文档首页/ iMasterCloud/ 用户指南/ MSP操作/ 服务使用/ 系统管理/ CA服务/ 管理密码机/ 配置密码机
更新时间:2025-11-28 GMT+08:00
查看PDF
分享

配置密码机

前提条件

  • 已具备新增、修改、查看、删除密码机的权限。
  • 已获取三未信安或江南天安密码机对应的配置文件和关联JAR包,详情请参考下表:
    表1 密码机详情

    密码机厂商

    配置文件

    关联JAR包

    三未信安

    swsds.ini

    swxajce_v5.3.2.10-r.jar,crypto_v5.3.2.10-r.jar或swxajce_v5.3.3.24.jar

    江南天安

    cacipher.ini

    TassEHSMApi-v2.1.22-20210818.01.jar

背景信息

CA的密钥加解密通常采用业界公认的安全加解密算法以及软件生成的加解密密钥,但这种基于软件的保护方式可能存在占用部分主机资源、处理速度较慢或者不够安全的问题。通过硬件密码机可以对密钥进行更加安全的管理,保证密钥在任何时候不以明文形式出现在设备外。

操作步骤

  1. 在主菜单中选择系统 > 系统管理 > CA服务
  2. 在左侧导航树中选择密码机管理 > 密码机管理
  3. 单击“新增”,配置密码机所需的各项参数。参数说明请参见表2

    表2 密码机参数说明表

    参数

    说明

    取值建议

    名称

    密码机的名称。

    请输入1~45个字符,字符类型可以是数字、大小写字母、下划线、中划线,但不能是“null”或“all”(不区分大小写)。

    • 缺省值:无
    • 建议值:无

    设备厂商

    密码机厂商名称。

    每个厂商只能创建一个密码机。

    缺省值:无

    建议值:无

    设备型号

    密码机型号。

    三未信安的型号为SJJ1212,江南天安的型号为SJJ1310。

    • 缺省值:无
    • 建议值:无

    配置文件

    对接密码机的配置文件,定义了密码机的工作IP地址、端口和TLS证书等信息。
    • 上传的配置文件必须是.ini格式,只能上传1个文件,且文件大小小于100KB。
    • 文件名称长度必须为1~256个字符,由中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。

    关联JAR包

    对接密码机的软件开发工具包。
    • 上传的关联JAR包必须是.jar格式。
    • 一次最多可上传5个文件,单个文件大小不超过10M,上传的文件总大小不超过50MB。
    • 文件名长度必须为1~256个字符,由中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。

    关联JAR包的签名

    当上传非预置密码机的关联JAR包时,需上传关联JAR包的签名。

    预置密码机未配置“关联JAR包签名证书链”,则不展示该参数。
    • 上传的关联JAR包的签名必须是.sign格式。
    • 一次最多可上传5个文件,单个文件大小不超过10KB,上传的文件总大小不超过50KB。
    • 文件名长度必须为1~256个字符,由中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”组成,且不能以“.”或空格开头。

    开启TLS
    • 如果选择“是”,需要配置TLS身份证书、文件口令以及信任证书链。
    • 如果选择“否”,不需要配置TLS相关参数。
    须知:

    不使用TLS协议存在安全风险。

    缺省值:是

    建议值:是

    TLS身份证书
    CA与密码机建立TLS连接时使用的身份证书,该证书作为CA端的身份证书。如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
    • 当设备厂商为三未信安和江南天安时,TLS身份证书为必填项。
    • 当设备厂商为非预置的密码机厂商时,TLS身份证书为选填项。
      说明:

      配置TLS身份证书有更多安全保证,建议配置TLS身份证书。
    • 证书文件为小于20KB的.p12格式的文件,最多上传一个文件。
    • 文件名长度必须为1~256个字符,由中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”,且不能以“.”或空格开头。

    文件口令

    TLS身份证书文件对应的口令。

    缺省值:无

    建议值:无

    信任证书链

    CA与密码机建立TLS连接时使用的信任证书链,CA端使用该信任证书链认证密码机端的身份证书。如果上传的证书公钥的密钥算法为RSA1024,此证书文件存在安全风险,建议上传安全的证书文件。如果上传的证书公钥的密钥算法为RSA2048,此证书文件为中等安全,需在弹出的“提示”框中进行二次确认,建议上传安全的证书文件。
    • 证书链文件为小于100KB的.cer,.crt或者.pem格式的文件,最多上传10个文件。上传的文件总大小不超过100KB。
    • 文件名长度必须为1~256个字符,由中文、数字、大小写字母、下划线、中划线、空格、“.”、“(”、“)”,且不能以“.”或空格开头。

    RSA密钥

    密码机RSA算法内部密钥。预先在密码机里配置好的RSA算法密钥,需要将密钥索引和密钥长度添加到CA服务中。

    说明:

    RSA(2048位以下)为不安全的密钥算法,RSA(2048位)为中等强度密钥算法,为了确保系统通信安全,请使用RSA(3072位及以上)密钥算法生成证书的私钥。

    缺省值:无

    建议值:无

    ECDSA密钥

    密码机ECDSA算法内部密钥。预先在密码机里配置好的ECDSA算法密钥,需要将密钥索引和密钥长度添加到CA服务中。

    说明:

    ECDSA(224位以下)为不安全的密钥算法,为了确保系统通信安全,请使用ECDSA(256位及以上)密钥算法生成证书的私钥。

    缺省值:无

    建议值:无

  4. 单击“提交”。
  5. 选择是否立即重启服务。

    • 在弹出的提示框中单击“立即重启”,立即重启CA服务使配置生效。
    • 在弹出的提示框中单击“稍后重启”,后续可在全局配置 > 服务管理页面重启CA服务

相关任务

  • 查看密码机:

    在“密码机管理”页面单击某密码机的名称,可查看该密码机的详细信息,例如厂商、型号和端口等信息。

  • 测试连通性:

    在“密码机管理”页面单击密码机右侧的“测试连通性”,可通过“状态”查看其连通性。

  • 修改密码机配置:

    在“密码机管理”页面单击密码机右侧的“修改”,可修改该密码机的配置信息。

  • 删除密码机配置:

    对于已配置的密码机,在“密码机管理”页面单击密码机右侧的“删除”,在弹出的“警告”框中确认信息后,单击“确定”。可删除该密码机配置。

    密码机内部密钥已被使用,不允许删除。

父主题: 管理密码机

相关文档