN 板上输入智能卡 PIN。 如果提示您输入更多带有签名密钥的 EP11 智能卡,请重复此操作。
此过程完成后,新的主密钥寄存器处于 Full committed
状态。
激活主密钥
仅当首次设置服务实例并且密钥存储器为空时,才执行此步骤。 此命令更改当前主密钥寄存器中的值。 如果在密钥存储器包含密钥时运行此命令,并且使用与此命令放置在当前主密钥寄存器中的值不同的主密钥值对这些密钥进行加密,那么密钥存储器中的密钥将变为不可用。
- 单击 立即设置 以将新的主密钥寄存器的值移至当前主密钥寄存器,并清除新的主密钥寄存器。
- 如果您已准备好将主密钥移至当前主密钥寄存器,请单击 是。 此操作无法撤销。
- 如果出现提示,请插入具有管理员签名密钥的 EP11 智能卡,该密钥已定义到智能卡读卡器 1 中的所选加密单元。 然后,在智能卡读卡器 PIN 板上输入智能卡 PIN。
当前主密钥寄存器中的加密单元现在处于 Valid
状态,这指示主密钥已装入到服务实例中。
如果要在以后的阶段中清除当前主密钥,请单击 清除当前主密钥。
下一步
- 转至实例仪表板的 KMS 密钥 选项卡以 管理根密钥和标准密钥。 要了解有关以编程方式管理密钥的更多信息,请查看 Hyper Protect Crypto Services 密钥管理服务 API 参考文档。
- 要了解有关使用云 HSM 执行加密操作的更多信息,请参阅 Cloud HSM 简介。
- 使用 Hyper Protect Crypto Services 作为其他 IBM Cloud 服务的根密钥提供程序。 有关集成 Hyper Protect Crypto Services 的更多信息,请查看集成服务。
- 请阅读 Hyper Protect Crypto Services 云 TKE 过程,以获取包含使用 Cloud Trusted Key Entry (TKE) 和智能卡进行安全初始化和管理的过程 IBM Cloud® Hyper Protect Crypto Services Enterprise PKCS#11 硬件安全模块的模板。