Replicación
Requisitos
- Acceso físico a los HSM con las tarjetas inteligentes y el PIN de cada uno.
- Teclado y monitor.
- HSM con una interfaz de red configurada y acceso a la red.
- Conectividad a través del puerto TCP 4433 entre todos los HSM.
- Se recomienda configurar NTP en los HSM. Si no es posible, configure el reloj.
- En todos los HSM:
- servicio iniciado.
- mismo modo de funcionamiento.
- mismo firmware.
- activados con la misma SVMK (Server Master Key).
Consola local
En primer lugar, elija el HSM que desea replicar y anote la dirección IP: será el HSM base. Los datos de todos los demás se sobrescribirán con los del HSM base.
Información
Tenga en cuenta que la llamada a un HSM base sólo tiene fines de configuración.
masterLa replicación de HSM es múltiple; más detalles en el tema Replicación.
El mecanismo de replicación sólo se configura en el HSM entrante, por lo que no es necesario cambiar los HSM del pool original, si lo hay.
No es necesaria ninguna configuración en el HSM base.
En cada HSM que vaya a formar parte del pool (excepto el de base) realice el siguiente procedimiento:
Atención
La base de datos del HSM (claves, certificados, etc.) será sobrescrita por el HSM base. Se recomienda realizar una copia de seguridad antes de añadir el HSM al grupo de replicación.
-
Acceder físicamente al HSM, utilizando un monitor y un teclado, y autenticarse con las tarjetas.
-
Vaya a Configuración y luego a Replicación.
Dinamo - Local Management Console ┌──────┤ Replication ├──────┐ │ ◂ │ │ Domain │ │ Neighborhood Scan │ │ Node List │ │ Cross Check │ │ Pending Transaction │ │ Sync Point │ │ Interface Binding │ │ Policy │ │ Database Live Sync │ └───────────────────────────┘ Service running... Replication Domain: <none>Pantalla de replicación -
Dentro de la opción Replicación, elija Lista de nodos y, a continuación, seleccione DescubrirIntroduzca la IP del HSM base. De este modo, se importará la lista de HSM conocidos por el HSM base, lo que evitará que el operador tenga que añadir manualmente las IP del pool.
No utilices la opción Añadir, ya que tendrías que introducir manualmente toda la lista de IPs del pool.
Dinamo - Local Management Console ┌─────────────────────┤ Node List ├──────────────────────┐ │ │ │ ┌────────────────────────────────────────────────────┐ │ │ │ ↑ │ │ │ │ ░ │ │ │ │ ▒ │ │ │ │ ▒ │ │ │ │ ▒ │ │ │ │ ▒ │ │ │ │ ▒ │ │ │ │ ↓ │ │ │ └────────────────────────────────────────────────────┘ │ │ │ │ A - Auto Discovered M - Manual Entry │ │ │ │ ┌──────────┐ ┌──────┐ ┌───────┐ ┌───────┐ ┌───────┐ │ │ │ Discover │ │ Test │ │ Add │ │ Del │ │ Close │ │ │ └──────────┘ └──────┘ └───────┘ └───────┘ └───────┘ │ │ │ └────────────────────────────────────────────────────────┘ Service running... Replication Domain: <none>Lista de nodos -
Confirme la adición de la lista IP del HSM base.
Dinamo - Local Management Console ┌─────────────────────┤ Node List ├──────────────────────┐ │ │ │ ┌────────────────────────────────────────────────────┐ │ │ │ ↑ │ │ │ │ ░ │ │ │ │ ▒ │ │ │ │ ┌───────────────────┤ ├───────────────────┐ ▒ │ │ │ │ │ │ ▒ │ │ │ │ │ Retrieve list from specific remote node? │ ▒ │ │ │ │ │ │ ▒ │ │ │ │ │ ┌────┐ ┌─────┐ │ ↓ │ │ │ └────│ │ No │ │ Yes │ │ ───┘ │ │ │ └────┘ └─────┘ │ │ │ │ │ │ │ │ │ │ │ ┌──└──────────────────────────────────────────┘ ──┐ │ │ │ Di e │ │ │ └──────────┘ └──────┘ └───────┘ └───────┘ └───────┘ │ │ │ └────────────────────────────────────────────────────────┘ Service running... Replication Domain: <none>Añadir nodo -
Vuelva a la sección Replicación y elija Sincronización en tiempo real de la base de datos. En este paso tendrá que volver a autenticarse con las tarjetas.
Dinamo - Local Management Console ┌──────┤ Replication ├──────┐ │ ◂ │ │ Domain │ │ Neighborhood Scan │ │ Node List │ │ Cross Check │ │ Pending Transaction │ │ Sync Point │ │ Interface Binding │ │ Policy │ │ Database Live Sync │ └───────────────────────────┘ Service running... Replication Domain: <none>Sincronización de bases -
Acepte la advertencia. Recuerde de nuevo que los datos de este HSM se sobrescribirán con los del HSM base.
Dinamo - Local Management Console ┌─────────────────┤ Database Live Sync ├──────────────────┐ │ │ │ IMPORTANT NOTE │ │ │ │ In order to continue, the HSM database │ │ will be fully overwritten. │ │ │ │ Are you sure you want to proceed? │ │ │ │ ┌────┐ ┌─────┐ │ │ │ No │ │ Yes │ │ │ └────┘ └─────┘ │ │ │ │ │ └─────────────────────────────────────────────────────────┘ Service running... Replication Domain: <none>Aviso de sincronización -
Espere a la sincronización.
Dinamo - Local Management Console ┌──────────┤ Live Syncing Database ├──────────┐ │ │ │ │ │ setup: step 15 of 22 │ │ │ │ 89% │ │ │ │ │ └─────────────────────────────────────────────┘ Service running... Replication Domain: <list>Sincronización de la base -
Una vez finalizada la sincronización, aparecerá un mensaje con elpunto de sincronización.
Dinamo - Local Management Console ┌─────────┤ Sync Point ├─────────┐ │ │ │ Database live sync done. │ │ │ │ D4257575BD61632B 6331 │ │ │ │ │ │ ┌────┐ │ │ │ OK │ │ │ └────┘ │ │ │ │ │ └────────────────────────────────┘ Service running... Replication Domain: <list>Sincronización completada -
De nuevo en el menú, elija la opción Comprobación cruzada y compruebe todo el informe mostrado.
Dinamo - Local Management Console ┌───────────────────────────┤ Cross Check ├────────────────────────────┐ │ │ │ │ │ this 01 node(s) ↑ │ │ version : 5.2.0.0 ░ │ │ node list : ▒ │ │ 172.17.0.2 ▒ │ │ ▒ │ │ 172.17.0.2 01 node(s) ▒ │ │ version : 5.2.0.0 ▒ │ │ node list : ▒ │ │ 172.17.0.3 ▒ │ │ ▒ │ │ ↓ │ │ │ │ ┌───────┐ │ │ │ Close │ │ │ └───────┘ │ │ │ └──────────────────────────────────────────────────────────────────────┘ Service running... Replication Domain: <list>Informe de verificación cruzada
Advertencia
En el informe de comprobación cruzada del último HSM que se ha unido al pool, compruebe detenidamente que cada HSM contiene todos los demás en su lista de IP y compruebe también si aparece algún mensaje de advertencia en el informe.
Comprobación cruzada
HSM dispone de una herramienta(Cross Check) para comprobar la replicación cruzada entre todos los nodos. Con ella, puede comprobar si hay desequilibrios en el conjunto de replicación. Puede ejecutar esta herramienta de forma local o remota. En este último caso, puede utilizar la consola HTTP o la consola de línea de comandos.
Consola HTTP
Conéctese mediante un navegador, introduzca la IP de uno de los HSM en https (ejemplo: https://192.168.1.100).
Seleccione Replicación en el menú.
Haga clic en el icono de la cruz en la esquina superior derecha:
Si se detecta un desequilibrio en la configuración u otro error, el informe le avisará:
Consola CLI
Abra una línea de comandos (prompt/shell) y escriba hsmcon para ejecutar el programa y conectarse a uno de los HSM del grupo de replicación.
En la pantalla principal, escriba el número del elemento Replicación y Introduzca.
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
Main Menu
Keys/Objects Users HSM
1 - Create... 17 - Create 33 - Info
2 - Remove 18 - Remove 34 - Logs...
3 - Attributes 19 - List 35 - Backup...
4 - Import... 20 - Attributes 36 - Monitoring...
5 - Export... 21 - Trust Relations 37 - Firmware update
6 - List 22 - Password Policy 38 - Replication...
7 - Permissions... 23 - My Password 39 - SPB...
8 - Backup 40 - EFT...
9 - Restore 41 - IP Filter...
42 - Tests...
43 - Dinamo Services...
44 - Tools...
0 - Exit
Option: 38
A continuación, escriba 4 e introduce:
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - Replication
1 - Info
2 - Nodes
3 - Refresh
4 - Cross Check
5 - Notify Node Down
0 - Main Menu
Option: 4
El resultado muestra todos los nodos de la lista:
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - Replication - Cross Check
this 01 node(s)
version : 5.0.22.0
node list :
192.168.1.159
192.168.1.159 01 node(s)
version : 5.0.22.0
node list :
172.17.0.2
Press ENTER key to continue...
Si hay un desequilibrio, aparecerá un mensaje diciendo !!! por favor compruébelo !! junto al nodo que tiene un problema. Esto suele significar que el HSM no tiene la lista correcta de nodos.
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - Replication - Cross Check
this 01 node(s)
version : 5.0.22.0
node list :
192.168.1.159
192.168.1.159 00 node(s) !! please check !!
version : 5.0.22.0
<empty>
Press ENTER key to continue...