高可用部署

最近更新时间:2023-09-26 14:15:26

我的收藏
ZMK、ZPK 和 ZAK 都是在 EVSM 外部存储的,应用密钥是经过 LMK 分组加密保护后存储在外部系统中,只需要同步设备的 DMK 即可。同步 DMK,需要原始初始化时产生 DMK 成份 UKEY。
当多 EVSM 备份时,则在第一台设备上完成原始初始化后,对其他的设备进行恢复初始化操作,即可完成多台 EVSM 的设备主密钥同步。

步骤1:原始初始化操作

登录 VsmManager 客户端,单击密钥管理 > 原始初始化,产生至少2个 DMK 成份 UKEY,建议采用3选2授权控制机制,并制作3个授权 UKEY。
说明
更多相关操作,请参见 客户端配置


步骤2:恢复初始化操作

当多 EVSM 备份时,则在第一台设备上完成原始初始化后,对其他的设备进行恢复初始化操作,可完成多台 EVSM 的设备主密钥同步。恢复初始化流程包括导入 DMK、同步授权信息或制作新的授权 UKEY。
1. 登录 VsmManager 软件,单击密钥管理 > 恢复初始化


2. 类同原始初始化,该操作将清除设备内的全部密钥,单击下一步

3. 在恢复初始化第一步中,输入 DMK 成份 UKEY 数目,单击下一步

4. 在恢复初始化第二步中,依次插入 n 个成份 UKEY 并输入 UKEY 口令,单击导入成份 UKEY,EVSM 将读取 UKEY 内的 DMK 成份数据。


5. 依照系统提示在 UKEY 列表中选择 DMK 成份 UKEY,单击确定


6. 成份 UKEY 的导入次序无关,但不能将同一个成份 UKEY 多次导入,单击下一步


7. 成份 UKEY 导入完成后,单击合成 DMK


8. DMK 合成后,进入第四步确定授权机制。
多机备份的 EVSM 若共用一套授权 UKEY,则选择同步授权信息,插入有效授权 UKEY 输入口令,单击完成,结束恢复初始化流程。
用户若需要每台 EVSM 使用独立的授权 UKEY,则选择制作新的授权 UKEY > 1选1授权控制机制,并确定新的授权控制机制,单击完成,结束恢复初始化流程。


9. 当 DMK 同步到多台 EVSM 时,可以比对多台 EVSM 的 DMK 校验值来确定同步后的 DMK 是否一致。单击密钥管理 > 获取 DMK 校验值,获取 DMK 校验值。


步骤3:接口配置

方式1:文件形式

为实现高可用,在cacipher.ini 配置文件下更改配置信息,字段详情请参见 属性字段说明
[LOGGER]
logsw=error
logPath=./

[HOST1]
hsmModel=SJJ1310
linkNum=-15
host=192.168.19.19
port=8018
timeout=5
[HOST2]
hsmModel=SJJ1310
linkNum=-15
host=192.168.19.20
port=8018
timeout=5

方式2:内容形式

可以直接将配置信息以字符串的形式传入初始化接口内,字段详情请参见 属性字段说明
Stringconfig=
"{"
+"[LOGGER];"
+"logsw=error;logPath=./;"
+"[HOST1];"
+"hsmModel=SJJ1310;"
+"host=192.168.19.19;"
+"port=8018;"
+"connTimeout=5;"
+"[HOST2];"
+"hsmModel=SJJ1310;"
+"host=192.168.19.20;"
+"port=8018;"
+"connTimeout=5;"
+"}"