- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath CCS8000 云服务器密码机
典型配置
|
Copyright© 2024 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
云服务器密码机是针对云计算环境的特殊需求设计开发的硬件产品,同时在上面搭载了软件系统实现了在一台物理密码机上,提供多台虚拟密码机,每台密码机均可为应用系统进行加解密操作、完整性校验、真随机数生成、密钥生成和管理等,最大限度发挥硬件资源性能,为云环境下的应用系统提供基于国产密码技术的信息安全服务。
云服务器密码机支持SM1/SM6、SM2、SM3、SM4国密算法,及DES、3DES、AES、RSA1024、RSA2048、SHA1、SHA256、SHA512等国际算法。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本节介绍了云服务器密码机配置网络相关组网说明。
云服务器密码机已上电。
测试机与云服务器密码机通过交换机达到网络互通。
云服务器密码机相关信息如下:
· 管理网口 IP 地址:192.168.0.1/24
· 默认管理员账号:admin
· 默认管理员密码:Admin123
客户端PC相关信息如下:
IP 地址:192.168.0.10/24
使用个人的PC,在【控制面板】的【网络和共享中心】中,点击【更改适配器设置】,配置【本地连接】,设置PC的IP地址192.168.0.10,子网掩码255.255.255.0,点击【确定】,IP地址已经配置好了,就可以访问系统用户界面。
PC使用网线连接GE0/0管理口,默认为第一个板载电口。
设备面板图:
(1) 打开web浏览器, 推荐使用Chrome浏览器(版本78.0.3904.108及以上)打开web管理界面, 输入管理地址,如下:http://192.168.0.1:8080/login.html(E6101P01及以上版本访问方式为https://ip/login.html) 打开后进入登录界面。
(2) 进入如图所示的网络设置页面,查看网口IP 地址信息概况进行配置。
选择网卡端口,输入IP和掩码,网关没有可以不输入。点击保存网络配置生效。
云服务器密码机组网配置成功后,客户端PC若为windows,则直接使用cmd窗口命令“ping ip地址”可以正常ping通即可正常使用云服务器密码机。可以通过浏览器访问web管理页面。
首次上架云服务器密码机需要完成初始化配置,配置包括管理工具安装,网络信息等。
云服务器密码机已上电,管理口连接管理PC。
(1) 首先,通过chrome(其他浏览器可以根据浏览器提示进行)浏览器登录云服务器密码机web配置管理页面https://192.168.0.1/:8080/login.html(E6101P01及以上版本访问方式为https://ip/login.html),弹出如下界面
(2) 当初次登录云服务器密码机时,没有任何管理员的添加,所以默认用户名:admin,密码:Admin123,点击登录,可以进入配置页面。可以正常通过浏览器访问云服务器密码机进行相关配置操作。
(3) 完成首次登录之后,可以用USB-KEY登录方式,点击USB-KEY登录之后,在用户和口令行下面,有客户端下载链接,点击客户端下载,下载“客户端”软件(此客户端软件为JS组件,配合USB KEY使用,并非管理工具客户端)。
(4) 然后安装Setup_V3.3.2_H3C .exe控件,以便支持用户管理。以管理员身份运行Setup_V3.3.2_H3C .exe,按照默认选项,选择下一步即可,直至安装完成。如图:
(5) 选择“下一步”。
(6) 选择“安装”。
(7) 若非初次安装,出现“证书已经存在,是否覆盖?(Yes/No)”提示时,选择是。
安装完成后,USB KEY相关服务已经启动,后续可以通过web进行用户管理等相关操作。
对云服务器密码机的网络配置,需要满足管理员权限。初次登录,系统未添加管理员,登录后权限默认为管理员权限。单击“部署模式”按钮:选择网卡,输入IP和掩码,没有网关可以不输入。
网关:网关只能选一个网卡进行设置,注意:多个网卡只能配置一个网关。
单击保存,网口配置完成(配置完成后请重启机器)。
(1) 配置云服务器密码机的用户角色。点击左侧菜单栏“系统设置->管理员账号”按钮,在配置终端USB口中插入USB Key并单击“用户添加”按钮,添加管理员角色USB Key。
(2) 用户口令默认为12345678,首次添加用户需要强制修改用户口令,按要求填写好新口令后,点击“添加用户”按钮,成功后会在“管理员账号”列表中显示已添加的管理员。
(3) 把添加的管理员 USB KEY做上标记,然后拔掉USB KEY。切换回“管理员账号->新增管理员”菜单界面,重新插入下一个USB KEY进行管理员添加,操作步骤与第一个相同。
云服务器密码机配置成功后,可以通过浏览器访问web管理页面。通过添加的USB KEY用户从首页登录,根据管理员、操作员、审计员角色不同,具有不同权限的菜单。从而进行后续的云服务器密码机的管理配置操作。
添加对应的宿主机,通过“虚拟设备->设备管理”进入虚拟机列表。用于进行虚拟设备管理。
完成云服务器密码机的初始化配置,并在虚拟设备设备管理中添加对应的宿主机IP和端口9888。
打开虚拟设备-设备管理菜单,进入设备管理界面。默认展示是已添加的主机,可以通过上方新增,删除按钮进行主机的操作。
新增:
名称:填入不重复的字符作为名称
IP:填入云服务器密码机的IP地址
端口:填入默认值9888
删除:可删除已添加的云服务器密码机
虚机实例:点击设备管理页面对应的云服务器密码机进入该主机下的虚拟机列表可以看到虚拟机名称、状态、VCPUs,内存大小,同时可以通过“执行”下的操作来控制虚拟机开启、关机、停止、删除。
虚机实例配置:
电源:启动/关闭 控制虚机开启和关闭。
网络:点击网络选项卡可以手动修改IP、掩码、网关信息。
网口绑定:点击切换虚拟机需要绑定的网卡。
设置:
CPU和内存:点击CPU和内存选项卡可以分配最大逻辑CPU,总内存。
同步密钥信息:同步密钥信息前需保证虚拟机状态开启, 点击导出按钮可导出加密文件,在另一台虚拟机处导入加密文件。
删除:删除该虚拟机。
添加对应的宿主机,通过“虚拟设备->设备管理”进入虚拟机列表,点击新增按钮添加虚拟机,分配虚拟机IP并启动虚拟机,进行虚拟机双机热备配置,配置主备完成后两台虚拟机任意一台宕机不影响虚拟IP对业务的访问(虚拟机的主备既可以是一台云服务器密码机的虚拟机起主备,也可以是两台云服务器密码机之间起主备,以下以两台宿主机举例)。
完成云服务器密码机的初始化配置,并在虚拟设备设备管理中添加对应的宿主机IP和端口9888。
(1) 打开设备管理菜单,进入设备管理界面。按如下参数添加宿主机
名称:填入不重复的字符作为名称
IP: 填入云加密机的IP地址或127.0.0.1
端口:填入默认值9888
(2) 点击添加完成的宿主机名称,跳转到虚拟机列表界面
(3) 点击新增按钮创建一台虚拟机
(4) 点击虚拟机名称处,进入虚拟机参数配置页面,切换到网络进行虚拟机网络配置,网络ip需要和宿主机管理IP保持在同一个网段才可以访问成功。
(5) 网络配置完成后,退出到虚拟机列表页,点击虚拟机启动按钮,等待2分钟左右,可以通过https://ip访问虚拟机web页面
(6) 另一台宿主机同样执行如上操作,配置创建出另一台虚拟机,进行虚拟机网络配置并启动
(7) 虚拟机Web登录界面输入默认账号密码先登录其中一台设备(如果是首次登录需要强制改密),登录后点击双机热备》热备设置,选择网口,点击“启动双机热备”,选择网络类型,输入服务IP(即虚拟IP),输入另一台设备IP,设置虚拟路由,点击“双机热备配置按钮”。
(8) 进入另一台设备的“双机热备-热备设置”,选择网口,点击“启动双机热备”,选择和第一台设备相同的网络类型,输入与第一台设备相同的服务IP(即虚拟IP),“输入另一台设备IP”的输入框内输入第一台设备的IP,设置和第一台一样的虚拟路由ID,点击“双机热备配置按钮”。
(9) 配置完成后,分别进入两台设备的“设备管理-服务器重启”菜单,先后重启设备(先重启的设备主机,后重启为从机)。
(10) 两台设备重启结束后访问https://ip/(其中ip为服务ip),查看到此设备状态为主机,主备配置结束。
一台宿主机可以创建多台虚拟机,每台虚拟机均可为应用系统提供加解密服务。虚拟机通过各种程序接口对其他应用提供服务,具体接口使用情况,请参考密码机接口使用文档。本文使用内部接口测试程序对服务调用进行举例,实际应用系统请根据实际需求进行调用即可。
虚拟设备管理中,已创建虚拟机,已分配虚拟机IP,执行虚拟机开机指令。
如下使用内部接口测试程序,对demo其中的一个接口 SDF_GenerateKeyPair_ECC(用于生成秘钥)进行测试。
在测试程序配置文件中填写创建分配好的虚拟机的ip
打开测试程序,执行测试程序demo其中的一个接口 SDF_GenerateKeyPair_ECC
接口调用成功返回如下信息,其他接口调用同理可以参照接口手册本流程进行测试。
使用虚拟机内部接口测试程序对虚拟机服务进行验证,使用方式见附件文档
支持
