使用 RFS 或上传 Security World 文件配置 Security World 后,必须接着将 Address Manager 加入到 Security World。
这涉及将 Address Manager 与已在 Address Manager 中创建的 HSM 服务器相关联。从下拉菜单中选择 HSM 服务器,并根据需要重新排序;列表中最顶层的 HSM 服务器充当主节点。根据需要选择多个 HSM 服务器,并设置允许 Address Manager 和 HSM 服务器之间最快通信的顺序。
如果使用远程文件系统将 Address Manager 和 DNS 服务器加入 Security World,则会为无验证配置 RFS,这是 DNSSEC 和 HSM 故障切换的首选状态。有验证的 RFS 同步会将验证设置为单个 HSM 服务器,这可能会阻止其他客户端加入 Security World。
要将 Address Manager 加入 Security World:
Address Manager 加入 Security World 后,就可以使用其他选项:
- 更新 Security World 配置 — 更改 Security World 的配置模式;要么使用 RFS,要么上传 Security World 文件。有关详情,请参阅更新 Security World 配置。
- 更新 Address Manager 的 Security World — 单击以添加、移除或移动 Security World 中的 HSM 服务器。有关详情,请参阅更新 Address Manager 的Security World。
- 从 Security World 移除 Address Manager — 从 Security World 中撤回 Address Manager。有关详情,请参阅从 Security World 中移除 Address Manager。
接下来,必须在托管 DNS 服务器上启用 HSM。有关详情,请参阅在 DNS 服务器上启用 HSM。
注: 断开连接的 HSM 服务器不会添加到 HSM 配置中
作为最佳实践,请验证是否已连接到 Address Manager 用户界面中列出的所有 HSM 服务器。要确认 HSM 服务器的连接状态,请执行以下操作:
- 以 root 身份通过 SSH 登录 Address Manager。
- 运行以下命令:
hsm-status.sh
Address Manager 应为每个 HSM 服务器返回“连接状态正常”。确保连接状态消息的数量与在 Address Manager 用户界面中配置的 HSM 服务器的数量相匹配。
如果 Address Manager 无法连接到 HSM 服务器,或者确认的连接数小于添加到 Address Manager 用户界面的 HSM 服务器数量,请参阅 故障排除。
注: Address Manager 或 DNS/DHCP 服务器无法连接到 Security World
如果 Address Manager 或 DNS/DHCP 服务器无法连接到 Security World,则服务器可能无法在稍后某个时间点连接到 Security World。如果发生这种情况,请在尝试将 Address Manager 或 DNS/DHCP 服务器重新连接到 Security World 之前,先执行以下操作:
- 以 root 身份通过 SSH 登录 Address Manager 或 DNS/DHCP 服务器。
- 在 /opt/nfast/kmdata/config/config 文件中移除 HSM 模块和 RFS 的设置。
- 恢复文件的以下权限。
-rwxr-x--- 1 nfast nfast 15187 Mar 24 19:56 /opt/nfast/kmdata/config/config
- 使用以下命令重新启动 nCipher 服务:
/opt/nfast/sbin/init.d-ncipher restart
成功重新启动服务后,可以重新尝试将 Address Manager 或 DNS/DHCP 服务器添加到 Security World。