- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath CS8000服务器密码机
典型配置
Copyright© 2022-2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录
随着信息产业的发展,基于计算机网络的分布式安全系统应用更加普遍,对数据通信安全和电子交易安全有了更高的要求。根据《国家商用密码管理条例》规定“商用密码的科研成果,由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定,密码算法必须采用国家密码管理局审批的硬件算法”,随着国家对信息安全的要求的提高,市场对高性能的国产服务器密码机产品需求迫切。
H3C服务器密码机严格按照国家服务器密码机相关设计规范设计,采用国家密码局审批的密码算法,随机数发生器采用国家密码局审批的WNG-9真随机数发生器,系统整体安全可靠,性能优异,设计合理。
服务器密码机是具有加解密、数字签名、身份认证等功能的密码服务器设备。对称算法主要有SM1、SM4、3DES、AES、DES等。非对称算法有RSA、SM2、SM9、ECP、DH、DSA。杂凑算法有SHA-1、SHA256、SHA512、SM3以及真随机数发生器等功能。产品可以应用于电子商务、电子政务、CA认证、网上银行等服务器端,提供高强度和高效率的密码算法。
本文档适用于服务器密码机E6101及以上版本。
本节介绍了服务器密码机配置网络相关组网说明。
服务器密码机已上电。
部署方式:旁路部署
客户端PC与服务器密码机、上层应用与服务器密码机之间通过交换机达到网络互通。
服务器密码机默认管理口GE0/0网口通过交换机与客户端pc保持网络正常通信。客户端pc通过服务器密码机的管理口ip地址登录web。配置管理口与服务口的ip。
组网图:
服务器密码机相关信息如下:
管理网口 IP 地址:192.168.0.1/24
默认管理员账号:admin
默认管理员密码:admin
客户端PC相关信息如下:
IP 地址:192.168.0.10/240
(1) 使用个人的PC,在【控制面板】的【网络和共享中心】中,点击【更改适配器设置】,配置【本地连接】,设置PC的IP地址192.168.0.10,子网掩码255.255.255.0,点击【确定】,IP地址已经配置好了,就可以访问系统用户界面。
(2) PC使用网线连接GE0/0管理口,默认为第一个板载电口。
设备面板图:
(3) 推荐使用Chrome浏览器打开web管理界面, 输入管理地址,如下:https://192.168.0.1/,进入登录界面。
(4) 进入如图所示的网络设置页面,查看网口IP 地址信息概况进行配置。
选择网卡端口,输入IP和掩码。每个网口可单独设置服务类型:“配置管理”用于web管理;“主服务”用于主服务调用。“兼容”模式即网口可同时提供web管理和主服务调用。“聚合”模式需要依次选择需要配置的网口,配置好IP选择聚合模式,单击修改按钮,单个网口聚合模式配置完成。循环操作配置其他需要聚合的网口,直到所有需要聚合的网口配置完成。最后重启服务器密码机,网络配置功能才能生效。修改IP地址后勾选“即时生效”后点击“修改”按钮,新IP无需重启即可生效,但使用旧ip访问该设备的客户端会无法访问。“即时生效”只针对当前模式下对IP地址的修改,若要修改服务类型仍需重启方可生效。不同网口不允许配置相同网段ip地址,不允许配置相同ip地址。
(5) 进入如图所示的路由配置页面,查看并配置路由信息。
选择网络类型和路由类型,若增加IPv4默认路由,只需输入“网关地址”即可,“目标网络”、“子网掩码”应为“0.0.0.0”,默认已经输入;若增加IPv6默认路由,只需输入“网关地址”即可,“目标网络”应为“::/0”,默认已经输入;若增加IPv4普通路由信息,需输入“目标网络”、“子网掩码”、“网关地址”;若增加IPv6普通路由信息,需输入“目标网络”、“网关地址”,点击“新增”即可添加路由信息,并且立即生效。选中需要删除的路由信息,然后点击“删除”按钮,即可删除当前路由信息,并且立即生效。
注意:网关地址必须为当前服务器密码机能访问到的IP地址,若当前网络不可达,会提示“路由信息错误,添加失败”。删除默认路由信息需谨慎,可能导致网络无法访问。
服务器密码机组网配置成功后,客户端PC若为windows,则直接使用cmd窗口命令“ping ip地址”可以正常ping通即可正常使用服务器密码机。可以通过浏览器访问web管理页面,通过API接口调通服务器密码机的密码服务。
首次上架服务器密码机需要完成初始化配置,配置包括管理工具安装,网络信息等。
服务器密码机已上电,管理口连接管理PC。
(1) 首先,通过chrome(其他浏览器可以根据浏览器提示进行)浏览器登录服务器密码机web配置管理页面https://192.168.0.1/,弹出如下界面
(2) 单击“高级”,选择“继续前往192.168.0.1(不安全)”,进入用户登录界面如下图所示:
(3) 当初次登录服务器密码机时,没有任何管理员的添加,所以默认用户名:admin,密码:admin,点击登录,可以进入配置页面。可以正常通过浏览器访问服务器密码机进行相关配置操作。首次使用服务器密码机时需要从web页面首页下载客户端软件。在用户和口令行下面,有客户端下载链接,点击客户端下载,下载“客户端”软件(此客户端软件为JS组件,配合USB KEY使用,并非管理工具客户端)。
(4) 然后安装Steup_V3.3.3.exe控件,以便支持用户管理。以管理员身份运行Steup_V3.3.3.exe,按照默认选项,选择下一步即可,直至安装完成。如图:
(5) 选择“下一步”。
(6) 选择“安装”。
若提示“证书已存在,是否覆盖”。点击“是”。完成安装后,USB KEY相关服务默认整合到系统服务中,并默认设置开机自启动服务,方便后续对USB KEY进行操作、管理以及相关密码服务的调用。
(7) 若非初次安装,出现“证书已经存在,是否覆盖?(Yes/No)”提示时,选择是。
(8) 完成
安装完成后,USB KEY相关服务已经启动,后续可以通过web进行用户管理等相关操作。
(1) 对密码机的网络配置,需要满足管理员权限。初次登录,系统未添加管理员,登录后权限默认为管理员权限。单击主菜单栏“服务配置”按钮,并单击“网络配置”按钮:选择网卡端口,输入IP和掩码。每个网口可单独设置服务类型:默认为兼容模式。 “配置管理”选择该项配置,则该网口只支持对服务器密码机管理的功能;“主服务”选择该项配置,则该网口只支持接口调用密码服务。“兼容”选择该项配置,该网口可支持管理功能和接口服务调用功能。“聚合”模式需要依次选择需要配置的网口,配置好IP选择聚合模式,单击修改,然后循环此操作,直到所有需要聚合的网口配置完成即可。
(2) 网络配置修改IP地址后,若勾选“即时生效”再点击“修改”按钮,新IP无需重启即可生效,但使用旧ip访问该设备的客户端会无法访问;若不勾选“即时生效”则需要重启服务器密码机后才能生效。点击“设备管理菜单”,选择左侧菜单栏“服务器管理”菜单,点击“设备重启”会提示设备开始重启。
(3) 对服务器密码机的路由配置需要管理员权限。单击主菜单栏“服务配置”按钮,并单击“路由配置”按钮:选择网络类型和路由类型。若增加IPv4默认路由,只需输入“网关地址”即可,“目标网络”、“子网掩码”应为“0.0.0.0”,默认已经输入;若增加IPv6默认路由,只需输入“网关地址”即可,“目标网络”应为“::/0”,默认已经输入;若增加IPv4普通路由信息,需输入“目标网络”、“子网掩码”、“网关地址”;若增加IPv6普通路由信息,需输入“目标网络”、“网关地址”,点击“新增”即可添加路由信息,并且立即生效。选中需要删除的路由信息,然后点击“删除”按钮,即可删除当前路由信息,并且立即生效。注意:网关地址必须为当前服务器密码机能访问到的IP地址,若当前网络不可达,会提示“路由信息错误,添加失败”。删除默认路由信息需谨慎,可能导致网络无法访问。
(1) 配置服务器密码机的用户角色。点击左侧菜单栏“权限管理”按钮,在配置终端USB口中插入USB Key并单击“用户添加”按钮,添加管理员角色USB Key。
(2) 用户口令默认为12345678,首次添加用户需要强制修改用户口令,按要求填写好新口令后,点击“添加用户”按钮,成功后会在“用户管理”中显示已添加的管理员。输入修改后的新口令,再单击“登录”按钮,如图所示。
(3) 把添加的管理员USBKEY做上标记,然后拔掉USB KEY。切换回“用户添加”菜单界面,重新插入下一个USB KEY进行管理员添加,操作步骤与第一个相同。依次添加并登录两个管理员后,在继续操作分别添加2个操作员和2个审计员角色,添加方法与添加管理员相同。
添加用户USB KEY后,默认用户admin将无法再使用。
服务器密码机配置成功后,可以通过浏览器访问web管理页面。通过添加的USB KEY用户从首页登录,根据管理员、操作员、审计员角色不同,具有不同权限的菜单。从而进行后续的服务器密码机的管理配置操作。
服务器密码机与应用系统不属于同一个网络时,需要在服务器密码机上进行相应的配置保证网络互通。
完成服务器密码机的初始化配置。
对服务器密码机的路由配置,需要满足管理员权限。单击左侧菜单栏“服务配置”按钮,并单击“路由配置”按钮,选择网络类型和路由类型,若增加IPv4路由信息,需输入“目标网络”、“子网掩码”、“网关地址”;若增加IPv6路由信息,需输入“目标网络”、“网关地址”;若增加IPv4默认路由,只需输入“网关地址”即可,“目标网络”、“子网掩码”应为“0.0.0.0”,默认已经输入;若增加IPv6默认路由,只需输入“网关地址”即可,“目标网络”应为“::/0”,默认已经输入,点击“新增”即可添加路由信息,并且立即生效。选中需要删除的路由信息,然后点击“删除”按钮,即可删除当前路由信息,并且立即生效。注意:网关地址必须为当前服务器密码机能访问到的IP地址,若当前网络不可达,会提示“路由信息错误,添加失败”。删除默认路由信息需谨慎,可能导致网络无法访问。
服务器密码机网络配置成功后,可以ping通服务器密码机设备。可以通过浏览器访问web管理页面,可以通过API接口调通服务器密码机的密码服务。
为了保证服务器密码机的高可用性,在实际使用过程中,需要2台服务器密码机组成双机热备,共同为应用服务器提供密码服务。
准备2台服务器密码机,完成服务器密码机的初始化配置。
(1) 单击主菜单栏“双机热备”按钮,并单击“热备设置”按钮:
(2) 准备工作:局域网内准备两台服务器密码机设备A和B,和一个空闲的IP地址。
(3) 在服务器密码机A的双机热备配置界面,选择双机热备配置的网口端口和“启动双机热备”按钮选项,在“网络类型”栏选择“IPv4”或者“IPv6”,在“输入服务IP”输入框中填写空闲的IP地址,然后在“输入另一台设备IP”输入框中填写服务器密码机B的IP地址,并填写虚拟路由,范围为1~255。全部填写完毕后,点击“双机热备配置”按钮,弹框提示“双机热备配置成功,重启生效!”进入“设备管理菜单”,选择“服务器重启”菜单中的“设备重启”按钮,点击后,等待密码机重启完毕。服务器密码机A的双机热备功能配置完成。
(4) 服务器密码机B也进行类似的配置,服务IP和虚拟路由填写与服务器密码机A配置的内容保持一致。配置成功后,重启服务器密码机B,提示“当前设备是从机,请勿操作!”,点击“确定”后可以从双机热备配置界面查看双机热备配置状态。
(5) 由服务器密码机A和B的配置后的双机热备状态可知,开启双机热备功能后,访问服务IP,对应访问的先启动的服务器密码机A,此时服务器密码机A为主机模式,后启动的服务器密码机B为从机模式。B作为从机会自动同步主机A的密钥数据、用户、白名单、审计日志、私钥权限码、KeyStore信息、syslog服务器ip地址值和上报周期、NTP服务器ip地址和同步周期、snmp团体名信息。当主机A因为故障或其他原因异常关机,从机B会自动切换为主机状态,此时服务器密码机A检修正常后,接入网络,则热备状态自动切换为从机状态。
1) 虚拟路由ID,如果加密机A和B共同完成双机热备,那么两台加密机配置的虚拟路由ID应该一致,如果同一网络中,有多个主备组,那么他们的虚拟路由ID不能重复。
2) 服务设备IP为服务器密码机A和服务器密码机B所在的局域网内,没有使用的第三方IP。即服务器密码机A、服务器密码机B、服务设备这三个IP地址必须在同一个网段中。
3) 网络类型选择IPv6时,输入服务IP地址必须带掩码,输入形如“2001:6e54:fede:c2ff::1234/64”,输入另一台设备IP地址不需要加掩码。
4) 配置双机热备时,需要先将服务器密码机A的双机热备配置重启成功,状态切换为主机后,再配置服务器密码机B的双机热备,重启服务器密码机B,不要同时配置后重启。
5) 配置双机热备后,主机的syslog服务器ip地址值和上报周期、NTP服务器ip地址和同步周期、snmp团体名数据会同步给从机,但是syslog和snmp服务的服务状态等配置不会同步。
双机热备配置成功后,可以通过服务IP正常访问服务器密码机主机web管理和密码服务。从机会自动同步主机密钥和相关数据信息。此时重启服务器密码机主机设备,从机会自动切换为主机状态,重启后的服务器密码机自动切换为从机状态。
在应用系统使用服务器密码机过程中,可以进行RSA密钥操作配置。从而保证服务接口可以正常使用内部RSA密钥进行加密解密、签名验签等算法类接口服务。
完成服务器密码机的初始化配置。
(1) 单击左侧菜单栏“密钥管理”按钮,进入“RSA密钥”页面如图。输入密钥号并选择模长,可进行RSA密钥的生成操作。其中删除密钥操作时,只需填写密钥号即可,模长为非必选项,删除时若密钥不存在则默认删除成功。
(2) 单击左侧菜单栏“密钥管理”按钮,进入“RSA密钥批量”界面如图。根据输入框提示,填写开始密钥号和终止密钥号,选择对应的模长后,可进行RSA密钥的批量生成操作。若需要批量删除RSA密钥操作,只需要填写“开始密钥号”和“终止密钥号”即可,模长为非必选项。
单击左侧菜单栏“密钥信息”按钮,进入密钥信息查看页面,查看指定索引处RSA密钥信息。当密钥存在时,显示对应的RSA密钥模长,如[1024];当RSA密钥不存在时,显示为[****]。
在应用系统使用服务器密码机过程中,可以进行SM2密钥操作配置。从而保证服务接口可以正常使用内部SM2密钥进行加密解密、签名验签等算法类接口服务。
完成服务器密码机的初始化配置。
(1) 单击左侧菜单栏“密钥管理”按钮,进入“SM2密钥”页面如图。输入密钥号可进行SM2密钥的生成与删除操作。
(2) 单击左侧菜单栏“密钥管理”按钮,进入“SM2密钥批量”界面如图。根据输入框提示,输入开始密钥号和终止密钥号范围可进行SM2密钥的批量生成与删除。
单击左侧菜单栏“密钥信息”按钮,进入密钥信息查看页面,查看指定索引处SM2密钥信息。当密钥存在时,显示对应的SM2密钥模长,如[256];当SM2密钥不存在时,显示为[***]。
在应用系统使用服务器密码机过程中,可以进行SM9主密钥、用户密钥操作配置。从而保证服务接口可以正常使用进行加密解密、签名验签等算法类接口服务。
完成服务器密码机的初始化配置。
(1) 单击左侧菜单栏“密钥管理”按钮,进入“SM9主密钥”页面如图。在密钥号输入框中输入指定密钥号,密钥类型可以选择“加密密钥”或“签名密钥”,即可进行SM9主密钥的生成和删除处理。
(1) 单击左侧菜单栏“密钥管理”菜单,进入“SM9用户密钥”管理页面。在“主密钥号”输入框中输入指定主密钥号;在“用户密钥号”输入框中输入指定的用户密钥号;在“用户ID”输入框手动输入用户ID;然后选择“加密密钥”或“签名密钥”等密钥类型,即可进行生成SM9用户密钥的操作。当删除SM9用户密钥时,只需要填写用户密钥号和选择密钥类型即可进行删除操作。
(1) 单击左侧菜单栏“密钥信息”按钮,进入SM9主密钥信息查看页面,查看SM9主密钥信息。当密钥存在时,显示对应的SM9密钥模长,如[256];当SM9密钥不存在时,显示为[***]。界面会显示SM9签名或者验签的密钥信息。
(2) 单击左侧菜单栏“密钥信息”按钮,进入SM9用户密钥信息查看页面,查看SM9用户密钥信息,当密钥存在时,显示对应的SM9密钥模长,如[256];当SM9密钥不存在时,显示为[***]。E为加密密钥,S为签名密钥。
在应用系统使用服务器密码机过程中,可以进行对称密钥操作配置。从而保证服务接口可以正常使用内部对称密钥进行加密解密等算法类接口服务。
完成服务器密码机的初始化配置。
(1) 单击左侧菜单栏“密钥管理”按钮,进入“对称密钥”页面如图。在密钥号输入框中输入指定密钥号,密钥长度可选择8、16、24、32,单击“生成密钥”按钮,完成对称密钥的生成;在密钥号输入框中输入指定密钥号,单击“删除密钥”按钮,完成对称密钥的删除,对称密钥删除时,仅与密钥号有关,不需要选择对应的密钥长度。
(2) 单击左侧菜单栏“密钥管理”按钮,进入“对称密钥批量”界面如图。根据输入框提示,输入开始密钥号和终止密钥号范围,并选择密钥长度,可进行对称密钥的批量生成操作。批量删除对称密钥时,只需要填写开始密钥号和终止密钥号即可。
单击左侧菜单栏“密钥信息”按钮,进入密钥信息查看页面,查看指定索引处对称密钥信息。当密钥存在时,显示对应的对称密钥模长,如[32];当对称密钥不存在时,显示为[**]。
在应用系统使用服务器密码机过程中,可以进行DSA密钥操作配置。从而保证服务接口可以正常使用进行加密、解密等算法类接口服务。
完成服务器密码机的初始化配置。
单击左侧菜单栏“密钥信息”按钮,进入密钥信息查看页面,查看指定索引处DSA密钥信息。当密钥存在时,显示对应的DSA密钥模长,如[1024];当DSA密钥不存在时,显示为[***]。界面会显示DSA密钥信息。
在应用系统使用服务器密码机过程中,可以进行DH密钥操作配置。从而保证服务接口可以正常使用进行交换密钥等算法类接口服务。
完成服务器密码机的初始化配置。
单击左侧菜单栏“密钥信息”按钮,进入密钥信息查看页面,查看指定索引处DH密钥信息。当密钥存在时,显示对应的DH密钥模长,如[2048];当DH密钥不存在时,显示为[***]。界面会显示DH密钥信息。
在应用系统使用服务器密码机过程中,可以进行ECP密钥操作配置。从而保证服务接口可以正常使用进行加密、解密等算法类接口服务。
完成服务器密码机的初始化配置。
单击左侧菜单栏“密钥信息”按钮,进入密钥信息查看页面,查看指定索引处ECP密钥信息。当密钥存在时,显示对应的ECP密钥模长,如[secp224r1];当ECP密钥不存在时,显示为[***]。界面会显示ECP密钥信息。
在应用系统使用服务器密码机过程中,若使用0018规范接口,需要设置私钥权限码。然后才能在调用0018接口使用内部非对称密钥的私钥进行密码运算时,才能正常获取私钥权限,进行算法操作。
完成服务器密码机的初始化配置。
(1) 点击左侧菜单栏“国标密钥管理”菜单下的“私钥权限码管理”菜单,进入私钥权限码管理界面。如果该密钥号位处是第一次设置私钥权限码,则“私钥权限码操作”选择“设置私钥权限码”。然后填写需要设置的国标密钥号,分别填写新私钥权限码和确认再次填写新私钥权限码。根据私钥权限操作选择“设置私钥权限码”,则点击按钮“设置私钥权限码”,即可设置成功。
(2) 若该密钥号位处已经设置过私钥权限码,则此时选择“修改私钥权限码”私钥权限操作选择“修改私钥权限码”。此时,需要依次填写国标密钥号,原私钥权限码内容,新私钥权限码内容,再次确认新私钥权限码内容。此时按钮“修改私钥权限码”会由灰色变为可操作状态,完成后,点击按钮“修改私钥权限码”,设置成功。
点击左侧菜单栏“国标密钥管理”菜单下的“查看私钥权限码”菜单,进入“私钥权限码信息”界面。可以在此界面看到已经设置好的私钥权限码信息内容,并且可以进行删除操作。
在应用系统使用服务器密码机过程中,调用0018规范接口时,需要提前在管理页面提前生成RSA密钥。然后应用系统即可正常调用0018接口时使用指定密钥索引处的不同密钥类型进行加密解密、签名验签操作。
完成服务器密码机的初始化配置。
单击左侧菜单栏“国标密钥管理”按钮,并单击“国标RSA密钥管理”按钮。填写对应的RSA的国标密钥号,然后选择需要的模长“1024”、“2048”、“3072”、“4096”,然后选择密钥类型是“加密密钥”还是“签名密钥”。即可进行生成和删除国标RSA密钥操作。然后可以在对应的“国标密钥信息”菜单中的“国标RSA密钥”中可以查看到刚刚操作的密钥信息。
单击左侧菜单栏“国标密钥信息”按钮,选择“国标RSA密钥”菜单,可以查看指定密钥索引处的密钥信息。当此密钥索引处RSA密钥存在时,显示该RSA密钥的实际模长,如[2048];当RSA密钥不存在时,则显示为[****]。
在应用系统使用服务器密码机过程中,调用0018规范接口时,需要提前在管理页面提前生成SM2密钥。然后应用系统即可正常调用0018接口时使用指定密钥索引处的不同密钥类型进行加密解密、签名验签操作。
完成服务器密码机的初始化配置。
选择“国标SM2密钥管理”按钮,进入国标SM2密钥菜单管理界面。然后填写对应的SM2国标密钥号,选择密钥类型是“加密密钥”还是“签名密钥”。即可进行生成和删除国标SM2密钥操作。然后可以在对应的“国标密钥信息”菜单中的“国标SM2密钥”中可以查看到刚刚操作的密钥信息。
单击左侧菜单栏“国标密钥信息”按钮,选择“国标SM2密钥”菜单,可以查看指定密钥索引处的密钥信息。当此密钥索引处SM2密钥存在时,显示该SM2密钥的实际模长,如[256];当SM2密钥不存在时,则显示为[***]。
在应用系统使用服务器密码机的过程中,需要定期进行密钥备份操作。当有项目需要时,可以在其他的服务器密码机上恢复此服务器密码机的密钥数据,保证不同服务器密码机的密钥一致性。或者当设备维修后,可以恢复密钥数据,保证上层业务正常使用服务器密码机。
完成服务器密码机的初始化配置。
(1) 单击左侧菜单栏“密钥管理”按钮,并单击“密钥备份”按钮,如图。
(2) 密钥备份遵循三五门限规则,需要用到5个USB KEY。点击“开始备份”按钮,弹框提示“确定开始进行备份吗”,点击确定后,跳转进入“密钥备份”管理页面。如图:
(3) 在配置终端插入USB KEY,点击“刷新”按钮,选择一个USB KEY序列号,输入USB KEY口令,单击“保存密钥”。提示“成功”后插入下一个管理员USB KEY,重复此前操作。5个USB KEY密钥保存完成后,“备份”按钮由灰色变为可操作状态,如图。然后单击“备份”按钮,等待备份完成。
(4) 单击左侧菜单栏“密钥管理”按钮,并单击“密钥恢复”按钮,如图:
(5) 选择好备份文件,从备份的五个USEB KEY中任意选取三个即可完成恢复密钥的操作。在配置终端插入任意一个管理员USB KEY,点击“刷新”按钮,选择对应的USB KEY序列号,输入USB KEY口令,单击“取得密钥”按钮,提示成功后,插入下一个USB KEY,重复操作。获取3个密钥片段后,备份文件版本选择和备份文件对应的备份文件版本,单击“恢复”按钮,如图。
(6) 单击“恢复”进入恢复界面如图。
(7) 恢复完成,提示“密钥恢复成功,重启服务器密码机后生效!”。最后点击“服务器重启”菜单,点击“设备重启”按钮,重启服务器密码机,重启成功后,备份恢复操作配置完成。
将服务器密码机A的密钥备份后,将备份文件在服务器密码机B设备上恢复,恢复成功后。可以通过服务器密码机A的指定密钥号进行加密操作,然后将密文用服务器密码机B同一密钥索引进行解密操作。加解密验证成功,说明备份恢复成功。
在应用系统使用服务器密码机的过程中,若使用加密机提供的算法类接口服务,需要输入连接口令参数。
完成服务器密码机的初始化配置。
(1) 单击左侧“服务配置”菜单,并单击“连接口令配置”按钮,可修改服务器密码机连接口令。在原口令框中输入服务器密码机原连接口令,默认为“12345678”,新口令框中输入新口令,确认新口令框中再输一次新口令。单击“修改”按钮完成连接口令修改,如图。
可配合使用“GMT0018接口测试工具”验证,将“SDFDevice.conf”配置文件中的“pass=12345678”修改为新口令,调用接口验证。
在使用服务器密码机的过程中,相关操作会记录审计日志。
完成服务器密码机的初始化配置。
(1) 单击左侧“日志管理”菜单,并单击“审计日志”按钮,可进行审计日志相关操作。进行审计日志查询时,选择开始时间和结束时间后,单击“查询”按钮如图。
(1) 单击左侧“日志管理”菜单,并单击“审计日志”按钮,可进行审计日志相关操作。查询到审计日志后,勾选需要删除的审计日志,点击“删除审计日志”按钮,会提示“确定删除?”,若点击“确定”会删除选中的审计日志,如图。
(1) 单击左侧“日志管理”菜单,并单击“审计日志”按钮,可进行审计日志相关操作。点击“删除全部审计”按钮,会提示“该操作会删除所有审计日志,确定执行?”,若点击“确定”则会删除全部审计日志。如图。
(1) 单击左侧“日志管理”菜单,并单击“审计日志”按钮,可进行审计日志相关操作。若不选择“开始时间”和“结束时间”,点击“导出审计日志”默认下载所有审计日志;若选择“开始时间”和“结束时间”,点击“导出审计日志”则会下载选择的时间段的审计日志。下载的文件名为“CheckLog .csv”,保存位置为浏览器下载文件设置的默认位置,如图。
(1) 审计日志查询:选择开始时间和结束时间后,单击“查询”按钮查询到的审计日志信息与实际操作相符。
(2) 删除审计日志:勾选需要删除的审计日志,点击“删除审计日志”按钮,若点击“确定”后会删除选中的审计日志,点击“取消”则不会删除。
(3) 删除全部审计日志:点击“删除全部审计”按钮,若点击“确定”则会删除全部审计日志,点击“取消”则不会删除
(4) 导出审计日志:若不选择“开始时间”和“结束时间”,点击“导出审计日志”能够下载所有审计日志;若选择“开始时间”和“结束时间”,点击“导出审计日志”下载选择的时间段的审计日志。下载的“CheckLog .csv”文件内容正确。
在应用系统使用服务器密码机的过程中,若使用加密机提供的算法类接口服务,需要使用服务器密码机的SDK,在web界面提供下载链接。
完成服务器密码机的初始化配置。
(1) 登录进入主界面,在界面右上角点击“SDK下载”链接,即可下载sdk_v1.0.zip压缩包,解压后文件夹中包含C与JAVA的API库以及配置文件。
(2) 解压后文件夹中提供了C 和JAVA两种语言的库以及配置文件。C API库中提供了三种环境的API库文件:CentOS7环境下编译的libcdfapiv100.so库文件,使用时将API库放置到需要引用的项目目录下,同时需要将配置文件CDFDevice.conf放在系统目录中的/etc/目录下面;windows 32位环境下编译的cdfapiv100.dll动态库和cdfapiv100.lib静态库,使用时将CDFDevice.conf放置系统路径C:\Windows\SysWOW64\下,库文件放置到系统路径C:\Windows\SysWOW64\下或工程指定加载库的路径;windows 64位环境下编译的cdfapiv100.dll动态库和cdfapiv100.lib静态库,使用时将CDFDevice.conf放置系统路径C:\Windows\System32\下,cdfapiv100.dll放置到系统路径C:\Windows\System32\下或工程指定加载库的路径。具体配置内容可参考《H3C SecPath CS8000服务器密码机C API文档.docx》
(3) JAVA API库为JMJ_API.jar,将配置文件CDFDevice.conf和一个jar包JMJ_API.jar放在项目的根目录下面。具体配置内容可参考《H3C SecPath CS8000服务器密码机JAVA API文档.docx》
(1) 按照配置步骤放置好库文件以及配置文件,使用对应的测试程序验证。
服务器密码机基于HTTPS协议提供Restful API,默认端口号为443。为保证API调用过程中的安全可靠,服务器密码机提供了安全接入鉴权方式:登录鉴权方式。使用安全接入鉴权方式调用API时,需要先进行登录请求,验证通过后,后续才能继续使用其他接口请求,具体可参照《H3C SecPath CS8000服务器密码机Restful接口文档》。
完成服务器密码机的初始化配置。
(1) 确保客户端测试机与服务器密码机网络正常并且服务器密码机443端口可用,客户端先调用https://{serverip:port}/restLogin用户登录接口,登录鉴权成功则返回token值。将token值放在之后的接口请求Headers中使用。
可使用提供的“Restful接口测试H3C.postman_collection.json”postman测试程序验证restful接口。
为符合密评要求,服务器密码机admin用户登录失败增加禁用时长。
完成服务器密码机的初始化配置。
(1) 使用Chrome浏览器打开web管理界面, 输入管理地址,如下:https://192.168.0.1,进入登录界面,如图。
(2) 输入admin账户密码,若输入正确则进入功能菜单,如图。
(3) 输入admin账户密码,若输入错误会提示“口令错误!”,若连续输入错误密码登录失败五次则admin账户禁用一分钟,提示账号冻结剩余时间,连续十次登录失败账户禁用五分钟,之后每连续失败五次账户都禁用五分钟;当登录成功后,之后若连续登录失败五次仍是禁用一分钟,十次登录失败账户禁止五分钟,之后每失败五次账户都禁止五分钟,如图。
输入admin账户密码,若密码正确则进入功能菜单;若错误则能够提示“口令错误”,连续输入错误口令能按照规则冻结账户,提示冻结剩余时间。
在应用系统使用服务器密码机的过程中,若使用加密机提供的算法类接口服务,在服务器密码机中会产生相应的调试日志,为方便现场运维,提供系统维护菜单。
完成服务器密码机的初始化配置。
(1) 单击左侧菜单栏“系统维护”菜单,并单击“调试日志”按钮。默认日志等级为ERROR,服务器密码机主服务报错时打印日志,日志文件大小默认2M,单击“设定等级”按钮可以修改日志等级和日志大小。设置为临时且立即生效,服务器密码机重启之后恢复默认设置状态。
(2) 单击“清除日志”,提示“确认清楚?”,选择“确定”将删除日志文件,点击“取消”则不会删除。
(3) 单击“下载日志”可以将日志文件Server.log下载到本地,保存位置为浏览器默认保存位置。
(1) 选择“日志等级”和“日志大小”设定等级后,再调用密码服务接口,下载日志文件中的日志等级以及日志文件最大大小与设置的一致。
(2) 清除日志之后下载日志会提示“文件下载错误,或者文件不存在”,说明日志文件已清除。
支持
