Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

7.4. 为 Trustway HSM 配置密钥管理器服务

您必须修改 OpenStackControl 自定义资源(CR)的 Key Manager (barbican)服务部分,以将您的 Trustway HSM 与 OpenShift (RHOSO)上的 Red Hat OpenStack Services 完全集成。

流程

  1. OpenStackControlPlane CR 中配置 Key Manager 服务,以用于 Trustway HSM: 

    spec:
  barbican:
    apiOverride:
      route: {}
    enabled: true
    template:
      globalDefaultSecretStore: pkcs11
      enabledSecretStores:
        - pkcs11
        - simple_crypto
      apiTimeout: 90
      barbicanAPI:
        apiTimeout: 0
        customServiceConfig: |
          [secretstore:pkcs11]
          secret_store_plugin = store_crypto
          crypto_plugin = p11_crypto
          [p11_crypto_plugin]
          plugin_name = PKCS11
          library_path = /opt/tw_proteccio/lib/libnethsm.so
          token_labels = <token_label>
          mkek_label = <mkek_label>
          hmac_label = <hmac_label>
          encryption_mechanism = CKM_AES_CBC
          hmac_key_type = CKK_GENERIC_SECRET
          hmac_keygen_mechanism = CKM_GENERIC_SECRET_KEY_GEN
          hmac_mechanism = CKM_SHA256_HMAC
          key_wrap_mechanism = CKM_AES_CBC_PAD
          key_wrap_generate_iv = true
          always_set_cka_sensitive = true
          os_locking_ok = false

        pkcs11:
          loginSecret: "login_secret"
          clientDataSecret: "proteccio-data"
          clientDataPath: /etc/proteccio
    Copy to Clipboard Toggle word wrap
    • <token_label > 替换为 HSM 的令牌标签。如果使用 HA,您必须将 < token_label&gt; 替换为虚拟令牌序列号。
    • <mkek_label > 替换为用户定义的标签。如果您已经定义了此标签,则必须使用相同的标签。

    • <hmac_label > 替换为用户定义的标签。如果您已经设置了此设置,则必须使用相同的标签。

      注意

      使用以下选项之一来标识您可以使用的 HSM。这些选项是相互排斥的,其优先级顺序如下:

      Expand

      参数

      value

      优先级

      token_serial_number

      <serial_number>

      1 - 最高

      token_labels

      以逗号分隔的列表

      2 - 中

      slot-id

      <slot_id>

      3 - 最低

  2. 可选:如果您保存了使用 RHOSO Key Manager simple_crypto 的 secret,请通过启用多个后端保持这些 secret 可用: 

    spec:
  barbican:
    apiOverride:
      route: {}
    enabled: true
    template:
      globalDefaultSecretStore: pkcs11
      enabledSecretStores:
        - pkcs11
        - simple_crypto
    Copy to Clipboard Toggle word wrap

  3. 部署 OpenStackControlPlane CR: 

    $ oc apply -f openstack_control_plane.yaml
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat