Connect das Client-SDK mit dem AWS CloudHSM Cluster - AWS CloudHSM
Platzieren Sie das ausstellende Zertifikat auf jeder EC2-InstanceGeben Sie den Speicherort des ausstellenden Zertifikats anBootstrap für das Client-SDK

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Connect das Client-SDK mit dem AWS CloudHSM Cluster

Um mit Client-SDK 5 oder Client-SDK 3 eine Verbindung zum Cluster herzustellen, müssen Sie zunächst zwei Dinge tun:

  • Verfügen Sie über ein ausstellendes Zertifikat auf der EC2-Instance

  • Das Client-SDK per Bootstrap auf den Cluster übertragen

Platzieren Sie das ausstellende Zertifikat auf jeder EC2-Instance

Sie erstellen das ausstellende Zertifikat, wenn Sie den Cluster initialisieren. Kopieren Sie das ausstellende Zertifikat an den Standardspeicherort für die Plattform auf jeder EC2-Instance, die eine Verbindung zum Cluster herstellt.

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Geben Sie den Speicherort des ausstellenden Zertifikats an

Beim Client-SDK 5 verwenden Sie das Configure-Tool, um den Speicherort des ausstellenden Zertifikats anzugeben.

PKCS #11 library
Um das ausstellende Zertifikat für das Client-SDK 5 auf Linux zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Um das ausstellende Zertifikat unter Windows für Client-SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Um das ausstellende Zertifikat für das Client-SDK 5 auf Linux zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Um das ausstellende Zertifikat für das Client-SDK 5 auf Linux zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Um das ausstellende Zertifikat unter Windows für Client-SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Um das ausstellende Zertifikat für das Client-SDK 5 auf Linux zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Um das ausstellende Zertifikat unter Windows für Client-SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Weitere Informationen finden Sie unter Configure Tool.

Weitere Informationen zur Initialisierung des Clusters oder zum Erstellen und Signieren des Zertifikats finden Sie unter Cluster initialisieren.

Bootstrap für das Client-SDK

Der Bootstrap-Vorgang ist je nach der Version des Client-SDK, die Sie verwenden, unterschiedlich. Sie benötigen jedoch die IP-Adresse eines der Hardware-Sicherheitsmodule (HSM) im Cluster. Sie können die IP-Adresse eines beliebigen HSM verwenden, das an Ihren Cluster angeschlossen ist. Nachdem das Client-SDK eine Verbindung hergestellt hat, ruft es die IP-Adressen aller zusätzlichen HSMs ab und führt Lastenausgleich und clientseitige Schlüsselsynchronisierung durch.

Um eine IP-Adresse für ein HSM (Konsole) zu erhalten

  1. Öffnen Sie die AWS CloudHSM Konsole unter https://console.aws.amazon.com/cloudhsm/home.

  2. Um die AWS-Region zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Um die Cluster-Detailseite zu öffnen, wählen Sie in der Cluster-Tabelle die Cluster-ID aus.

  4. Um die IP-Adresse abzurufen, wählen Sie auf der Registerkarte HSMs eine der IP-Adressen aus, die unter ENI-IP-Adresse aufgeführt sind.

Um eine IP-Adresse für ein HSM zu erhalten ()AWS CLI

  • Rufen Sie die IP-Adresse eines HSM ab, indem Sie den describe-clusters Befehl von der AWS CLI verwenden. In der Ausgabe des Befehls sind die IP-Adressen der HSMs die Werte von EniIp. 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

Weitere Informationen zum Bootstrapping finden Sie unter Configure Tool.

PKCS #11 library
So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5

  • Verwenden Sie das Configure-Tool, um die IP-Adresse der HSM(s) in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5

  • Verwenden Sie das Configure-Tool, um die IP-Adresse der HSM(s) in Ihrem Cluster anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
Anmerkung

Sie können den –-cluster-id-Parameter anstelle von -a <HSM_IP_ADDRESSES> verwenden. Informationen zu den Anforderungen für die Verwendung von –-cluster-id finden Sie unter Configure-Tool für das Client-SDK 5.

So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 3

  • Verwenden Sie configure diese Option, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    sudo /opt/cloudhsm/bin/configure -a <IP address>
So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 3

  • Wird verwendetconfigure, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

Weitere Informationen zur -Konfiguration finden Sie unter Configure-Tool.