Auf der Seite „Trust Store-Verwaltung“ können Sie HSM-Berechtigungen (Hardware Security Module, Hardwaresicherheitsmodul) verwalten. Ein HSM ist ein PKCS#11-Gerät eines anderen Anbieters, mit dem Sie private Schlüssel sicher erzeugen und speichern können. Das HSM schützt den Zugriff auf die privaten Schlüssel und ihre Verwendung.
Die Clientsoftware ist für die Kommunikation mit dem HSM erforderlich. Die HSM-Clientsoftware muss auf demselben Computer wie LiveCycle installiert und konfiguriert werden.
LiveCycle Digital Signatures kann Berechtigungen verwenden, die in einem HSM gespeichert sind, um serverseitige digitale Signaturen anzuwenden. Befolgen Sie die Anweisungen in diesem Abschnitt, um einen Alias für jede HSM-Berechtigung zu erstellen, die Digital Signatures verwenden soll. Der Alias enthält alle vom HSM benötigten Parameter.
Hinweis: Nachdem Sie die HSM-Konfiguration geändert haben, müssen Sie den LiveCycle-Server neu starten.
Alias für eine HSM-Berechtigung erstellen, wenn das HSM-Gerät online istKlicken Sie in Administration Console auf „Einstellungen“ > „Trust Store-Verwaltung“ > „HSM-Berechtigungen“ und dann auf „Hinzufügen“.
Geben Sie in das Feld „Profilname“ eine Zeichenfolge zur Identifizierung des Alias ein. Dieser Wert wird als Eigenschaft für einige Digital Signatures-Vorgänge wie etwa das Signieren eines Signaturfelds verwendet.
Geben Sie in das Feld „PKCS11-Bibliothek“ den voll qualifizierten Pfad der HSM-Clientbibliothek auf dem Server ein. Beispiel: c:\Programme\LunaSA\cryptoki.dll. In einer Clusterumgebung muss dieser Pfad für alle Server im Cluster identisch sein.
Klicken Sie auf „HSM-Verbindung testen“. Wenn LiveCycle eine Verbindung mit dem HSM-Gerät erstellen kann, wird eine Meldung angezeigt, dass das HSM verfügbar ist. Klicken Sie auf „Weiter“.
Verwenden Sie die Option „Tokenname“, „Steckplatz-ID“ oder „Steckplatzlistenindex“, um zu identifizieren, wo die Berechtigungen auf dem HSM gespeichert sind.
Tokenname: Entspricht dem Namen der HSM-Partition, die verwendet werden soll (z. B. HSMPART1).
Steckplatz-ID: Die Steckplatz-ID ist eine Steckplatzidentifizierung vom Typ „data type long“.
Steckplatzlistenindex: Wenn Sie die Option „Steckplatzlistenindex“ auswählen, stellen Sie die Steckplatzinfo auf eine Ganzzahl ein, die dem Steckplatz entspricht. Dies ist ein 0-basierter Index. Wenn daher der Client zuerst mit der Partition HSMPART1 registriert wird, wird auf HSMPART1 mit dem SlotListIndex-Wert 0 verwiesen.
Geben Sie in das Feld „Token-PIN“das für den Zugriff auf den HSM-Schlüssel benötigte Kennwort ein und klicken Sie auf „Weiter“.
Wählen Sie im Feld „Berechtigungen“ eine Berechtigung aus. Klicken Sie auf „Speichern“.
Alias für eine HSM-Berechtigung erstellen, wenn das HSM-Gerät offline istKlicken Sie in Administration Console auf „Einstellungen“ > „Trust Store-Verwaltung“ > „HSM-Berechtigungen“ und dann auf „Hinzufügen“.
Geben Sie in das Feld „Profilname“ eine Zeichenfolge zur Identifizierung des Alias ein. Dieser Wert wird als Eigenschaft für einige Digital Signatures-Vorgänge wie etwa das Signieren eines Signaturfelds verwendet.
Geben Sie in das Feld „PKCS11-Bibliothek“ den voll qualifizierten Pfad der HSM-Clientbibliothek auf dem Server ein. Beispiel: c:\Programme\LunaSA\cryptoki.dll. In einer Clusterumgebung muss dieser Pfad für alle Server im Cluster identisch sein.
Aktivieren Sie das Kontrollkästchen „Offline Profilerstellung“. Klicken Sie auf „Weiter“.
Wählen Sie in der Liste „HSM-Gerät“ den Hersteller des HSM-Geräts aus, auf dem die Berechtigung gespeichert ist.
Wählen Sie in der Liste „Steckplatztyp“ den Eintrag „Steckplatz-ID“, „Steckplatzindex“ oder „Tokenname“ und geben Sie im Feld „Steckplatzinfo“ einen Wert an. LiveCycle stellt anhand dieser Einstellungen fest, wo die Berechtigungen auf dem HSM gespeichert sind.
Tokenname: Entspricht einem Partitionsnamen (z. B. HSMPART1).
Steckplatz-ID: Die Steckplatz-ID ist eine Ganzzahl, die dem Steckplatz entspricht, der wiederum einer Partition entspricht. Angenommen, der Client (LiveCycle-Server) hat sich zuerst bei der Partition HSMPART1 registriert. Damit wird für diesen Client Steckplatz 1 der Partition HSMPART1 zugeordnet. Da HSMPART1 die erste registrierte Partition ist, lautet die Steckplatz-ID 1 und Sie müssten als Steckplatzinfo ebenfalls 1 angeben.
Die Steckplatz-ID wird für jeden Client einzeln festgelegt. Falls Sie einen zweiten Rechner bei einer anderen Partition registriert haben (z. B. HSMPART2 auf demselben HSM-Gerät), würde Steckplatz 1 für diesen Client mit der Partition HSMPART2 verknüpft.
Steckplatzindex: Wenn Sie die Option „Steckplatzindex“ auswählen, stellen Sie die Steckplatzinfo auf eine Ganzzahl ein, die dem Steckplatz entspricht. Dies ist ein 0-basierter Index, das heißt, wenn sich der Client zuerst bei der Partition HSMPART1 registriert hat, wird Steckplatz 1 für diesen Client der Partition HSMPART1 zugeordnet. Da HSMPART1 die erste registrierte Partition ist, hat „Steckplatzindex“ den Wert 0.
Wählen Sie eine dieser Optionen und geben Sie den Pfad an:
Zertifikate: (bei Verwendung von SHA 1 nicht erforderlich) Klicken Sie auf „Durchsuchen“ und suchen Sie den Pfad zu dem öffentlichen Schlüssel für die verwendete Berechtigung.
Zertifikat SHA1: (Bei Verwendung eines physischen Zertifikats nicht erforderlich) Geben Sie den SHA1-Wert (Thumbprint) der öffentlichen Schlüsseldatei (.cer) für die verwendete Berechtigung ein. Stellen Sie sicher, dass in dem SHA1-Wert keine Leerzeichen verwendet werden.
Geben Sie in das Feld „Kennwort“ das benötigte Kennwort für den Zugriff auf den HSM-Schlüssel für die angegebenen Steckplatzinformationen ein und klicken Sie dann auf „Speichern“.
Eigenschaften von HSM-Berechtigungsaliassen anzeigenKlicken Sie in Administration Console auf „Einstellungen“ > „Trust Store-Verwaltung“ > „HSM-Berechtigungen“.
Klicken Sie zuerst auf den Aliasnamen des Berechtigungsalias, dessen Eigenschaften angezeigt werden sollen, und anschließend auf „OK“.
Status einer HSM-Berechtigung überprüfenKlicken Sie in Administration Console auf „Einstellungen“ > „Trust Store-Verwaltung“ > „HSM-Berechtigungen“.
Aktivieren Sie das Kontrollkästchen neben der Berechtigung, die Sie überprüfen möchten, und klicken Sie auf „Status überprüfen“.
Die Spalte „Status“ gibt den aktuellen Status der Berechtigung an. Wenn es zu einem Fehler kommt, wird in der Spalte „Status“ in rotes X angezeigt. Bewegen Sie Ihre Maus über das X, um Quickinfos mit den Fehlerursachen anzuzeigen.
Eigenschaften von HSM-Berechtigungsaliassen aktualisierenKlicken Sie in Administration Console auf „Einstellungen“ > „Trust Store-Verwaltung“ > „HSM-Berechtigungen“.
Klicken Sie auf den Aliasnamen des Berechtigungsalias.
Klicken Sie auf „Berechtigung aktualisieren“ und aktualisieren Sie die Einstellungen den Anforderungen entsprechend.
Alle HSM-Verbindungen zurücksetzenSetzen Sie die offenen Verbindungen mit einem HSM-Gerät nach jeder Unterbrechung der Netzwerksitzung zwischen dem LiveCycle-Server und dem HSM-Gerät zurück. Unterbrechungen können beispielsweise aufgrund eines Netzwerkausfalls auftreten oder weil das HSM-Gerät für eine Softwareaktualisierung offline geschaltet wurde. Nach einer Unterbrechung sind die bestehenden Verbindungen nicht aktuell und alle Signierungsanfragen gegen diese Verbindungen schlagen fehl. Durch Verwenden der Option „Alle HSM-Verbindungen zurücksetzen“ werden die alten Verbindungen gelöscht.
Klicken Sie in Administration Console auf „Einstellungen“ > „Trust Store-Verwaltung“ > „HSM-Berechtigungen“.
Klicken Sie auf „Alle HSM-Verbindungen zurücksetzen“.
HSM-Berechtigungsalias löschenKlicken Sie in Administration Console auf „Einstellungen“ > „Trust Store-Verwaltung“ > „HSM-Berechtigungen“.
Aktivieren Sie die Kontrollkästchen der zu löschenden HSM-Berechtigungen und klicken Sie erst auf „Löschen“ und anschließend auf „OK“.
HSM-Remoteunterstützung konfigurierenLiveCycle verwendet einen webdienstbasierten IPC/RPC-Mechanismus. Über diesen Mechanismus kann LiveCycle ein auf einem Remotecomputer installiertes HSM verwenden. Um diese Funktion zu verwenden, installieren Sie den Webdienst auf dem Remotecomputer, auf dem das HSM installiert ist. Weitere Informationen finden Sie unter Configuring HSM support for LiveCycle ES using Sun JDK on Windows 64-bit platform.
Dieser Mechanismus unterstützt keine Online-Erstellung von HSM-Profilen oder Statusprüfungen. Allerdings gibt es zwei Möglichkeiten, HSM-Profile zu erstellen und Statusprüfungen auszuführen:
Erstellen Sie eine LiveCycle Clientberechtigung durch Übergabe des Zertifikats des Unterzeichners. Führen Sie die Schritte unter Configuring HSM support for LiveCycle ES using Sun JDK on Windows 64-bit platform aus. Der Webdienst-Speicherort wird als Berechtigungseigenschaft übergeben. Offline-HSM-Profile, die entweder mit DER- oder SHA-1-Hexadezimal-Zertifikat erstellt wurden, werden ebenfalls unterstützt. Wenn Sie jedoch aus einer früheren Version von LiveCycle auf LiveCycle aktualisiert haben, nehmen Sie Clientänderungen vor, da die Berechtigung Zertifikats- und Webdienstinformationen enthielt.
Der Speicherort des Webdienstes wird in Administration Console für den Signature-Dienst angegeben. (Siehe Einstellungen des Signature-Dienstes.) Hier enthielt der Client nur den Alias des HSM-Profils im Trust Store. Sie können diese Option nahtlos ohne Clientänderungen verwenden, auch wenn Sie aus einer früheren Version von LiveCycle auf LiveCycle aktualisiert haben. Diese Option unterstützt keine HSM-Profile, die ein SHA-1-Hexadezimal-Zertifikat verwenden.
|
|
|