将 Address Manager 加入 Security World - BlueCat Integrity

将 Address Manager 加入 Security World - BlueCat Integrity - 9.5.0

管理指南

Locale

中文 (大陆)

Product name

BlueCat Integrity

Version

9.5.0

使用 RFS 或上传 Security World 文件配置 Security World 后，必须接着将 Address Manager 加入到 Security World。

这涉及将 Address Manager 与已在 Address Manager 中创建的 HSM 服务器相关联。从下拉菜单中选择 HSM 服务器，并根据需要重新排序；列表中最顶层的 HSM 服务器充当主节点。根据需要选择多个 HSM 服务器，并设置允许 Address Manager 和 HSM 服务器之间最快通信的顺序。

如果使用远程文件系统将 Address Manager 和 DNS 服务器加入 Security World，则会为无验证配置 RFS，这是 DNSSEC 和 HSM 故障切换的首选状态。有验证的 RFS 同步会将验证设置为单个 HSM 服务器，这可能会阻止其他客户端加入 Security World。

要将 Address Manager 加入 Security World：

选择管理选项卡。选项卡会记住上次处理的页面，因此请再次选择该选项卡以确保您在管理页面上。
在通用下，单击 HSM 配置。
在加入 Security World 下，单击将 Address Manager 加入到 Security World。
在通用下，从 HSM 服务器下拉菜单中选择 HSM 服务器，然后单击添加。重复此步骤以根据需要添加任意数量的 HSM 服务器。
要对列表中 HSM 服务器的层次结构重新排序，请选择 HSM 服务器，然后单击上移或下移。顶部的 HSM 服务器将为主要；“主要”以下的 HSM 服务器将是备用服务器（第二级服务器或第三级服务器）。单击移除以从列表中删除 HSM 服务器。
单击加入。Address Manager 返回 HSM 配置信息页面。
注：如果在复制中运行 Address Manager，则必须手动将备用 Address Manager 服务器加入 Security World。这涉及中断复制，然后登录备用 Address Manager 服务器的用户界面并重复 HSM 配置流程：
- 创建 HSM 配置（使用相同的名称和密钥提供程序）
- 添加与主服务器相同的 HSM 服务器（使用相同的端口号）
- 使用与主服务器相同的模式配置 Security World
- 将备用 Address Manager 加入 Security World
将备用 Address Manager 加入 Security World 后，必须重置 Address Manager 复制。有关中断和重置 Address Manager 复制的完整详细信息，请参阅复制数据库以进行 Address Manager 灾难复原。

Address Manager 加入 Security World 后，就可以使用其他选项：

更新 Security World 配置 — 更改 Security World 的配置模式；要么使用 RFS，要么上传 Security World 文件。有关详情，请参阅更新 Security World 配置。
更新 Address Manager 的 Security World — 单击以添加、移除或移动 Security World 中的 HSM 服务器。有关详情，请参阅更新 Address Manager 的Security World。
从 Security World 移除 Address Manager — 从 Security World 中撤回 Address Manager。有关详情，请参阅从 Security World 中移除 Address Manager。

接下来，必须在托管 DNS 服务器上启用 HSM。有关详情，请参阅在 DNS 服务器上启用 HSM。

注： 断开连接的 HSM 服务器不会添加到 HSM 配置中

作为最佳实践，请验证是否已连接到 Address Manager 用户界面中列出的所有 HSM 服务器。要确认 HSM 服务器的连接状态，请执行以下操作：

以 root 身份通过 SSH 登录 Address Manager。
运行以下命令：
```
hsm-status.sh
```

Address Manager 应为每个 HSM 服务器返回“连接状态正常”。确保连接状态消息的数量与在 Address Manager 用户界面中配置的 HSM 服务器的数量相匹配。

如果 Address Manager 无法连接到 HSM 服务器，或者确认的连接数小于添加到 Address Manager 用户界面的 HSM 服务器数量，请参阅故障排除。

注： Address Manager 或 DNS/DHCP 服务器无法连接到 Security World

如果 Address Manager 或 DNS/DHCP 服务器无法连接到 Security World，则服务器可能无法在稍后某个时间点连接到 Security World。如果发生这种情况，请在尝试将 Address Manager 或 DNS/DHCP 服务器重新连接到 Security World 之前，先执行以下操作：

以 root 身份通过 SSH 登录 Address Manager 或 DNS/DHCP 服务器。
在 /opt/nfast/kmdata/config/config 文件中移除 HSM 模块和 RFS 的设置。

恢复文件的以下权限。

-rwxr-x--- 1 nfast nfast 15187 Mar 24 19:56 /opt/nfast/kmdata/config/config

使用以下命令重新启动 nCipher 服务：
```
/opt/nfast/sbin/init.d-ncipher restart
```

成功重新启动服务后，可以重新尝试将 Address Manager 或 DNS/DHCP 服务器添加到 Security World。