三未信安密码机安装与配置

产品信息：

加密机型号：SJJ1012-A

加密机序列号：

实施目标

三未信安加密机上架。

配置IP地址，初始化访问控制

生成ECC密钥对（至少200对）

生成对称密钥对（至少100对）

实施步骤

1. 安装密码机

1. 打开密码机包装，对照“装机清单”，检查设备配件是否齐全。
2. 从包装箱中取出密码机主机，并将设备固定到安装位置。
3. 使用电源线连接电源。
4. 打开密码机电源开关，启动密码机。

2. 管理密码机

1. 准备一台PC机作为管理终端，使用网线连接到密码机的“网口2”。

2. 修改管理终端的IP地址，与密码机IP地址为同一个网段。 密码机网口2默认地址为：

IP地址：192.168.10.12 子网掩码：255.255.255.0

3. 采用管理终端和密码机直连的方式。

4. 打开IE网页浏览器，输入密码机IP地址：http://192.168.10.12。

5. 打开登录界面后，使用用户名“swhsm”登录，默认登录密码是“swxa1234”，登录后即可进行管理配置。

3. 初始化密码机：

1. 初始化密码机：清空所有密钥及管理信息。

2. 增加管理员：为保证设备的安全性、可靠性，及正常使用所有功能，建议设置3个管理员（标准配置）。

3. 增加操作员：用于启动密码服务，增加1个操作员（标准配置）。

4. 密钥生成与管理：

1. SM2密钥管理：产生安全应用系统需要的ECC签名密钥对或加密密钥对并保存在密码设备内部。

2. SM4对称密钥管理：产生安全应用系统需要的对称密钥并保存在密码设备内部。

5. 密码机网络配置：

网络配置：根据现场需求配置网口1地址作为业务调用 网口2地址为管理地址

注意：密码机只能配置一个网关

6. 密码机服务配置：

配置服务信息：修改服务启动参数。

6. 准备工作

1）每台设备需要一个业务ip地址，需要确认机器接入几根网线（密码机为俩个网口，只能配置1个网关）

2）确认机器需要生成的密钥类型及密钥模长，及索引号（包含SM2、SM4）

3）确认设备上架的机房位置机柜及U数

4）实施完后，密码机相关配件交付人员

5）实施完后是否需要关闭tomcat和ssh功能，进行串口管理（防止后期出现扫描漏洞，关闭后不影响密码机服务正常调用）

6）正常添加1个操作员3个管理员

7. 密码机高可用性

三未信安服务器密码机提供了冗余备份功能，以确保在设备故障时提供备用方案，在可靠性和经济性方面找到平衡点。三未信安密码机具有多机热备、负载均衡等多种冗余备份模式，本次实施按照负载均衡方式进行部署。

负载均衡（Active-to-Active）指的是当密码应用的访问量不断增长，单个服务器密码机无法满足负载需求，应用访问将要出现瓶颈时，使用多台服务器共同分担密码运算负载，缩短响应时间，优化性能，同时还能实现冗余备份，避免单点故障。

通过对密码机进行相关配置，并在服务器密码机接口配置文件填写密码机的IP开启负载均衡模式，在负载均衡模式下，两台服务器密码机并行工作，都处于正常的密码处理状态，且内部配置自动同步，以达到分担密码应用流量，而又相互备份保障高可用的目的。