Sie sehen sich Hilfeinhalte der folgenden Version an:
- 6.4
- 6.3
- 6.2
- Ältere Versionen
Auf der Seite „Trust Store-Verwaltung“ können Sie HSM-Berechtigungen (Hardware Security Module, Hardwaresicherheitsmodul) verwalten. Ein HSM ist ein PKCS#11-Gerät eines anderen Anbieters, mit dem Sie private Schlüssel sicher erzeugen und speichern können. Das HSM schützt den Zugriff auf die privaten Schlüssel und ihre Verwendung.
Die Clientsoftware ist für die Kommunikation mit dem HSM erforderlich. Die HSM-Clientsoftware muss auf demselben Computer wie AEM Forms installiert und konfiguriert werden.
AEM Forms Digital Signatures kann Berechtigungen verwenden, die in einem HSM gespeichert sind, um serverseitige digitale Signaturen anzuwenden. Befolgen Sie die Anweisungen in diesem Abschnitt, um einen Alias für jede HSM-Berechtigung zu erstellen, die Digital Signatures verwenden soll. Der Alias enthält alle vom HSM benötigten Parameter.
Hinweis:
Nachdem Sie die HSM-Konfiguration geändert haben, müssen Sie den AEM Forms-Server neu starten.
-
Verwenden Sie die Option „Tokenname“, „Steckplatz-ID“ oder „Steckplatzlistenindex“, um zu identifizieren, wo die Berechtigungen auf dem HSM gespeichert sind.
Tokenname: Entspricht dem Namen der HSM-Partition, die verwendet werden soll (z. B. HSMPART1).
Steckplatz-ID: Die Steckplatz-ID ist eine Steckplatzidentifizierung vom Typ „data type long“.
Steckplatzlistenindex: Wenn Sie die Option „Steckplatzlistenindex“ auswählen, stellen Sie die Steckplatzinfo auf eine Ganzzahl ein, die dem Steckplatz entspricht. Dies ist ein 0-basierter Index. Wenn daher der Client zuerst mit der Partition HSMPART1 registriert wird, wird auf HSMPART1 mit dem SlotListIndex-Wert 0 verwiesen.
-
Wählen Sie in der Liste „Steckplatztyp“ den Eintrag „Steckplatz-ID“, „Steckplatzindex“ oder „Tokenname“ und geben Sie im Feld „Steckplatzinfo“ einen Wert an. AEM Forms stellt anhand dieser Einstellungen fest, wo die Berechtigungen auf dem HSM gespeichert sind.
Tokenname: Entspricht einem Partitionsnamen (z. B. HSMPART1).
Steckplatz-ID: Die Steckplatz-ID ist eine Ganzzahl, die dem Steckplatz entspricht, der wiederum einer Partition entspricht. Angenommen, der Client (Formularserver) hat sich zuerst bei der Partition HSMPART1 registriert. Damit wird für diesen Client Steckplatz 1 der Partition HSMPART1 zugeordnet. Da HSMPART1 die erste registrierte Partition ist, lautet die Steckplatz-ID 1 und Sie müssten als Steckplatzinfo ebenfalls 1 angeben.
Die Steckplatz-ID wird für jeden Client einzeln festgelegt. Falls Sie einen zweiten Rechner bei einer anderen Partition registriert haben (z. B. HSMPART2 auf demselben HSM-Gerät), würde Steckplatz 1 für diesen Client mit der Partition HSMPART2 verknüpft.
Steckplatzindex: Wenn Sie die Option „Steckplatzindex“ auswählen, stellen Sie die Steckplatzinfo auf eine Ganzzahl ein, die dem Steckplatz entspricht. Dies ist ein 0-basierter Index, das heißt, wenn sich der Client zuerst bei der Partition HSMPART1 registriert hat, wird Steckplatz 1 für diesen Client der Partition HSMPART1 zugeordnet. Da HSMPART1 die erste registrierte Partition ist, hat „Steckplatzindex“ den Wert 0.
-
Zertifikate: (bei Verwendung von SHA 1 nicht erforderlich) Klicken Sie auf „Durchsuchen“ und suchen Sie den Pfad zu dem öffentlichen Schlüssel für die verwendete Berechtigung.
Zertifikat SHA1: (Bei Verwendung eines physischen Zertifikats nicht erforderlich) Geben Sie den SHA1-Wert (Thumbprint) der öffentlichen Schlüsseldatei (.cer) für die verwendete Berechtigung ein. Stellen Sie sicher, dass in dem SHA1-Wert keine Leerzeichen verwendet werden.
Die Spalte „Status“ gibt den aktuellen Status der Berechtigung an. Wenn es zu einem Fehler kommt, wird in der Spalte „Status“ in rotes X angezeigt. Bewegen Sie Ihre Maus über das X, um Quickinfos mit den Fehlerursachen anzuzeigen.
Setzen Sie die offenen Verbindungen mit einem HSM-Gerät nach jeder Unterbrechung der Netzwerksitzung zwischen dem Formularserver und dem HSM-Gerät zurück. Unterbrechungen können beispielsweise aufgrund eines Netzwerkausfalls auftreten oder weil das HSM-Gerät für eine Softwareaktualisierung offline geschaltet wurde. Nach einer Unterbrechung sind die bestehenden Verbindungen nicht aktuell und alle Signierungsanfragen gegen diese Verbindungen schlagen fehl. Durch Verwenden der Option „Alle HSM-Verbindungen zurücksetzen“ werden die alten Verbindungen gelöscht.
AEM Forms verwendet einen webdienstbasierten IPC/RPC-Mechanismus. Über diesen Mechanismus kann AEM Forms ein auf einem Remotecomputer installiertes HSM verwenden. Um diese Funktion zu verwenden, installieren Sie den Webdienst auf dem Remotecomputer, auf dem das HSM installiert ist. Weitere Informationen finden Sie unter Konfigurieren von HSM-Support für AEM Forms ES mit Sun JDK auf Windows 64-Bit-Plattform.
Dieser Mechanismus unterstützt keine Online-Erstellung von HSM-Profilen oder Statusprüfungen. Allerdings gibt es zwei Möglichkeiten, HSM-Profile zu erstellen und Statusprüfungen auszuführen:
Erstellen Sie eine AEM Forms-Clientberechtigung durch Übergabe des Zertifikats des Unterzeichners. Führen Sie die Schritte unter Konfigurieren von HSM-Support für AEM Forms ES mit Sun JDK auf Windows 64-Bit-Plattform aus. Der Webdienst-Speicherort wird als Berechtigungseigenschaft übergeben. Offline-HSM-Profile, die entweder mit DER- oder SHA-1-Hexadezimal-Zertifikat erstellt wurden, werden ebenfalls unterstützt. Wenn Sie jedoch aus einer früheren Version von AEM Forms auf AEM Forms aktualisiert haben, nehmen Sie Clientänderungen vor, da die Berechtigung Zertifikats- und Webdienstinformationen enthielt.
Der Speicherort des Webdienstes wird in Administration Console für den Signature-Dienst angegeben. (Siehe Einstellungen des Signature-Dienstes.) Hier enthielt der Client nur den Alias des HSM-Profils im Trust Store. Sie können diese Option nahtlos ohne Clientänderungen verwenden, auch wenn Sie aus einer früheren Version von AEM Forms auf AEM Forms aktualisiert haben. Diese Option unterstützt keine HSM-Profile, die ein SHA-1-Hexadezimal-Zertifikat verwenden.