Replicación
Requisitos
- Acceso físico a los HSM con las tarjetas inteligentes y el PIN de cada uno.
- Teclado y monitor.
- HSM con una interfaz de red configurada y acceso a la red.
- Conectividad a través del puerto TCP 4433 entre todos los HSM.
- Se recomienda configurar NTP en los HSM. Si no es posible, configure el reloj.
- En todos los HSM:
- servicio iniciado.
- mismo modo de funcionamiento.
- mismo firmware.
- activados con la misma SVMK (Server Master Key).
Paso a paso
En primer lugar, elija el HSM que desea replicar y anote la dirección IP: será el HSM base. Los datos de todos los demás se sobrescribirán con los del HSM base.
Información
Tenga en cuenta que la llamada a un HSM base sólo tiene fines de configuración.
La replicación de HSM es multimaestro; más detalles en el tema Replicación.
El mecanismo de replicación sólo se configura en el HSM entrante, por lo que no es necesario cambiar los HSM del pool original, si lo hay.
No es necesaria ninguna configuración en el HSM base.
En cada HSM que vaya a formar parte del pool (excepto el de base) realice el siguiente procedimiento:
Atención
La base de datos del HSM (claves, certificados, etc.) será sobrescrita por el HSM base. Se recomienda realizar una copia de seguridad antes de añadir el HSM al grupo de replicación.
-
Acceder físicamente al HSM, utilizando un monitor y un teclado, y autenticarse con las tarjetas.
-
Vaya a Configuración y luego a Replicación.
Pantalla de replicación -
Dentro de la opción Replicación, elija Lista de nodos y, a continuación, seleccione DescubrirIntroduzca la IP del HSM base. De este modo se importará la lista de HSM conocidos por el HSM base, lo que evitará que el operador tenga que añadir manualmente las IP del pool.
No utilices la opción Añadir, ya que tendrías que introducir manualmente toda la lista de IPs del pool.
Lista de nodos -
Confirme la adición de la lista IP del HSM base.
Añadir nodo -
Vuelva a la sección Replicación y elija Sincronización en vivo de la base de datos. En este paso tendrá que volver a autenticarse con las tarjetas.
Sincronización de bases -
Acepte la advertencia. Recuerde de nuevo que los datos de este HSM se sobrescribirán con los del HSM base.
Aviso de sincronización -
Espere a la sincronización.
Sincronización de la base -
Una vez finalizada la sincronización, aparecerá un mensaje con elpunto de sincronización.
Sincronización completada -
De nuevo en el menú, elija la opción Comprobación cruzada y compruebe todo el informe mostrado.
Informe de verificación cruzada
Advertencia
En el informe de comprobación cruzada del último HSM que se ha unido al pool, compruebe detenidamente que cada HSM contiene todos los demás en su lista de IP y compruebe también si aparece algún mensaje de advertencia en el informe.
Comprobación cruzada
HSM dispone de una herramienta(Cross Check) para comprobar la replicación cruzada entre todos los nodos. Con ella, puede comprobar si hay desequilibrios en el conjunto de replicación. Puede ejecutar esta herramienta de forma local o remota. En este último caso, puede utilizar la consola HTTP o la consola de línea de comandos.
Consola HTTP
Conéctese mediante un navegador, introduzca la IP de uno de los HSM en https (ejemplo: https://192.168.1.100).
Seleccione Replicación en el menú
Elija la opción de comprobación cruzada
Aparecerá una pantalla como ésta:
Si hay un desequilibrio, aparecerá así:
Consola de línea de comandos
Abra una línea de comandos (prompt/shell) y escriba hsmcon para ejecutar el programa y conectarse a uno de los HSM del grupo de replicación.
En la pantalla principal, escriba el número de elemento de Replicación e introduzca.
Dinamo - Consola de gestión remota v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.141 e - Motor 5.0.22.0 (DXP) - TCA0000000 - ID maestro
Menú principal
Claves/Objetos Usuarios HSM
1 - Crear... 17 - Crear 33 - Información
2 - Eliminar 18 - Eliminar 34 - Registros...
3 - Atributos 19 - Lista 35 - Copia de seguridad...
4 - Importar... 20 - Atributos 36 - Supervisión...
5 - Exportar... 21 - Relaciones de confianza 37 - Actualización del firmware
6 - Lista 22 - Política de contraseñas 38 - Replicación...
7 - Permisos... 23 - Mi contraseña 39 - SPB...
8 - Copia de seguridad 40 - EFT...
9 - Restaurar 41 - Filtro IP...
42 - Pruebas...
43 - Dinamo Servicios...
44 - Herramientas...
0 - Salir
Opción: 38
A continuación, escriba 4 e introduzca
Dinamo - Consola de gestión remota v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.141 e - Motor 5.0.22.0 (DXP) - TCA0000000 - ID maestro
HSM - Replicación
1 - Información
2 - Nodos
3 - Actualizar
4 - Comprobación cruzada
5 - Notificar nodo caído
0 - Menú principal
Opción: 4
El resultado muestra todos los nodos de la lista
Dinamo - Consola de gestión remota v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.141 e - Motor 5.0.22.0 (DXP) - TCA0000000 - ID maestro
HSM - Replicación - Comprobación cruzada
este 01 nodo(s)
versión : 5.0.22.0
lista de nodos :
192.168.1.159
192.168.1.159 01 nodo(s)
versión : 5.0.22.0
lista de nodos :
172.17.0.2
Pulse la tecla ENTER para continuar...
Si hay un desequilibrio, aparecerá un mensaje diciendo !!! ¡¡¡por favor, compruébelo!! junto al nodo que tiene un problema. Esto suele significar que el HSM no tiene la lista correcta de nodos.
Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks
HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000 - ID master
HSM - Replication - Cross Check
this 01 node(s)
version : 5.0.22.0
node list :
192.168.1.159
192.168.1.159 00 node(s) !! please check !!
version : 5.0.22.0
<empty>
Press ENTER key to continue...