上一主题: 更新私钥和操作员卡下一主题: 在 CA APM 中使用智能卡身份验证

在 CA CEM 中使用 nCipher使用 CA CEM 排除 nCipher 故障

使用 CA CEM 排除 nCipher 故障

可能需要使用 CA CEM 排除 nCipher 的安装故障。

症状:

安装 nCipher 卡之后 TIM 未启动。 或者,TIM 上的 nCipher 安装不工作。

解决方案:

  1. 复查“TIM 系统设置”>“查看 nCipher 状态”页面。
  2. 请参阅验证 TIM 上的 nCipher 安装

症状:

nCipher HSM 未按预期运行。

解决方案:

  1. 每次将卡插入插槽时,插入计数就会增加。 因此,如果卡未正确插入而随后重新插入,此操作将反映到计数中。
  2. 复查“TIM 系统设置”>“查看 TIM SSL 服务器状态”页面。 请参阅验证受 nCipher 保护的 Web 通信
  3. 复查 /etc/wily/cem/tim/logs/ncipher/preload-log.txt 中的 nCipher 日志信息。 请参阅重新启动 TIM 并验证配置
  4. 复查 TIM 日志。
  5. 重新定位密钥 (generatekey) 时,可能会收到一条消息,指示“ERROR: Module #1: LoadBlob (loading private blob) failed: Malformed”。 在 nCipher 软件版本不匹配时,可能会发生此情况。 请升级您的 Web 服务器以匹配 TIM 上的 nCipher 版本,或者与 Thales 技术支持联系。
  6. 如果操作员卡中的某个密码短语与保存的密码短语不匹配,或者读卡器中的卡不正确(或没有卡),则将无法自动启动 TIM。 (这不在 TIM 日志中,但可在 /etc/wily/cem/tim/logs/ncipher/preload1-log.txtpreload2-log.txt 文件中找到。)在这种情况下,可以使用 nCipher 配置页面,并启动 TIM 或保存所需的信息,然后使用“TIM 系统设置”>“启动或停止 TIM”页面来启动 TIM。
  7. 复查 TIM 启动日志。
  8. 是否有来自 Web 服务器的 OCS 和操作员卡? 如果没有,TIM 可能不会启动。
  9. 是否已将安全全局环境的二进制副本从 Web 服务器复制到 TIM? 如果没有,则这就是在重新定位期间出现格式错误的 blob 的原因。
  10. 确保在运行 new-world 时有 kmdata。
  11. 了解在运行 new-world 之前 ACS 卡及其密码短语的数量。
  12. 确保将 TIM HSM 设置到 I 位置,并将跳线设置为 OFF 以进行预初始化。
  13. 确保将 ncipher HSM 设置到 I 以进行预初始化(在运行 new-world 之前),在运行 new-world 之后设置到 O。
  14. 在运行 new-world 之前,不要忘记清除寄存器。

症状:

我安装了 nCipher 卡和软件,但 TIM 不会从 Web 服务器将数据解密,并且在启动时,TIM 日志将显示以下消息: 

Initializing SSL crypt engine 
Sslinterface: "chil" SSL engine initialization failed

解决方案:

  1. 验证是否已安装 nCipher 捆绑包 Chil SSL:
    1. 登录到 TIM 控制台(使用 PuTTY 或类似的 ssh 客户端)。
    2. 验证以下 nCipher 捆绑包是否存在:/opt/nfast/toolkit/hwcrhk/libnfhwcrhk.so
  2. 如果 nCipher 捆绑包 Chil SSL 不存在,则从 nCipher CD 进行安装:
    1. 有关详细信息,请参阅 nCipher 安装指南。 (在 nCipher 11.30 中,该捆绑包命名为 /<CD>/linux/lib6-3/nfast.hwcrhk/user.tar。)
    2. 重新启动 TIM。

      TIM 日志应显示 Chil SSL 捆绑包已初始化。

      Wed Mar 30 02:09:20 2011 19826   Initializing SSL crypt engine
Wed Mar 30 02:09:20 2011 19826   sslinterface: "chil" SSL engine found
Wed Mar 30 02:09:20 2011 19826   sslinterface: "chil" SSL engine initialized

症状:

我希望验证 TIM 是否正在对由具有 nCipher 的 Web 服务器加密的 HTTPS 通信进行解密。

解决方案:

在 TIM 日志中查找跟踪连接并跟踪 HTTPS 组件。

您应该会同时看到连接和 HTTPS 组件。 例如,如果 https 服务器在端口 9966 上为 172.16.163.52,则如果启用了连接跟踪,这些组件可能会显示如下:

Wed Mar 30 02:34:00 2011 19826   Trace: [172.16.163.32]:3691->[172.16.163.52]:9966 opened

或者如果启用了组件跟踪,可能会显示如下:

Wed Mar 30 02:34:00 2011 19826   Trace: Component #18 request: 172.16.163.52/testpage.html client=[172.16.163.32]:3691 server=[172.16.163.52]:9966 at 02:34:00

如果 TIM 无法将通信解密,将仅显示以下连接消息:

Wed Mar 30 02:34:00 2011 19826   Trace: [172.16.163.32]:3691->[172.16.163.52]:9966 opened

Wed Mar 30 02:34:00 2011 19826   Trace: [172.16.163.32]:3691->[172.16.163.52]:9966 closed