- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath CCS8000-CN云服务器密码机
典型配置
|
Copyright© 2023-2025 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
云服务器密码机是针对云计算环境的特殊需求设计开发的硬件产品,同时在上面搭载了软件系统实现了在一台物理宿主机上,提供多台加密机、签名验签、时间戳类型的虚拟机服务器,每台虚拟机均可为应用系统进行加解密操作、完整性校验、真随机数生成、密钥生成和管理等,最大限度发挥硬件资源性能,为云环境下的应用系统提供基于国产密码技术的信息安全服务。
云服务器密码机支持SM1、SM2、SM3、SM4、SM9国密算法,以及DES、3DES、AES、RSA1024、RSA2048、RSA3072、RSA4096、SHA1、SHA224、SHA384、SHA256、SHA512、DSA、DH、ECP等国际算法。
图1 系统结构图
图2 工作流程图
本节介绍了云服务器密码机配置网络相关组网说明。
云服务器密码机已上电。
测试机与云服务器密码机通过交换机达到网络互通。
图3 组网说明
云服务器密码机相关信息如下:
· 管理网口 IP 地址:192.168.0.1/24。
· 默认管理员账号:admin。
· 默认管理员密码:Admin123。
客户端PC相关信息如下:
IP 地址:192.168.0.10/24。
使用个人的PC,在【控制面板】的【网络和共享中心】中,点击【更改适配器设置】,配置【本地连接】,设置PC的IP地址192.168.0.10,子网掩码255.255.255.0,点击【确定】,IP地址已经配置好了,就可以访问系统用户界面。
图4 网络配置
(2) PC使用网线连接GE0/0管理口,默认为第一个板载电口。
设备面板图:
图5 设备面板图
(3) 打开web浏览器, 推荐使用浏览器打开web管理界面, 输入管理地址,如下:https://192.168.0.1/login.html 打开后进入登录界面。
图6 登录页面
(4) 在系统设置-部署模式-物理网口设置页面,查看网口IP 地址信息概况进行配置。
图7 物理网口配置
选择网卡端口,输入IP和掩码,网关没有可以不输入。点击保存网络配置生效。
注意:
· 多个网口只能配置一个网关。
· 网关一定要设置为可以连通的,否则会导致项目IP不通。
· 多个网口不能配置同一网段的IP。
· 多个网口不能配置与聚合口同网段的IP。
· 已配置网口聚合的网口,需要在网口聚合页面进行配置,不再提供单独的配置。
云服务器密码机组网配置成功后,客户端PC若为windows,则直接使用cmd窗口命令“ping ip地址”可以正常ping通即可正常使用云服务器密码机。可以通过浏览器访问web管理页面。
首次上架云服务器密码机需要完成初始化配置,配置包括管理工具安装,网络信息等。
云服务器密码机已上电,管理口连接管理PC。
(1) 首先,通过chrome(其他浏览器可以根据浏览器提示进行)浏览器登录云服务器密码机web配置管理页面https://192.168.0.1//login.html,弹出如下界面:
图8 登录页面
(2) 当初次登录云服务器密码机时,没有任何管理员的添加,所以默认用户名:admin,密码:Admin123,点击登录,可以进入配置页面(用户首次登录会强制改密)。可以正常通过浏览器访问云服务器密码机进行相关配置操作。
(3) 完成首次登录之后,可以用USB-Key登录方式,在用户和密码行下面,有客户端下载链接,点击客户端下载,下载“客户端”软件(此客户端软件为JS组件,配合USB Key使用,并非管理工具客户端)。
图9 账号登录
(4) 然后安装setup.exe控件,以便支持用户管理。以管理员身份运行Setup_X.X.X.exe,按照默认选项,选择下一步即可,直至安装完成。如图:
图10 安装准备
(5) 若之前安装过其他版本选择第一项,选择“下一步”。
图11 已安装旧版本
(6) 安装中。
图12 安装中
(7) 若非初次安装,出现“证书已经存在,是否覆盖?(Yes/No)”提示时,选择是。
图13 覆盖安装
(8) 安装完成。
图14 安装完成
安装完成后,USB Key的相关服务已经启动,后续可以通过web进行用户管理等相关操作。
对云服务器密码机的网络配置,需要满足管理员权限。初次登录,系统未添加管理员,登录后权限默认为管理员权限。单击“系统设置-部署模式-物理网口”选项卡:选择网卡,输入IPv4/IPv6和掩码,没有网关可以不输入。
网关:多个网口只能设置一个网关,不允许设置多个网关。
单击保存,网口配置完成。
图15 物理网口
在系统设置-部署模式-网口聚合标签页下,选中两个及以上的网口名,点击“新增”,在弹出的对话框中输入网口聚合的参数。
图16 网口聚合
网口聚合默认支持三种聚合模式,分别是平衡轮询(balance-rr)、活动备份(active-backup)、链路聚合(802.3ad)。
聚合模式对端交换机配置说明:
平衡轮询balance-rr (Round-Robin):
描述:
此模式将数据包在所有链路之间循环分配,提供负载均衡和冗余。无需使用链路聚合协议。
交换机配置:
(1) 确保交换机启用了端口聚合功能,将多个接口视为一个逻辑链路。
(2) 配置端口聚合组,将参与的物理端口加入聚合组中。
(3) 确保所有链路的速度和双工模式一致。
活动备份active-backup:
描述:
此模式下,只有一个接口是活动的,其余接口处于备用状态,当活动接口失效时,备用接口接管。此模式不需要链路聚合协议支持。
交换机配置:
(1) 无需配置交换机上的任何链路聚合功能。
(2) 确保所有参与的物理端口可以正常通信,并且网口的状态一致。
链路聚合802.3ad (LACP, Link Aggregation Control Protocol):
描述:
LACP模式使用链路聚合协议动态管理链路的聚合,实现负载均衡和冗余。交换机与主机的端口需成对配置,形成逻辑链路。
交换机配置:
(1) 启用并配置LACP协议,创建链路聚合组。
(2) 将所有参与的物理端口添加到LACP聚合组中。
(3) 确保链路的速度和双工模式一致,所有端口状态正常。
验证交换机端口和服务器端口的LACP配置匹配。
(1) 配置云服务器密码机的用户角色。点击左侧菜单栏“系统设置->管理员账号”按钮,在对应角色下选择新增用户。登录方式选择USB-KEY登录,USB-KEY处选择对应的USB Key序列号,然后输入密码,点击保存。
图17 添加USB Key用户
图18 保存添加的用户
(2) USB Key口令默认为12345678,首次添加用户需要强制修改用户口令,按要求填写好新口令后,点击“添加用户”按钮,成功后会在“管理员账号”列表中显示已添加的管理员。
(3) 把添加的管理员USB Key做上标记,然后拔掉USB Key。切换回“管理员账号->新增管理员”菜单界面,重新插入下一个USB Key进行管理员添加,操作步骤与第一步相同。
云服务器密码机配置成功后,可以通过浏览器访问web管理页面。通过添加的USB Key用户从首页登录,根据管理员、操作员、审计员角色不同,具有不同权限的菜单。从而进行后续的云服务器密码机的管理配置操作。
添加对应的宿主机,通过“虚拟设备->设备管理”进入虚拟机列表。用于进行虚拟设备管理。
完成云服务器密码机的初始化配置。
打开虚拟设备-设备管理菜单,进入设备管理界面。默认展示是已添加的主机,可以通过上方新增,删除按钮进行主机的操作。
新增:
· 名称:填入不重复的字符作为名称。
· IP:填入云服务器密码机的IP地址。
· 端口:填入默认值9888。
· 域名: 填入域名。(例如: www.example.com)
· 位置: 填入服务器所在的机房位置信息。(根据实际情况填入,不做限制)
图19 新增宿主机
图20 宿主机列表
删除:
可删除已添加的宿主机。
虚拟机实例:
点击设备管理页面对应的宿主机名称,进入该宿主机下的虚拟机列表可以看到虚拟机名称、存储池、网桥池、VLAN池、接口、概览、虚拟化检测、密码资源信息,同时可以通过“执行”下的操作来控制虚拟机开启、关机、停止、删除。
图21 虚拟机列表
虚拟机实例配置:
在虚拟机列表,点击虚拟机的名称进入虚拟机实例配置页面
电源:
启动/关闭按钮,控制虚拟机开启和关闭。
图22 电源
网络:
点击网络选项卡可以手动修改IPv4和IPv6的ip地址、掩码、网关信息。
注意:
开启双机热备后,网络配置将不在这里修改配置,需要事先在主宿主机或服务IP上,先将需要修改网络配置的虚拟机进行关机,然后点击虚拟机管理列表中的“双机配置”按钮,修改双机配置的网络。
图23 虚拟机网络配置
网口绑定:
选择对应的网口,可变更此虚拟机的网口绑定。
图24 网口绑定
设置:
CPU和内存:点击CPU和内存选项卡可以分配最大逻辑CPU,总内存,以及cpu和内存、磁盘使用率展示。
图25 虚拟机cpu及内存设置及使用率展示
同步密钥信息:
同步密钥信息前需保证虚拟机状态开启, 点击导出按钮可导出加密文件,在另一台虚拟机处导入加密文件。
图26 同步密钥信息
注意:
同步密钥信息只有虚拟加密机服务器支持,虚拟签名验签和时间戳服务器没有同步密钥标签页。
升级:
在宿主机端,单虚拟机配置页面,升级标签页中,可上传对应虚拟机类型的升级包对虚拟机进行升级操作,软件版本处,展示此虚拟机正在使用的系统版本。
注意:
升级前需将虚拟机进行关机。
图27 升级
删除:
删除该虚拟机。
图28 删除虚拟机
在系统设置-设备管理中可以看到新创建的宿主机名称以及其他参数信息,点击宿主机名称,进入虚拟机列表可以看到创建的多台虚拟机实例,点击其中一台虚拟机名称,即可进入该虚拟机实例的配置页面,将会查看到虚拟机的电源、网络、设置、升级、同步密钥信息、删除等信息以及配置项。
· 在系统设置-双机热备,配置双机热备,对外提供一个服务ip,一台实体主机,一台实体备机,当主机发生故障不能访问时,备机自动切换为主机,实现切换。
· 在主机和备机之间实现虚拟机创建及配置同步。
· 在配置云服务器密码机双机热备之前,在主机和备机端,虚拟设备-设备管理,点击宿主机名称,进入虚拟机列表,确保主备机上已经创建的虚拟机数量和类型保持一致。
· 在主机和备机的系统设置-部署模式,物理网口和网口聚合中,检查主备机的IPv4和IPv6地址的配置,确保主备机在网络上是互通的,并且没有IP冲突。
(1) 选择对应网卡名称的网卡;
(2) 双机热备功能状态默认为关,并且不可编辑,当点击开启时,状态变为:开,当前为主机/备机;
(3) 双机热备配置状态为未配置(默认)、已配置未启动(保存配置但未开启)、成功(保存配置并开启成功);
(4) 选择主机或备机;
(5) 输入服务ip;
(6) 输入另一台设备的ip;
(7) 输入另一台设备的掩码;
(8) 输入ipv6服务ip;
(9) 输入另一台设备的ipv6;
(10) 输入IPv6子网掩码长度;
(11) 输入虚拟路由ID(1-255);
(12) 点击保存配置;(先在主机端保存配置,再去备机端保存配置)
(13) 点击开启,开启双机热备;(先在主机端点击开启热备,再去备机端点击开启热备)
(14) 点击关闭,关闭双机热备;(一定先在备机端关闭,最后去主机端关闭)
图29 未开启双机热备
图30 开启双机热备
未开启双机热备时,在虚拟设备-设备管理,点击宿主机名称进入虚拟机列表,展示虚拟机类型选择、虚拟机数量、新增、批量删除、批量修改IP、批量修改网口、修改模版网口等功能,虚拟机实例列表如图:
图31 未开启热备的虚拟机列表
开启双机热备时,虚拟机实例列表如图:
图32 开启双机热备的虚拟机列表
注意:
· 首先在主机端保存双机配置,其次备机端保存配置,到主机端点击开启双机热备,再去备机端开启双机热备,才能开启双机热备。
· 关闭双机热备,必须先关闭备机,再关闭主机。
· 双机热备一旦开启成功后,虚拟机实例列表功能中,只保留新增按钮。
· 双机热备开启后,如非必要,建议使用服务IP进行访问和操作,会自动同步到主机和备机中,如果主机和备机互相操作,可能会导致不可预知的数据同步风险,需谨慎操作。
· 双机热备开启后,如非必要,不建议多用户同时操作系统,避免发生数据错乱的风险。
· 宿主机未完全完成热备的情况下,双机热备的功能状态不做正常设定。
开启双机热备后,在虚拟设备-设备管理,点击宿主机的名称进入虚拟机列表,点击新增,选择虚拟机类型,输入主机IPv4(在主机上的虚拟机的IPv4)、备机IPv4(在备机上的虚拟机的IPv4)、服务IPv4(主备机上的虚拟机的服务IPv4)、IPv4掩码、IPv4网关、主机IPv6(在主机上的虚拟机的IPv6)、备机IPv6(在备机上的虚拟机的IPv6)、IPv6子网前缀长度、IPv6网关、选择IPv4或IPv6双机生效、虚拟路由id、确定后将在主机和备机上,同时创建已选择类型的虚拟机服务器。
图33 开启热备下新增虚拟加密机服务器
图34 开启热备下新增虚拟签名验签服务器
图35 开启热备下新增虚拟时间戳服务器
注意:
虚拟签名验签和时间戳服务器不支持在此处配置IPv4和IPv6的服务ip、双机生效、以及虚拟路由id,只能分配IP,分配好以后需要登录进服务平台手动配置开启虚拟机的双机热备,但虚拟加密机服务器支持在宿主机上配置并开启双机热备。
在需要查看双机配置的虚拟机列表中,点击双机配置,可查看已配置保存好的双机配置数据,并在有需要修改时,输入主机IPv4(在主机上的虚拟机的IPv4)、备机IPv4(在备机上的虚拟机的IPv4)、服务IPv4(主备机上的虚拟机的服务IPv4)、IPv4掩码、IPv4网关、主机IPv6(在主机上的虚拟机的IPv6)、备机IPv6(在备机上的虚拟机的IPv6)、IPv6子网前缀长度、IPv6网关、选择IPv4或IPv6双机生效、虚拟路由id,确定后将修改选中的这台虚拟机在主机或者备机中的各项虚拟机网络参数。
图36 虚拟加密机服务器双机配置
图37 虚拟签名验签和时间戳服务器双机配置
注意:
· 虚拟机的双机配置,修改的网络信息,修改的是主备宿主机中的虚拟机的网络信息。
· 由于虚拟签名验签和时间戳服务器不支持在宿主机直接配置并开启热备,所以当开启过热备后,再去宿主机双机配置上修改IP时,需要进入虚拟机web中同步修改IP并更新双机配置才能生效。
分别进入主机和备机的系统设置-双机热备页面,即可看到主备机的双机热备网络配置,在主机双机热备功能状态栏可以看到显示为“开,当前为主机”,双机热备配置状态栏显示为“成功”,并且按钮显示为关闭。
图38 双机热备开启
在虚拟设备-设备管理,点击宿主机名称进入虚拟机实例列表,点击其中一台虚拟机的双机配置按钮,可查看到虚拟机的双机热备参数。
图39 虚拟机双机热备参数
支持
