KMSAGENT相关参数解释

SCENARIO

Position

应为aivault，表示密钥由AI-Vault管理的模式。

SERVER_FOR_CFS

IP

KMSAGENT连接Crypto-FS通信的IP。只能设置为127.0.0.1或172.0.0.0-172.255.255.255。

Port

KMSAGENT连接Crypto-FS通信的端口。端口范围[1024-65535]。

CaPath

KMSAGENT连接Crypto-FS通信的服务端根证书路径。设置的路径必须是存在的文件且HwHiAiUser 用户可访问。

TlsVersion

TLS通信协议版本号， 只能配置为TLSv1.3。

SslCipherSuites

安全密码套件名称，可选TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256。

TlsCertPath

TLS通信协议证书路径。设置的目录必须是存在且HwHiAiUser用户可访问。

TlsBackupCertPath

TLS通信协议证书路径备份。设置目录必须是存在且HwHiAiUser用户可访问。

CheckCertPeriod

检查证书的间隔时间。单位为天。默认周期为7天，配置范围为[1, 7]。

LastTimeForAlarm

产生告警时证书的剩余有效期。单位为天。默认值为90天，配置范围为[7, 180]。

CLIENT_FOR_AIVAULT

ConnectIP

KMSAGENT连接AiVault通信的IP。可配置IP为ABC类地址。

ConnectPort

KMSAGENT连接AiVault通信的端口。端口范围[1024-65535]。

CaPath

KMSAGENT连接AiVault通信的服务端根证书路径。设置的路径必须是存在的文件且HwHiAiUser 用户可访问。

TlsVersion

TLS通信协议版本号， 只能配置为TLSv1.3。

SslCipherSuites

安全密码套件名称，可选TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256。

TlsCertPath

TLS通信协议证书路径。设置的目录必须是存在且HwHiAiUser用户可访问。

TlsBackupCertPath

TLS通信协议证书路径备份。设置目录必须是存在且HwHiAiUser用户可访问。

CheckCertPeriod

检查证书的间隔时间。单位为天。默认周期为7天，配置范围为[1, 7]。

LastTimeForAlarm

产生告警时证书的剩余有效期。单位为天。默认值为90天，配置范围为[7, 180]。

KMSAGENT_KEYSTORE

KmcMainPath

kmsagent 运行时使用的kmc keystorefilea 。设置的文件可不存在，但是该文件的上层目录必须存在且HwHiAiUser 用户可访问。

KmcBackupPath

kmsagent运行时使用的kmc keystorefileb 。设置的文件可不存在，但是该文件的上层目录必须存在且HwHiAiUser 用户可访问。

KMSAGENT_PERFORMANCE

AcceptCfsFrequency

kmsagent每秒接收cfs加解密连接请求的数量，最小为1,最大值为128，默认值为32。

MaxMem

kmsagent内存限制，最小值为40M。0表示不限制内存，默认值为0。

WarnFdNums

表示kmsagent和cfs打开fd数目的告警值，达到配置值数目，日志告警提示。值>500

MaxFdNums

表示kmsagent和cfs打开fd数目的最大值，达到配置值数目，日志告警提示，并且进程睡眠5分钟。值>500

KMSAGENT_LOG

MaxLogSize

KMSAGENT日志大小，默认值为10*1024*1024。最小值512，最大值为20*1024*1024（单位byte）。

MaxLogFileNum

KMSAGENT日志数量，默认值为10。值范围[1-20]。

RunLogPath

KMSAGENT运行日志文件的目录。路径必须存在，且HwHiAiUser用户可读写访问。{$HOME}指用户home路径，默认地址为：{$HOME}/.kmsagent_log/。

SecLogPath

KMSAGENT安全日志文件的目录。路径必须存在，且HwHiAiUser用户可读写访问。{$HOME}指用户home路径，默认地址为：{$HOME}/.kmsagent_log/。

OpLogPath

KMSAGENT操作日志文件的目录。路径必须存在，且HwHiAiUser用户可读写访问。{$HOME}指用户home路径，默认地址为：{$HOME}/.kmsagent_log/。

VERIFICATION

FileCheckData

配置文件校验码，用户不可改。

kmsagent <config_path> <config_ksf_path>

启动kmsagent。

• config_path，配置文件路径。
• config_ksf_path，keystore文件路径，用于校验配置文件完整性。

kmsagent <-c config_path> <-k ksf_path> <-s section> <-n name> <-v value>

修改kmsagent配置文件。

• -c, --config_path，配置文件。
• -k, --ksf_path，keystore路径。
• -s, --section，配置项所属section。
• -n, --name，待修改的配置项。
• -v, --value，修改值。

kmsagent ${tls} get-csr <keyAndsignAlg_param> <cert_op_param> <config_path> <config_ksf_path>

生成csr功能。

• tls ，证书操作标识，可选tls-client、tls-cfs。tls-client为KMSAgent与AI-Vault双向通信证书操作的标志，tls-cfs为KMSAgent与Crypto-FS双向通信证书操作的标志。
• get-csr，生成csr标识。
• keyAndsignAlg_param，生成csr文件的密钥和签名算法参数，密钥长度范围 [4096,8192] ，签名算法可选值：sha256、sha384、sha512，样例：rsa:4096:sha256。
• cert_op_param，用户信息参数，样例：CN|sichuan|chengdu|Huawei|yanfabu。
• config_path，配置文件路径。
• config_ksf_path，keystore文件路径，用于校验配置文件完整性。

kmsagent ${tls} set-cert <cert_op_param> <config_path> <config_ksf_path>

导入证书功能。

• tls ，证书操作标识，可选tls-client、tls-cfs。tls-client为KMSAgent与AI-Vault双向通信证书操作的标志，tls-cfs为KMSAgent与Crypto-FS双向通信证书操作的标志。
• set-cert，导入证书标识。
• cert_op_param，用户信息参数，样例：server.pem root_ca.pem other_ca.pem，server.pem为导入证书，root_ca.pem证书用于验证服务证书。
• config_path，配置文件路径。
• config_ksf_path，keystore文件路径，用于校验配置文件完整性

kmsagent ${tls} cert-info <config_path> <config_ksf_path>

查询证书功能。

• tls ，证书操作标识，可选tls-client、tls-cfs。tls-client为KMSAgent与AI-Vault双向通信证书操作的标志，tls-cfs为KMSAgent与Crypto-FS双向通信证书操作的标志。
• cert-info，查询证书标识。
• config_path，配置文件路径。
• config_ksf_path，keystore文件路径，用于校验配置文件完整性。

kmsagent ${tls} set-crl <crl_path> <config_path> <config_ksf_path>

导入crl功能。

• tls ，证书操作标识，可选tls-client、tls-cfs。tls-client为KMSAgent与AI-Vault双向通信证书操作的标志，tls-cfs为KMSAgent与Crypto-FS双向通信证书操作的标志。
• set-crl ，导入crl标志。
• crl_path，吊销列表文件路径。
• config_path，配置文件路径。
• config_ksf_path，keystore文件路径，用于校验配置文件完整性。

kmsagent [options]

版本及帮助选项。

• -h, --help，打印帮助信息。
• -V, --version，显示版本号。