- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath KMS8000-CN密钥管理系统
软件安装指导
|
Copyright© 2023-2025 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
密钥管理系统软件所需安装环境如下表所示:
表1-1 密钥管理系统
|
配置项 |
密钥管理系统 |
||
|
型号 |
KMS8000-CN |
||
|
服务器 |
飞腾2000-4 |
海光3250 |
鲲鹏HUAWEI Kunpeng 920 5220 |
|
操作系统 |
统信OSV20专业版, 银河麒麟V10-SP3(服务器版) |
统信OSV20专业版, 银河麒麟V10-SP3(服务器版) |
统信OSV20专业版, 银河麒麟V10-SP3(服务器版) |
|
CPU |
4核 |
16核 |
4核 |
|
内存 |
16GB |
16GB |
16GB |
|
硬盘 |
600GB以上(需保证系统根目录至少500GB) |
600GB以上(需保证系统根目录至少500GB) |
600GB以上(需保证系统根目录至少500GB) |
|
数据库 |
MySQL:KMS软件包自带该数据库,无需额外单独安装 达梦数据库8.1.0.147 |
MySQL:KMS软件包自带该数据库,无需额外单独安装 达梦数据库8.1.0.147 |
MySQL:KMS软件包自带该数据库,无需额外单独安装 达梦数据库8.1.0.147 |
|
备注 |
软件安装过程中的神通数据库暂不支持 |
软件安装过程中的神通数据库暂不支持 |
软件安装过程中的神通数据库暂不支持 |
(1) 本地PC安装好终端访问工具(如xshell)
(2) 本地提前准备好统信OSV20专业版或者银河麒麟V10-SP3(服务器版)的操作系统
(3) 本地提前准备好达梦数据库8.1.0.147
(4) 本地PC准备好密钥管理系统安装镜像文件:后缀为.bin的安装文件,并校对MD5值,文件名为SecPathKMS8000-IMW310-E6111-X86.bin 或SecPathKMS8000-IMW310-E6111-ARM.bin
· 达梦数据库环境下安装顺序:先装操作系统>数据库安装>KMS软件包安装
· Mysql数据库下安装顺序:先装操作系统>KMS软件包安装
密钥管理系统安装包支持在ARM和X86两种架构,统信OSV20专业版和银河麒麟V10-SP3(服务器版)两种操作系统上进行安装部署,安装包分为两个,分别为:
· ARM架构:SecPathKMS8000-IMW310-E6111-ARM.bin
· X86架构:SecPathKMS8000-IMW310-E6111-X86.bin
本文以ARM架构下的部署安装作为举例,X86架构下部署安装步骤相同(区别是需对应架构选择KMS软件包),请参考如下说明进行部署:
· 如基于麒麟系统部署,请参考2.1 银河麒麟操作系统环境部署完成KMS的安装。
· 如基于统信系统部署,请参考2.2 统信操作系统环境部署完成KMS的安装。
银河麒麟操作系统安装参考银河麒麟系统方提供的手册进行安装,具体版本以及安装配置请参考安装环境处说明,并需要执行以下几步:
使用银河麒麟系统时,root账户登录系统后卸载系统自带的mysql
使用root账户登录系统后卸载系统自带的mariadb
使用银河麒麟系统时,使用root账户登录系统后卸载系统自带的jdk和Java
如果卸载过程中出现提示:/sbin/ldconfig: /usr/lib64/libLLVM-7.so 不是符号链接,可以忽略,保证mysql、mariadb、jdk、java卸载完成即可。
使用 date命令查看当前系统时间,如果当前时间不准确,请使用命令校准系统时间,命令如下:
date -s
安装完操作系统后,用户可根据实际使用场景选择安装MySQL和达梦其中一种数据库,并参考以下说明进行安装配置。
安装KMS软件包时,输入数据库类型选项为“3”时会自动安装MySQL数据库,如使用环境为该数据库,请参考KMS软件包安装说明。
使用达梦数据库时,只支持单机模式的达梦数据库,不支持集群模式的达梦数据库。
达梦数据库安装参考数据库方提供的手册进行安装,具体版本以及安装配置请参考安装环境处说明(在双机场景中,达梦数据库需要单独部署,不能部署在KMS的主机或备机上),并需要执行以下几步:
版本:DM8
可选择图形化工具或命令行创建数据库实例,服务器有图形化界面时建议使用图形化工具创建数据库实例,当服务器没有图形化界面时可以使用命令行创建数据库实例,以下分开举例说明,实际操作选择其中一种方式既可。
数据库安装完成后,使用root用户登录系统在开始菜单或数据库安装目录中的/desktop/client/目录找到数据库配置助手,在服务器端使用数据库配置助手进行数据库实例配置。
在使用数据库配置助手创建数据库时需要注意设置数据库字符集为UTF-8。
如果需要使用RSA4096类型密钥,则页大小需要选择为16K。
字符串比较大小写敏感去掉勾选。
其他数据库配置使用默认配置,一直下一步最后完成即可。
如下面图所示:
(1)命令行初始化数据库,进入到达梦数据库安装目录的bin目录下,执行命令如下:
|
cd /home/dmdba/dmdbms/bin ./dminit |
(2)创建系统服务,执行命令如下:
|
cd /home/dmdba/dmdbms/script/root ./dm_service_installer.sh -t dmserver -i /home/dmdba/KMS_ROOT/KMS_ROOT/dm.ini -p DMSERVER |
(3)启动服务,执行启动命令如下:
systemctl start DmServiceDMSERVER
或执行:
service DmServiceDMSERVER start
可选择图形化工具或命令行创建数据库用户,服务器有图形化界面时建议使用图形化工具创建数据库用户,当服务器没有图形化界面时可以使用命令行创建数据库用户,以下分开举例说明,实际操作选择其中一种方式既可。
图像化界面添加用户
数据库安装完成后,创建用户并授权,使用DM管理工具连接达梦数据库
在DM管理工具中执行下面的脚本进行用户创建。
|
create user "KMS_ROOT" identified by "kms123456" limit failed_login_attemps 3, password_lock_time 1, password_grace_time 10 default tablespace "MAIN" default index tablespace "MAIN"; grant "DBA" to "KMS_ROOT"; grant CREATE TABLE,CREATE VIEW,CREATE PROCEDURE,CREATE SEQUENCE,CREATE TRIGGER,CREATE INDEX,BACKUP DATABASE,INSERT TABLE,UPDATE TABLE,DELETE TABLE,SELECT TABLE,GRANT TABLE,INSERT VIEW,UPDATE VIEW,DELETE VIEW,SELECT VIEW,GRANT VIEW to "KMS_ROOT";
|
命令行添加用户
(1)进入到达梦数据库安装目录的bin目录下,执行命令如下:
|
cd /home/dmdba/dmdbms/bin |
(2)使用disql命令使用SYSDBA用户连接数据库,执行命令如下:
|
./disql SYSDBA/SYSDBA |
出现以下结果,即登录数据库成功
(3)依次执行以下命令,进行添加数据库用户
|
create user "KMS_ROOT" identified by "kms123456" limit failed_login_attemps 3, password_lock_time 1, password_grace_time 10 default tablespace "MAIN" default index tablespace "MAIN"; grant "DBA" to "KMS_ROOT"; grant CREATE TABLE,CREATE VIEW,CREATE PROCEDURE,CREATE SEQUENCE,CREATE TRIGGER,CREATE INDEX,BACKUP DATABASE,INSERT TABLE,UPDATE TABLE,DELETE TABLE,SELECT TABLE,GRANT TABLE,INSERT VIEW,UPDATE VIEW,DELETE VIEW,SELECT VIEW,GRANT VIEW to "KMS_ROOT"; |
出现以下结果,即添加数据库用户成功
使用达梦数据库时,如果密钥管理系统和数据库没有部署在同一台服务器,此时需要在部署密钥管理系统的服务器上安装对应数据库的客户端。
如果部署数据库的服务器上有防火墙,需要在部署数据库的服务器上开放达梦数据库的网络端口,如下图所示:
所需安装包:SecPathKMS8000-IMW310-E6111-ARM.bin
登录root账号将SecPathKMS8000-IMW310-E6111-ARM.bin文件上传到服务器的/usr目录,
然后执行cd /usr 命令进入到usr目录,
执行chmod +x SecPathKMS8000-IMW310-E6111-ARM.bin 命令
给SecPathKMS8000-IMW310-E6111-ARM.bin文件授予可执行权限,
最后执行./SecPathKMS8000-IMW310-E6111-ARM.bin 命令进行安装。
(1) 等待解析和解压安装文件
(2) 安装JDK以及配置JCE环境
(3) 数据库配置
· 数据库类型:输入1为达梦数据库,输入3为mysql数据库,当选择安装达梦数据库时,输入数据库的地址、端口号、达梦数据库安装路径下的bin路径,使用本地数据库时,在输入数据库地址时请输入“127.0.0.1”;
· 是否导入数据库初始化脚本:请输入y,双机场景下使用达梦数据库时备机部署请输入n。
出现以下图示,说明达梦数据库配置成功。如有“但出现警告”的提示可以忽略。
当选择安装mysql数据库时出现“MYSQL配置完成!”的提示时,说明mysql安装成功。
(4) 数据库安装完成后,开始安装keepAlived。
出现“keepalived安装完成!”的提示时,说明keepalived安装成功。
(5) keepalived安装完成后,出现“准备安装redis”提示时,开始安装redis。
出现“redis安装完成”的提示时,说明redis安装成功。
(6) redis安装完成后,出现“准备安装nginx”提示时,开始安装nginx。
(7) 最后提示“安装完成”,说明kms软件包安装成功
(8) 软件包安装成功后执行source /etc/profile命令,重新加载系统环境变量。
双机场景下,达梦数据库需要单独部署,不能部署在KMS的主机或备机上,所以需要在部署密钥管理系统的服务器上安装对应数据库的客户端。如果部署数据库的服务器上有防火墙,需要在部署数据库的服务器上开放达梦数据库的网络端口,参考2.1.2 3. 密钥管理系统和数据库不在同一个服务器说明。
安装完成之后,在主机浏览器地址栏中输入:https//IP:8443/,进行主机的初始化
主机完成所有的初始化步骤之后,再去执行备机的相关操作。
MySQL数据库
达梦数据库
(1) 等待解析和解压安装文件
(2) 安装JDK以及配置JCE环境
(3) 选择使用的数据库类型,输入1为达梦数据库
(4) 当选择达梦数据库时,输入主机数据库的地址、主机数据库的端口号、本机达梦数据库客户端的安装路径下的bin路径,是否导入数据库初始化脚本输入n。
(5) 开始安装keepAlived。
出现“keepalived安装完成!”的提示时,说明keepalived安装成功。
(6) keepalived安装完成后,出现“准备安装redis”提示时,开始安装redis。
出现“redis安装完成”的提示时,说明redis安装成功。
(7) redis安装完成后,出现“准备安装nginx”提示时,开始安装nginx。
(8) 最后提示“安装完成”,说明kms软件包安装成功
(9) 软件包安装成功后执行source /etc/profile命令,重新加载系统环境变量。
(10) 配置备机密码机地址
备机kms软件包安装完成后需要重新配置密码设备,备机地址栏中输入:https//IP:8443/config.html,配置备机密码机的地址为主机使用的密码机地址。
统信操作系统安装参考统信系统提供的手册进行安装,具体版本以及安装配置请参考安装环境处说明,并需要执行以下几步:
使用 date命令查看当前系统时间,如果当前时间不准确,请使用命令校准系统时间,命令如下:
date -s
统信系统安装密钥管理系统前,登录服务器管理员账号,执行dpkg-reconfigure dash命令
弹出重新配置dash界面,并选择“否”弃用dash,之后按enter键使设置生效。
安装完操作系统后,用户可根据实际使用场景选择安装MySQL和达梦其中一种数据库,并参考以下说明进行安装配置。
安装KMS软件包时,输入数据库类型选项为“3”时会自动安装MySQL数据库,如使用环境为该数据库,请参考KMS软件包安装说明。
使用达梦数据库时,只支持单机模式的达梦数据库,不支持集群模式的达梦数据库。
达梦数据库安装参考数据库方提供的手册进行安装,具体版本以及安装配置请参考安装环境处说明(在双机场景中,达梦数据库需要单独部署,不能部署在KMS的主机或备机上),并需要执行以下几步:
版本:DM8
可选择图形化工具或命令行创建数据库实例,服务器有图形化界面时建议使用图形化工具创建数据库实例,当服务器没有图形化界面时可以使用命令行创建数据库实例,以下分开举例说明,实际操作选择其中一种方式既可。
数据库安装完成后,使用root用户登录系统在开始菜单或数据库安装目录中的/desktop/client/目录找到数据库配置助手,在服务器端使用数据库配置助手进行数据库实例配置。
在使用数据库配置助手创建数据库时需要注意设置数据库字符集为UTF-8。
如果需要使用RSA4096类型密钥,则页大小需要选择为16K。
字符串比较大小写敏感去掉勾选。
其他数据库配置使用默认配置,一直下一步最后完成即可。
如下面图所示:
(1)命令行初始化数据库,进入到达梦数据库安装目录的bin目录下,执行命令如下:
|
cd /home/dmdba/dmdbms/bin ./dminit |
(2)创建系统服务,执行命令如下:
|
cd /home/dmdba/dmdbms/script/root ./dm_service_installer.sh -t dmserver -i /home/dmdba/KMS_ROOT/KMS_ROOT/dm.ini -p DMSERVER |
(3)启动服务,执行启动命令如下:
systemctl start DmServiceDMSERVER
或执行:
service DmServiceDMSERVER start
可选择图形化工具或命令行创建数据库用户,服务器有图形化界面时建议使用图形化工具创建数据库用户,当服务器没有图形化界面时可以使用命令行创建数据库用户,以下分开举例说明,实际操作选择其中一种方式既可。
图像化界面添加用户
数据库安装完成后,创建用户并授权,使用DM管理工具连接达梦数据库
在DM管理工具中执行下面的脚本进行用户创建。
|
create user "KMS_ROOT" identified by "kms123456" limit failed_login_attemps 3, password_lock_time 1, password_grace_time 10 default tablespace "MAIN" default index tablespace "MAIN"; grant "DBA" to "KMS_ROOT"; grant CREATE TABLE,CREATE VIEW,CREATE PROCEDURE,CREATE SEQUENCE,CREATE TRIGGER,CREATE INDEX,BACKUP DATABASE,INSERT TABLE,UPDATE TABLE,DELETE TABLE,SELECT TABLE,GRANT TABLE,INSERT VIEW,UPDATE VIEW,DELETE VIEW,SELECT VIEW,GRANT VIEW to "KMS_ROOT"; |
命令行添加用户
(1)进入到达梦数据库安装目录的bin目录下,执行命令如下:
|
cd /home/dmdba/dmdbms/bin |
(2)使用disql命令使用SYSDBA用户连接数据库,执行命令如下:
|
./disql SYSDBA/SYSDBA |
出现以下结果,即登录数据库成功
(3)依次执行以下命令,进行添加数据库用户
|
create user "KMS_ROOT" identified by "kms123456" limit failed_login_attemps 3, password_lock_time 1, password_grace_time 10 default tablespace "MAIN" default index tablespace "MAIN"; grant "DBA" to "KMS_ROOT"; grant CREATE TABLE,CREATE VIEW,CREATE PROCEDURE,CREATE SEQUENCE,CREATE TRIGGER,CREATE INDEX,BACKUP DATABASE,INSERT TABLE,UPDATE TABLE,DELETE TABLE,SELECT TABLE,GRANT TABLE,INSERT VIEW,UPDATE VIEW,DELETE VIEW,SELECT VIEW,GRANT VIEW to "KMS_ROOT"; |
出现以下结果,即添加数据库用户成功
使用达梦数据库时,如果密钥管理系统和数据库没有部署在同一台服务器,此时需要在部署密钥管理系统的服务器上安装对应数据库的客户端。
如果部署数据库的服务器上有防火墙,需要在部署数据库的服务器上开放达梦数据库的网络端口,如下图所示:
所需安装包:SecPathKMS8000-IMW310-E6111-ARM.bin
登录root账号将SecPathKMS8000-IMW310-E6111-ARM.bin文件上传到服务器的/usr目录,
然后执行cd /usr 命令进入到usr目录,
执行chmod +x SecPathKMS8000-IMW310-E6111-ARM.bin 命令
给SecPathKMS8000-IMW310-E6111-ARM.bin文件授予可执行权限,
最后执行./SecPathKMS8000-IMW310-E6111-ARM.bin 命令进行安装。
(1) 等待解析和解压安装文件
(2) 安装JDK以及配置JCE环境
(3) 数据库配置
· 数据库类型:输入1为达梦数据库,输入3为mysql数据库,当选择安装达梦数据库时,输入数据库的地址、端口号、达梦数据库安装路径下的bin路径,使用本地数据库时,在输入数据库地址时请输入“127.0.0.1”;
· 是否导入数据库初始化脚本:请输入y,双机场景下使用达梦数据库时备机部署请输入n。
出现以下图示,说明达梦数据库配置成功。如有“但出现警告”的提示可以忽略。
当选择安装mysql数据库时出现“MYSQL配置完成!”的提示时,说明mysql安装成功。
(4) 数据库安装完成后,开始安装keepAlived。
出现“keepalived安装完成!”的提示时,说明keepalived安装成功。
(5) keepalived安装完成后,出现“准备安装redis”提示时,开始安装redis。
出现“redis安装完成”的提示时,说明redis安装成功。
(6) redis安装完成后,出现“准备安装nginx”提示时,开始安装nginx。
(7) 最后提示“安装完成”,说明kms软件包安装成功
(8) 软件包安装成功后执行source /etc/profile命令,重新加载系统环境变量。
(9) 统信系统默认没有安装防火墙服务,如果需要使用防火墙服务,请自行安装iptables防火墙。
安装iptables防火墙服务并添加开机启动:
yum install -y iptables
yum update iptables
yum install -y iptables-services
systemctl enable iptables.service
安装完成后请开放8443、9001、9441、12345、4568端口:
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 8443 -j ACCEPT
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 9001 -j ACCEPT
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 9441 -j ACCEPT
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 12345 -j ACCEPT
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 4568 -j ACCEPT
执行相关命令之后,重启iptables服务
service iptables save
systemctl restart iptables.service
双机场景下,达梦数据库需要单独部署,不能部署在KMS的主机或备机上,所以需要在部署密钥管理系统的服务器上安装对应数据库的客户端。如果部署数据库的服务器上有防火墙,需要在部署数据库的服务器上开放达梦数据库的网络端口,参考2.2.2 3. 密钥管理系统和数据库不在同一个服务器
安装完成之后,在主机浏览器地址栏中输入:https//IP:8443/,进行主机的初始化
主机完成所有的初始化步骤之后,再去执行备机的相关操作。
MySQL数据库
达梦数据库
(1) 等待解析和解压安装文件
(2) 安装JDK以及配置JCE环境
(3) 选择使用的数据库类型,输入1为达梦数据库
(4) 当选择达梦数据库时,输入主机数据库的地址、主机数据库的端口号、本机达梦数据库客户端的安装路径下的bin路径,是否导入数据库初始化脚本输入n。
(5) 开始安装keepAlived。
出现“keepalived安装完成!”的提示时,说明keepalived安装成功。
(6) keepalived安装完成后,出现“准备安装redis”提示时,开始安装redis。
出现“redis安装完成”的提示时,说明redis安装成功。
(7) redis安装完成后,出现“准备安装nginx”提示时,开始安装nginx。
(8) 最后提示“安装完成”,说明kms软件包安装成功
(9) 软件包安装成功后执行source /etc/profile命令,重新加载系统环境变量。
(10) 统信系统默认没有安装防火墙服务,如果需要使用防火墙服务,请自行安装iptables防火墙。
安装iptables防火墙服务并添加开机启动:
yum install -y iptables
yum update iptables
yum install -y iptables-services
systemctl enable iptables.service
安装完成后请开放8443、9001、9441、12345、4568端口:
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 8443 -j ACCEPT
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 9001 -j ACCEPT
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 9441 -j ACCEPT
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 12345 -j ACCEPT
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 4568 -j ACCEPT
执行相关命令之后,重启iptables服务
service iptables save
systemctl restart iptables.service
(11) 配置备机密码机地址
备机kms软件包安装完成后需要重新配置密码设备,备机地址栏中输入:https//IP:8443/config.html,配置备机密码机的地址为主机使用的密码机地址。
主机备机安装步骤和配置差异如下图所示:
|
步骤 |
主机 |
备机 |
|
服务器 |
相同 |
相同 |
|
操作系统 |
相同 |
相同 |
|
数据库类型、地址(达梦数据库) |
相同 |
相同 |
|
是否导入数据库初始化脚本 |
是 |
否 |
|
是否需要初始化(达梦数据库) |
是 |
否 |
|
是否需要重新配置密码设备 |
否 |
是 |
|
密码设备 |
主备使用同一台密码机 |
主备使用同一台密码机 |
· (1)安装完成后,通过浏览器访问KMS管理系统页面,KMS地址:https://ip:8443
· (2)若能够正常访问并进入到初始化页面,则证明安装成功。
· (3)安装成功后,请参考《Web配置指导》进行系统初始化。
使用root账号登录系统,执行以下命令
cd /usr/kms/uninstall
./uninstall.sh
提示“卸载完成”,说明软件卸载成功。
KMS软件卸载完成后,如果需要删除达梦数据库中KMS的数据库配置和数据
(1) 在开始菜单中或在数据库安装目录中的/desktop/client/目录找到数据库配置助手,在服务器端使用数据库配置助手删除KMS数据库实例。
(2) 选择KMS数据库实例
(3) 删除时如出现下图警告,请使用root账户执行systemctl stop DmServiceDMSERVER 命令。其中DmServiceDMSERVER 为KMS数据库实例对应的服务名。
(4) 确认删除KMS数据库实例,显示删除数据库完成。
删除达梦数据库之前停止数据库服务。
(1) 在达梦数据库安装目录下运行命令停止达梦数据库服务,其中 “DmServiceDMSERVER”,为创建KMS数据库实例时的服务名称,请根据创建时的服务名称进行修改。
(2) 在指定文件夹下运行以下命令:(其中 “DmServiceDMSERVER”,为创建KMS数据库实例时的服务名称,请根据创建时的服务名称进行修改)
./dm_service_uninstaller.sh -n DmServiceDMSERVER
(3) 按照提示“是否删除服务?”,根据需求选择对应的“y”。
(4) 运行以下命令
rm -rf /home/dmdba/elog/ && rm -rf /home/dmdba/KMS_ROOT/
删除数据库实例文件夹 。
1. 当使用达梦数据库时,卸载KMS软件后重新安装KMS软件,请确认使用的达梦数据库是否是之前KMS使用过的,如果是之前KMS使用过的请先参考5.2 删除达梦数据库配置删除达梦数据库配置 ,然后参考2.1.2 数据库安装,重新配置数据库,数据库配置完成后在进行KMS软件的安装。避免历史数据库配置,影响新的KMS软件使用。
2. 当使用达梦数据库时,如果服务器故障导致KMS无法使用需要卸载KMS软件,需要更换新的服务器时,请勿执行5.2 删除达梦数据库配置的步骤,安装KMS时请不要导入数据库初始化脚本,以防止运行初始化脚本后丢失原有数据。
支持
