Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kimlik doğrulaması, Azure Cloud HSM'de güvenli bir şekilde erişmenin ve çalışmanın önemli bir yönüdür. Bu makalede komut satırı arabirimi (CLI), PKCS#11, Java Şifreleme Uzantısı (JCE) ve OpenSSL gibi kimlik doğrulama yöntemleri özetlenmiştir. Bu makalede, çoklu iş parçacığı kullanımı ve oturum işleme için en iyi yöntemler de sağlanır.
Bulut HSM CLI kimlik doğrulaması
Etkileşimli modda veya tek komut modunda gibi CLI araçlarını kullanarak kimlik doğrulaması yapabilirsiniz. Etkileşimli modda komutunu kullanın. Tek komut modu için ve parametrelerini ekleyin. Uygulamanız bunları kullanmadığında HSM kimlik bilgilerinizi güvenli bir şekilde depolamanızı öneririz.
Etkileşimli mod
./azcloudhsm_util
loginHSM -u CU -s cu1 -p user1234
Tek komut modu
sudo ./azcloudhsm_util singlecmd loginHSM -u CU -s cu1 -p user1234 findKey
PKCS#11 kimlik doğrulaması
PKCS#11'de, kullanarak bir oturum açtıktan sonra API'sini kullanarak oturum açarsınız. Yuva başına yalnızca bir kez kullanmanız gerekir (Cloud HSM kümesi). Başarıyla oturum açtıktan sonra, yeniden oturum açmadan kullanarak ek oturumlar açabilirsiniz.
char pPin[256] = "cu1:user1234";
…
rv = (func_list->C_Initialize) (NULL);
rv = (func_list->C_GetTokenInfo) (slot, &token_info);
rv = (func_list->C_OpenSession) (slot, CKF_SERIAL_SESSION | CKF_RW_SESSION, NULL, NULL, &session_rw);
rv = (func_list->C_Login) (session_rw, CKU_USER, (CK_UTF8CHAR_PTR) pPin, n_pin);
…
PKCS#11 üzerinde kimlik doğrulama için kod örnekleri almak istiyorsanız, PKCS#11'i Azure Cloud HSM ile tümleştirme kılavuzuna bakınız.
JCE kimlik doğrulaması
Azure Cloud HSM için JCE sağlayıcısı, hem örtük hem de açık oturum açma yöntemleri için destek sunar. Her biri farklı kullanım örnekleri için uygundur.
SDK kimlik doğrulamasını otonom olarak yönettiğinden mümkün olduğunca örtük oturum açma kullanmanızı öneririz. Bu yöntem özellikle uygulamanızın kümeyle bağlantısının kesilmesi ve yeniden kimlik doğrulaması gerektirmesi durumunda yararlıdır. Örtük oturum açma, uygulama kodu üzerinde doğrudan denetimin mümkün olmadığı platformlarla tümleştirme sırasında uygulamanıza kimlik bilgileri sağlamayı da kolaylaştırır.
LoginManager lm = LoginManager.getInstance();
lm.login("PARTITION_1","cu1", "user1234");
…
lm.logout();
…
Oturum açma yöntemleri hakkında daha fazla bilgi için JCE'yi Azure Cloud HSM ile tümleştirmek için
OpenSSL kimlik doğrulaması
Azure Cloud HSM için OpenSSL altyapısı kullandığınızda ortam değişkenleri kimlik bilgilerini sağlar. Uygulamanız bunları kullanmadığında HSM kimlik bilgilerinizi güvenli bir şekilde depolamanızı öneririz. İdeal olarak, el ile girişi önlemek için ortamınızı bu ortam değişkenlerini otomatik olarak alacak ve ayaracak şekilde yapılandırın.
export azcloudhsm_password="cu1:user1234"
export azcloudhsm_openssl_conf=/opt/azurecloudhsm/bin/azcloudhsm_openssl_dynamic.conf
export LD_LIBRARY_PATH=/opt/azurecloudhsm/lib64/:$LD_LIBRARY_PATH
…
sudo ./azcloudhsm_client azcloudhsm_client.cfg > /dev/null 2>&1 &
openssl genpkey -algorithm RSA -out private_key.pem -engine azcloudhsm_openssl
…
Uyarı
Yolları yüklü SDK sürümünüzle eşleşecek şekilde güncelleştirin. Varsayılan yükleme yolu şeklindedir . En son SDK için bkz. Azure Cloud HSM SDK sürümleri.
OpenSSL ile kimlik doğrulama ayrıntılarını öğrenmek için OpenSSL'nin Azure Cloud HSM ile tümleştirilmesine dair kılavuz bölümüne başvurun.
Çoklu iş parçacığı kullanımı teknikleri
Azure Cloud HSM çok iş parçacıklı uygulamaları destekler, ancak bunları işlemek için dikkat edilmesi gereken noktalar vardır:
- PKCS#11: PKCS#11 kitaplığını yalnızca bir kez kullanarak başlatın. Her bir iş parçacığına kullanarak kendi oturumunu atayın. Aynı oturumu birden çok iş parçacığında kullanmaktan kaçının.
- JCE: Azure Cloud HSM sağlayıcısını yalnızca bir kez başlatın. Hizmet Sağlayıcısı Arabirimi (SPI) nesnelerinin örneklerini iş parçacıkları arasında paylaşmaktan kaçının. Örneğin, , , , , ve nesnelerini yalnızca kendi iş parçacığı bağlamları içinde kullanın.
HSM işlemlerinin entegrasyonu için yeniden denemeler
Microsoft, Azure Cloud HSM kümenizdeki bir HSM'yi işlem veya bakım amacıyla (örneğin, bir cihaz başarısız olursa) değiştirebilir. Uygulamanızı bu tür senaryolara hazırlamak için kümenize gönderilen tüm işlemlere istemci tarafı yeniden deneme mantığı eklemenizi öneririz. Bu kurulum, ister değiştirmeler ister geçici bakım kesintileri nedeniyle başarısız olan işlemler için sonraki yeniden denemelerin başarılı olacağını öngörmektedir.
Bulut HSM istemci oturumlarının yönetimi
Azure Cloud HSM istemcisi, herhangi bir uygulama oturum açma veya kapatma işlemini gerçekleştirdiğinde tüm HSM oturumlarında oturum açar ve oturumdan çıkar. Sonuç olarak, ikinci bir uygulama azurecloudhsm_client kullanıyorsa ve aynı konaktan çalışıyorsa aynı oturumları paylaşır ve aynı oturum açma kimlik bilgilerini devralır. Araç, hangi uygulamaların oturum açmaya çalıştığından izler. Düzgün oturum açmış uygulamaların kimlik doğrulaması gerektiren komutları çalıştırmasına olanak tanır.
Örneğin, azurecloudhsm_util ile oturum açtıysanız ve uygulamanızı veya anahtar aracınızı Azure Cloud HSM sağlayıcısıyla başka bir terminal penceresinde çalıştırmaya çalışırsanız, etkin bir oturum zaten açık olduğundan bir hatayla karşılaşırsınız. Uygulamanızın oturumunu kapatmanız gerekir, böylece ana bilgisayarınızda çalışmakta olan oturumunu oluşturabilir ve kimlik doğrulaması yapılabilir.