IBM Cloud Docs
设置智能卡和管理实用程序

设置智能卡和管理实用程序

通过智能卡和 IBM® Hyper Protect Crypto Services 管理实用程序,您可以使用最高级别的安全性来初始化服务实例。 管理实用程序使用智能卡来存储 签名密钥主密钥部件

下图概述了使用智能卡和管理实用程序初始化服务实例所需的步骤。 本主题涵盖设置管理实用程序的步骤。 有关初始化服务实例的详细指示信息,请参阅 使用智能卡和管理实用程序初始化服务实例

使用智能卡和管理实用程序进行服务实例初始化的任务流
图 1。 使用智能卡和管理实用程序
进行服务实例初始化的任务流程

步骤 1: 订购智能卡和智能卡读卡器

在配置智能卡之前,需要先在线订购 智能卡智能卡读卡器

订购智能卡

完成以下步骤以订购智能卡:

  1. 确定所需的智能卡数量。

    使用管理实用程序至少需要两个智能卡:

    • 用于定义智能卡区域的认证中心智能卡,这是一组可协同工作的智能卡。
    • 企业 PKCS #11 (EP11) 智能卡,用于保存签名密钥以及用于配置服务实例的一个或多个主密钥部件。 目前,管理实用程序支持两个或三个要装入的主密钥部件。

    为了提高安全性,可以在分配给不同人员的单独 EP11 智能卡上生成用于配置服务实例的两个或三个主密钥部件。 可以在单独的 EP11 智能卡上生成用于对加密模块的命令进行签名的签名密钥。 然后需要三个或四个 EP11 智能卡来配置服务实例。

    还建议 创建所有已用智能卡的备份副本,并将备份智能卡保存在安全的位置。 为了实现最大程度的安全性,需要 12 个智能卡,其中包括备份智能卡:

    • 两个认证中心智能卡
    • 10 个 EP11 智能卡

    有关如何计算所需的智能卡数量,请参阅 常见问题: 是否有关于如何设置智能卡的建议?

  2. 请与 IBM 销售代表或 IBM 业务合作伙伴联系,并提供以下信息。

    • 所需的智能卡总数; 最小值为 2。
    • 计费联系人信息,包括名称,计费地址,电话号码,电子邮件地址和时区。
    • 送货联系人信息,包括姓名,送货地址,电话号码,电子邮件地址和时区。

    有关通过 IBM 销售代表或业务合作伙伴订购智能卡的更多信息,请参阅 如何订购

订购智能卡读卡器

要订购智能卡读卡器,您可以选择以下选项:

  • 请联系 IBM 销售代表或 IBM 业务合作伙伴以订购智能卡读卡器。 有关更多信息,请参阅 如何订购

  • 从第三方在线商店订购两个智能卡读卡器 Identiv SPR332 v2.0 Secure Class 2 PIN Pad Reader (部件号 905127-1)。 以下列表包含一些示例在线购物站点,其中提供了所需的智能卡读卡器。 交付策略可能因您的地理位置而异:

步骤 2: 在本地工作站上安装智能卡读卡器驱动程序

您需要在本地工作站上安装 Identiv SPR332 V2 智能卡读卡器驱动程序。 目前,支持 Red Hat Enterprise Linux® 8.0,Red Hat Enterprise Linux 9.0和 Ubuntu 22.04.1 LTS。

在为智能卡和智能卡读卡器规划安全策略时,需要考虑 用于初始化服务实例的安全注意事项。 否则,您的智能卡可能会暴露在某些漏洞中。

在 Linux 操作系统上安装智能卡读卡器驱动程序之前,请从 Identiv SPR332 v2.0 支持 Web 站点下载并解压缩驱动程序包。 然后,根据 Linux® 发行版完成以下步骤来安装智能卡读卡器驱动程序:

  • Red Hat Enterprise Linux 8.0 和 9.0

    1. 使用以下命令安装 pcsc-lite 软件包:

      sudo yum install pcsc-lite

    2. 使用以下命令安装 libusb 软件包:

      sudo yum install libusb

    3. 检查并确保未安装 openscesc 软件包。 在智能卡读卡器的操作期间,这些软件包可能会导致意外错误。

      运行以下命令以显示所有已安装的 openscesc 软件包。 将 <package_name> 替换为 openscesc:

      sudo yum list installed <package_name>

      如果列出了任何软件包,请使用以下命令将其除去。 将 <package_name> 替换为 openscesc:

      sudo yum remove <package_name>

    4. 运行已下载的驱动程序包中包含的 install.sh 脚本。

    5. 使用以下命令启动 PC/SC 守护程序:

      sudo pcscd

  • Ubuntu 22.04.1 LTS

    1. 使用以下命令安装 pcscdlibccid 软件包:

      sudo apt install pcscd

    2. 运行 install.sh 脚本,该脚本包含在智能卡读卡器驱动程序的下载包中。

    3. 在某些 Ubuntu 配置上,PC/SC 守护程序不会在第一次 PC/SC 调用时自动启动。 要避免此问题,请运行以下命令:

      sudo systemctl enable pcscd.socket

    4. 重新启动工作站。

步骤 3: 在本地工作站上安装管理实用程序

作为管理实用程序的一部分提供了两个应用程序: 智能卡实用程序可信密钥输入(TKE)应用程序。 通过“智能卡实用程序”,您可以初始化要使用的智能卡。 TKE 应用程序使用智能卡在服务实例中装入主密钥。

要在 Red Hat Enterprise Linux 8.0,Red Hat Enterprise Linux 9.0或 Ubuntu 22.04.1 LTS 上安装应用程序,请完成以下步骤:

  1. 将最新安装文件 cloudtke.binGitHub 下载到工作站。

  2. (可选) 要实现最高安全性,请在安装或更新应用程序之前验证管理实用程序安装文件 cloudtke.bin 的完整性和真实性。

    Hyper Protect Crypto Services 管理实用程序启用 已签名代码验证,以确保签名与原始代码匹配。 如果已下载的安装文件已变更或损坏,那么将生成另一个签名,验证将失败。 要确保应用程序在下载过程中未被篡改或损坏,请使用 OpenSSL 命令行工具完成以下步骤:

    1. 将以下文件的最新版本从 GitHub 下载到存储 cloudtke.bin 文件的同一目录:

      • cloudtke.sig: cloudtke.bin (SHA-256) 的已签名加密散列。
      • digicert_cert.pem: 用于证明管理实用程序签名证书的中间代码签名证书。
      • signing_cert.pem: 管理实用程序的签名证书。

    2. 使用 OpenSSL 命令行工具,使用以下命令将公用密钥从签名证书 signing_cert.pem 抽取到 sigkey.pub 文件:

      openssl x509 -pubkey -noout -in signing_cert.pem -out sigkey.pub

    3. 使用以下命令验证 cloudtke.bin 文件的完整性:

      openssl dgst -sha256 -verify sigkey.pub -signature cloudtke.sig cloudtke.bin

      验证成功后,将显示 Verified OK

    4. 使用以下命令验证签名证书的真实性和有效性:

      openssl ocsp -no_nonce -issuer digicert_cert.pem -cert signing_cert.pem -VAfile digicert_cert.pem -text -url http://ocsp.digicert.com -respout ocsptest

      验证成功后,Response verify OKsigning_cert.pem: good 将显示在输出中。

    5. 如果验证失败,请取消安装并 联系 IBM 以获取支持。 否则,请继续执行以下步骤。

  3. 从命令行输入下载的安装文件所在的目录,并执行以下步骤来安装应用程序:

    1. 通过运行以下命令将执行许可权添加到安装文件:

      chmod +x cloudtke.bin

    2. 通过运行以下命令来安装应用程序:

      ./cloudtke.bin

    3. 出现提示时,请选择“管理实用程序”的安装文件夹,然后选择 不创建链接 选项。

步骤 4: 使用智能卡实用程序配置智能卡

在“管理实用程序”中使用了两种类型的智能卡,即认证中心智能卡和 EP11 智能卡。 认证中心智能卡用于定义智能卡区域并在该区域中创建一组 EP11 智能卡,而 EP11 智能卡用于生成和存储管理员签名密钥和主密钥部件。

要配置智能卡,请使用“智能卡实用程序”来完成以下任务。

初始化认证中心智能卡

要创建和初始化认证中心智能卡,请执行以下步骤:

  1. 将两个智能卡读卡器插入工作站的 USB 端口。

  2. 要启动“智能卡实用程序”,请转至安装“管理实用程序”应用程序的子目录,并运行以下命令:

    ./scup

  3. 启动“智能卡实用程序”后,从 CA 智能卡 菜单中选择 初始化和个性化 CA 智能卡

  4. 将要初始化的智能卡插入到智能卡读卡器中 1,然后单击 确定

    如果收到类似于 未插入智能卡的消息,请尝试以下解决方案:

    • 将智能卡插入到另一个智能卡读卡器中。 您选择的智能卡读卡器可能不是智能卡读卡器 1。
    • 将智能卡重新插入到同一智能卡读卡器中。 智能卡读卡器可能未正确读取智能卡。

  5. 在智能卡读卡器 PIN 板上输入六位数的个人识别号码 (PIN) 两次作为第一个认证中心卡 PIN。

    在 20 秒内输入两次 PIN。 否则,会话将到期,您需要重新输入 PIN。

  6. 在智能卡读卡器 PIN 板上输入六位数的 PIN 两次作为第二个认证中心卡 PIN。 稍后在使用认证中心智能卡时,需要输入这两个 PIN。

    在 20 秒内输入两次 PIN。 否则,会话将到期,您需要重新输入 PIN。

  7. 输入保存 EP11 智能卡的智能卡区域的描述。

  8. 输入认证中心智能卡的描述。

将创建认证中心。

建议创建认证中心智能卡的备份副本。 您可以通过单击 CA 智能卡 > 备份 CA 智能卡来创建备份副本。

初始化 EP11 智能卡

要创建和初始化 EP11 智能卡,请执行以下步骤:

  1. 从菜单中选择 EP11 智能卡 > 初始化并注册 EP11 智能卡
  2. 在智能卡读卡器 2 中插入要初始化为 EP11 智能卡的智能卡,然后单击 确定
  3. 从菜单栏中选择 EP11 智能卡 > 个性化 EP11 智能卡
  4. 在智能卡读卡器 PIN 板上输入六位数的 PIN 两次。 稍后使用 EP11 智能卡时,需要输入此 PIN。
  5. 输入 EP11 智能卡的描述。
  6. 如果有多个 EP11 智能卡,请重复步骤 1 到步骤 5 以初始化其他 EP11 智能卡。

将创建 EP11 智能卡并对其进行个性化设置。

下一步