Replicação

Requisitos

• Acesso físico aos HSMs com os smart cards e o PIN de cada um.
• Teclado e monitor.
• HSMs com uma interface de rede configurada e acesso à rede.
• Conectividade via porta TCP 4433 entre todos os HSMs.
• Recomendada a configuração de NTP nos HSMs. Se não for possível acerte o relógio.
• Em todos os HSMs:
• serviço iniciado.
• mesmo modo de operação.
• mesmo firmware.
• ativados com a mesma SVMK (Server Master Key).

Passo a Passo

Primeiro escolha qual HSM que você gostaria de replicar e anote o endereço IP, esse será o HSM base. Todos os outros terão os dados sobrescritos com os do HSM base.

Info

Observe que chamar um HSM de base é somente para efeitos de configuração.

A replicação do HSM é multi-master; mais detalhes no tópico Replicação.

A configuração do mecanismo de replicação é feita apenas no HSM que está entrando, portanto não há necessidade de alterações nos HSMs do pool original, quando existir um.

Nenhuma configuração é necessária no HSM base.

Em cada HSM que fará parte do pool (exceto o base) execute o seguinte procedimento:

Atenção

A base dados do HSM (chaves, certificados etc) será sobrescrita pela do HSM base. É recomendado efetuar um backup antes de adicionar o HSM ao pool de replicação.

1. Acesse o HSM fisicamente, usando monitor e teclado, e autentique com os cartões.

2. Entre em Configuration e depois Replication.

   

   Tela de replicação

3. Dentro da opção Replication escolha Node List e depois escolha Discover, insira o IP do HSM base. Isto fará com que a lista dos HSMs conhecidos pelo HSM base seja importada, dispensando o operador de adicionar os IPs do pool manualmente.

   Não use a opção Add, pois seria necessário informar toda a lista dos IPs do pool manualmente.

   

   Lista de nodes

4. Confirme a adição da lista de IPs do HSM base.

   

   Adicionando Node

5. Volte à seção Replication e escolha Database Live Sync. Nesse passo será necessário refazer a autenticação com os cartões.

   

   Sincronização da base

6. Aceite o aviso. Lembrando novamente que este HSM terá os dados sobrescritos pelos do HSM base.

   

   Aviso de sincronização

7. Espere pela sincronização.

   

   Sincronizando a base

8. Finalizada a sincronização será exibida uma mensagem com o ponto de sincronização (Sync Point).

   

   Sincronização finalizada

9. Voltando ao menu, escolha a opção Cross Check e verifique todo o relatório mostrado.

   

   Relatório Cross Check

Aviso

No relatório de Cross Check do último HSM a entrar no pool confira atentamente se cada HSM contem todos os demais em sua lista de IPs e também verifique se há mensagens de alerta ou aviso no relatório.

Verificação Cruzada

O HSM possui uma ferramenta (Cross Check) para checar a replicação cruzada entre todos os nós com ela é possível verificar desbalanceamentos no pool de replicação. É possível executar esta ferramenta local ou remotamente. Neste último caso pode se usar a console HTTP ou a console de linha de comando.

Console HTTP

Conecte usando um navegador, digite o IP de um dos HSMs em https (exemplo: https://192.168.1.100).

Login no Webcon

Escolha Replicação no menu

Replicação

Escolha a opção de verificação cruzada

Replicação cruzada

Uma tela assim irá aparecer:

Replicação sem problemas

Caso tenha algum desbalanceamento irá aparecer assim:

Replicação com problemas

Console Linha de Comando

Abra uma linha de comando (prompt/shell) e digite hsmcon para executar o programa e conecte em algum dos HSMs do pool de replicação.

Na tela principal digite o número do item Replication e enter.

Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks

HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

Main Menu

Keys/Objects              Users                        HSM

 1 - Create...            17 - Create                  33 - Info
 2 - Remove               18 - Remove                  34 - Logs...
 3 - Attributes           19 - List                    35 - Backup...
 4 - Import...            20 - Attributes              36 - Monitoring...
 5 - Export...            21 - Trust Relations         37 - Firmware update
 6 - List                 22 - Password Policy         38 - Replication...
 7 - Permissions...       23 - My Password             39 - SPB...
 8 - Backup                                            40 - EFT...
 9 - Restore                                           41 - IP Filter...
                                                       42 - Tests...
                                                       43 - Dinamo Services...
                                                       44 - Tools...




 0 - Exit

Option: 38

Depois digite 4 e enter

Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks

HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

HSM - Replication



 1 - Info
 2 - Nodes
 3 - Refresh
 4 - Cross Check
 5 - Notify Node Down











 0 - Main Menu

Option: 4

O resultado vem mostrando todos os nós da lista

Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks

HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

HSM - Replication - Cross Check

this                 01 node(s)
    version   : 5.0.22.0
    node list :
        192.168.1.159

192.168.1.159        01 node(s)
    version   : 5.0.22.0
    node list :
        172.17.0.2


Press ENTER key to continue...

Caso tenha algum desbalanceamento irá aparecer uma mensagem escrito !! please check !! do lado do nó que tem problema. Isso normalmente quer dizer que aquele HSM não está com a lista correta de nós.

Dinamo - Remote Management Console v. 4.7.12.0 2018 (c) Dinamo Networks

HSM 192.168.1.141 e - Engine 5.0.22.0 (DXP) - TCA0000000  - ID master

HSM - Replication - Cross Check

this                 01 node(s)
    version   : 5.0.22.0
    node list :
        192.168.1.159

192.168.1.159        00 node(s)         !! please check !!
    version   : 5.0.22.0
    <empty>

Press ENTER key to continue...