加密机.docx

1、加密机加密机安装调试a) 加密机配置设置加密机IP在HSM-AUTH3提示符下执行IP命令：HSM-AUTH3ipEnter IP address:XXX.XXX.XXX.XXXEnter Default Gateway:XXX.XXX.XXX.XXXEnter Subnet mask:XXX.XXX.XXX.XXX按回车键，加密机IP设置成功。查看加密机IP地址、网关和子网掩码在HSM-AUTH3提示符下执行qp命令：当执行qp后，加密机输出如下信息：HSM-AUTH3qpIP address:XXX.XXX.XXX.XXXDefault Gateway: XXX.XXX.XXX.XXXSu

2、bnet mask: XXX.XXX.XXX.XXX查看、添加和删除客户端IP需要将清算前置系统的IP地址增加进来，如果做了热备或者HA，则需要将两台服务器的IP都添加进来。 在HSM-AUTH3提示符下执行ct命令: 1. 192.168.1.244 2. 200.200.200.244Add a client / Delete a client / delete all Clients A/D/C:选择A、D、C完成客户端IP的添加和删除增加客户端：Add a client / Delete a client / Delete all clients A/D/C:AEnter new cl

3、ient IP address: XXX.XXX.XXX.XXXAdd client IP address success!删除客户端：Add a client / Delete a client / Delete all clients A/D/C:DEnter client IP address or line number: XXX.XXX.XXX.XXXDelete client IP address success!b) 合成成员行主密钥及行内PIK密钥合成成员行主密钥（ZMK）此密钥用于中心加密工作密钥（zak/zpk）下发给成员行。由中心端打印明文码单下发。功能密钥的密文是通过P

4、C超级终端执行fk终端命令得到，fk终端命令是用成份合成密钥。SJL06-AUTH3fkKey length 64/128/192 1/2/3:2Key type :000Component Type Clear/Encrypted C/E:CEnter number of Components (2-9):2Enter component1:*Enter component2:*Encrypted Key:48864EA979EE933748864EA979EE9337Key check value:82E13665B4624DF5将加密机返回的密钥密文（Encrypted Key）及校验值

5、（Key check value）记录，同时比对此校验值与码单中的总校验值是否一致，若不一致说明输入有误，则需要重新输入建议：将密文值和校验值都复制到一个文本文件中，以备录入到密码服务平台（ESSC）使用。合成成员行行内PIK密钥（ZPK）此密钥是行内前置与清算前置系统之间约定的加密PIN密钥。由中心端打印明文码单下发.SJL06-AUTH3fkKey length 64/128/192 1/2/3:2Key type :001Component Type Clear/Encrypted C/E:CEnter number of Components (2-9):2Enter componen

6、t1:*Enter component2:*Encrypted Key:7B4D14A7FDEAC5147B4D14A7FDEAC514Key check value:82E13665B4624DF5将加密机返回的密钥密文（Encrypted Key）及校验值（Key check value）记录，同时比对此校验值与码单中的总校验值是否一致，若不一致说明输入有误，则需要重新输入。c) ESSC软件配置系统参数配置建立加密机配置文件假设两台加密机地址分别为：192.168.1.230； 192.168.1.231用secu用户登录密码服务平台（ESSC）系统，或在主菜单界面下依次选择： 003

7、基础配置管理 004 密码机配置文件管理 003 创建密码机配置文件按照提示输入: (下面蓝色粗体部分为固定值不变，红色字体按照实际输入)请输入密码机IP地址：192.168.1.230请输入密码机工作组编号(3位数字)：102请输入密码机指令版本(SJL06/RACAL/SJL05):RACAL请输消息头的长度：08请输密码机说明(最多20个字符)：FIRST请输测试指令(最多127个字符)：NC请输测试指令成功响应标识(最多127个字符)：ND00IP地址 192.168.1.230工作组 102消息头长度 8说明 FIRST测试指令 NC指令响应 ND00确认创建该密码机的配置文件吗？(

8、Y/N)Y创建成功！继续创建吗？(Y/N)N有两台加密机，则需要创建两次执行后此步骤后，系统会自动为每台加密机创建相应的配置文件；此配置文件路径如下：$HOME/rec/etc/HsmCfg/ 192.168.1.230.CFG $HOME/rec/etc/HsmCfg/ 192.168.1.231.CFG 配置加密机启动任务用secu用户登录密码服务平台（ESSC）系统，或在主菜单界面下依次选择： 003 基础配置管理 004 密码机配置文件管理 000 编辑密码机组配置例如：# 这个文件定义密码机组中包括的密码机及其工作情况# 语法为：IP地址=自动启动的连接数量# 例如：# 192.1.

9、1.207=2# 注意IP地址前面不能有任何字符！# 有几台密码机就要定义几个# 系统会自动根据这个文件中的定义,完成以下工作：# 1、为每台密码机创建配置文件# 2、在任务表中为每台密码机增加任务#182.9.50.73=2192.168.1.230 =5192.168.1.231 =5有几台密码机，就增加几行。修改完成后保存退出。$HOME/rec/etc/HsmCfg/hsmGrp.conf修改系统任务定义配置表用secu用户登录密码服务平台（ESSC）系统，或在主菜单界面下依次选择： 003 基础配置管理 000 任务模块管理 002 编辑任务定义文件修改此任务配置表中的hsmTask

10、-switchCenter进程参数；将第一列和第二列的IP地址修改为成员行密码机实际 IP地址。修改完成后保存退出。例如：hsmTask-switchCenter 192.168.1.230 hsmTask-switchCenter 192.168.1.230 5 hsmTaskhsmTask-switchCenter 192.168.1.231 hsmTask-switchCenter 192.168.1.231 5 hsmTask此配置文件路径为：$HOME/rec/etc/unionTaskTBL.CFG修改远程密钥更新配置参数用secu用户登录密码服务平台（ESSC）系统，或在主菜单界

11、面下依次选择： 004 ESSC配置管理 003 远程密钥服务器配置 002 编辑远程密钥管理服务器配置文件将此远程密钥服务器管理配置文件中的第一列值修改成 本成员行行号。第二列修改成 清算中心密码服务平台地址。第三列是清算中心提供的密钥更新端口，固定为31102第四列是文字说明例如： 000000000001 192.168.7.230 31102 清算中心IPP KMC此配置文件路径：$HOME/rec/etc/kmConf/remoteKMSvr.conf配置本地密钥更新配置参数用secu用户登录密码服务平台（ESSC）系统，或在主菜单界面下依次选择： 004 ESSC配置管理 002

12、本地密钥服务器配置 002 编辑本地密钥管理服务器配置文件将此文件中的第二列修改成本成员行的密码服务平台地址。其他列保持不变。102 127.0.0.1 31102 RACAL测试密码机组此配置文件路径：$HOME/rec/etc/kmConf/localKMSvr.conf启动密码服务平台用secu用户登录密码服务平台（ESSC）系统，或在主菜单界面下选择： 000 启动系统示例如下：Step 1. Start.欢迎使用密码服务系统确认启动密码服务系统吗(Y/N)?y检查密码库. .check DesKeyDB file OK!正在启动密码服务系统. .正在加载环境资源.UnionReloa

13、dTaskTBL OK!(10096)in mngUnionLog: UnionReloadLogFileTBL OK!UnionAutoLoadSJL06IntoSJL06MDL OK!(10098)in mngMsgBuf: UnionReloadMsgBufDef OK!(10099)in mngREC: UnionReloadREC OK!UnionReloadSoftErrCodeTBL OK!UnionReloadCommConfTBL OK!UnionReloadEsscResSpierClientTBL OK!(10103)in mngTransSpierBuf: UnionR

14、eloadTransSpierBufDef OK!UnionLoadDesKeyDBIntoMemory OK!UnionLoadKeyDBBackupServerIntoMemory OK!in mngAppConf: UnionReloadAppTable OK!in mngLocalKMSvr: UnionReloadLocalKMSvr OK!in mngRemoteKMSvr: UnionReloadRemoteKMSvr OK!UnionReloadErrCodeTranslater OK!UnionLoadPKDBIntoMemory OK!in mngLocalKMSvr: U

15、nionReloadLocalKMSvr OK!已启动以下密码服务系统任务:(10123, 20090724180719,0000b7fd62a8, tcpipSvr 29102)(10114, 20090724180719,0000b7fe5168, mngTask -mp 1)(10117, 20090724180719,0000b7f0e0e8, mngSJL06Grp check 10)(10119, 20090724180719,0000b7f0a128, mngMsgBuf -clear 1)(10121, 20090724180719,0000b7f1c1a8, mngTask

16、-m 1)(10125, 20090724180719,0000b7fc44e8, kmSvr 31102)(10129, 20090724180719,0000b7faa2e8, hsmTask-switchCenter 192.168.1.231)(10127, 20090724180719,0000b7f835a8, autoKeyManager -auto)(10131, 20090724180719,0000b7eff2e8, hsmTask-switchCenter 192.168.1.230)(10133, 20090724180719,000000000000, keyDBLo

17、calBackuper)(10137, 20090724180719,0000b7fdc6a8, keyDBSvr)(10135, 20090724180719,0000b7f5d6e8, keyDBSynchronizer)(10138, 20090724180720,0000b7fce0a8, mngTask)Total Instance Num = 13密码服务系统启动完成!Press any key to continue.密钥文件参数配置编辑成员行编号配置文件用secu用户登录密码服务平台（ESSC）系统，或在主菜单界面下依次选择： 010 成员行密钥管理 000 编辑成员行行号将此

18、配置文件中的第二行修改成真实的成员行编号。成员行号为12位数字。保存后退出。配置ccfccb密钥定义文件用secu用户登录密码服务平台（ESSC）系统，或在主菜单界面下依次选择： 010 成员行密钥管理 001 编辑ccfccb密钥组定义文件value值，用6.2步骤中用记录的32位密文值替换，；chechvalue值，用6.2步骤中的得到的16位校验值替换。Container值用真实成员行号12位数字替换例如：fullName=ccfccb.null.zmk;type=zmk;length=32;maxEffectiveDays=36500;maxUseTimes=-1;container=

19、null;value=48864EA979EE933748864EA979EE9337;checkvalue=82E13665B4624DF5fullName=ccfccb.null.zpk;type=zpk;length=32;maxEffectiveDays=36500;maxUseTimes=-1;container=000000000001;fullName=ccfccb.null.zak;type=zak;length=32;maxEffectiveDays=36500;maxUseTimes=-1;container=000000000001;编辑bank密钥定义文件用secu用户

20、登录密码服务平台（ESSC）系统，或在主菜单界面下依次选择： 010 成员行密钥管理 005 编辑bank密钥组定义文件value值，用6.2步骤中得到的32位密文值替换，chechvalue值，用6.2步骤中的得到的16位校验值替换。例如：fullName=bank.null.zpk;type=zpk;length=32;maxEffectiveDays=36500;maxUseTimes=-1;container=null;value=7B4D14A7FDEAC5147B4D14A7FDEAC514;checkValue=82E13665B4624DF5;新增成员行ccfccb密钥用sec

21、u用户登录密码服务平台（ESSC）系统，或在主菜单界面下依次选择： 010 成员行密钥管理 002 新增成员行ccfccb密钥完成后会提示插入3把密钥成功。insert ccfccb.000000000001.zmk ok!insert ccfccb.000000000001.zpk ok!insert ccfccb.000000000001.zak ok!若返回-11006错误，则说明密钥库中已经存在此成员行密钥若返回-3024错误，说明：密码服务平台未启动。示例如下：Are you sure of insert keys according to file /home/qszx/rec/e

22、tc/keyGrpDef/branchID.txt?(Y/N)yinsert ccfccb.000000000001.zmk ok!insert ccfccb.000000000001.zpk ok!insert ccfccb.000000000001.zak ok!realRecNum = 0001 realKeyNum = 0003Press any key to continue.新增成员行bank密钥用secu用户登录密码服务平台（ESSC）系统，或在主菜单界面下依次选择： 010 成员行密钥管理 006 新增成员行行内bank密钥完成后会提示插入1把密钥成功。insert bank.

23、000000000001.zpk ok!若返回-11006错误，则说明密钥库中已经存在此成员行密钥若返回-3024错误，说明：密码服务平台未启动。示例如下：Are you sure of insert keys according to file /home/qsbranch/rec/etc/keyGrpDef/branchID.txt?(Y/N)yinsert bank.000000000001.zpk ok!realRecNum = 0001 realKeyNum = 0001Press any key to continue.成员行远程下载密钥功能验证依次选择： 006 密钥管理 003

24、 远程密钥管理 001 向远程申请新的密钥然后按照提示输入密钥名称，成员行需要向清算申请的两把密钥名称是：ccfccb.000000000001.zpkccfccb.000000000001.zak(用真实成员行行号替换000000000001即可)申请完成后会提示：UnionApplyDesKeyFromRemoteKMSvr OK!示例如下：从远程下载新的密钥请输入密钥名称:ccfccb.000000000001.zpk确认远程下载密钥ccfccb.000000000001.zpk吗(Y/N)yUnionApplyDesKeyFromRemoteKMSvr OK!从远程下载新的密钥请输入密

25、钥名称:ccfccb.000000000001.zak确认远程下载密钥ccfccb.000000000001.zak吗(Y/N)yUnionApplyDesKeyFromRemoteKMSvr OK!从远程下载新的密钥请输入密钥名称:exit成员行远程自动下载密钥验证测试若上节“成员行远程下载密钥功能验证”通过，则可进行本步骤验证测试。若密钥ccfccb.000000000001.zpk和 ccfccb.000000000001.zak的maxEffectiveDays属性设置为36500，则，执行命令：autoKeyManager atonce如果成功，如下所示：$ autoKeyManager -atonce确认立即执行远程密钥同步策略?(Y/N)ytotalNum = 000000若如上密钥一致，则应用系统就可以进行交易测试了。