Erstellen Sie einen Schlüssel, eine CSR, und signieren Sie dann die CSR Aktivieren Sie benutzerdefiniertes SSL für AWS CloudHSM

Umkonfigurieren von SSL mit einem neuen Zertifikat und privaten Schlüssel (optional)

AWS CloudHSM verwendet ein SSL-Zertifikat, um eine Verbindung zu einem HSM herzustellen. Ein Standardschlüssel und ein SSL-Zertifikat sind enthalten, wenn Sie den Client installieren. Sie können aber eigene Schlüssel und Zertifikate erstellen und verwenden. Beachten Sie, dass Sie das selbstsignierte Zertifikat (customerCA.crt), benötigen, das Sie beim Initialisieren des Clusters erstellt haben.

Allgemein gesehen ist dies ein zweistufiger Prozess:

Zunächst erstellen Sie einen privaten Schlüssel und verwenden dann diesen Schlüssel, um eine Zertifikatssignierungsanforderung (CSR) zu erstellen. Verwenden Sie das ausstellende Zertifikat, das Zertifikat, das Sie bei der Initialisierung des Clusters erstellt haben, um die CSR zu signieren.
Als Nächstes verwenden Sie das Configure-Tool, um den Schlüssel und das Zertifikat in die entsprechenden Verzeichnisse zu kopieren.

Erstellen Sie einen Schlüssel, eine CSR, und signieren Sie dann die CSR

Die Schritte sind für Client-SDK 3 oder Client-SDK 5 identisch.

So konfigurieren Sie SSL mit einem neuen Zertifikat und privaten Schlüssel um

Verwenden Sie den folgenden OpenSSL-Befehl, um einen privaten Schlüssel zu erstellen:


openssl genrsa -out ssl-client.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)

Verwenden Sie den folgenden OpenSSL-Befehl zum Erstellen einer Zertifikatssignierungsanforderung (Certificate Signing Request, CSR). Sie werden gebeten, eine Reihe von Fragen zum Zertifikat zu beantworten.


openssl req -new -sha256 -key ssl-client.key -out ssl-client.csr
Enter pass phrase for ssl-client.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Signieren Sie die CSR mit dem Zertifikat customerCA.crt, das Sie beim Initialisieren des Clusters erstellt haben.


openssl x509 -req -days 3652 -in ssl-client.csr \
        -CA customerCA.crt \
        -CAkey customerCA.key \
        -CAcreateserial \
        -out ssl-client.crt
Signature ok
subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales
Getting CA Private Key

Aktivieren Sie benutzerdefiniertes SSL für AWS CloudHSM

Die Schritte sind für Client-SDK 3 oder Client-SDK 5 unterschiedlich. Weitere Informationen über die Arbeit mit dem Befehlszeilentool Configure finden Sie unter Configure-Tool.

Benutzerdefiniertes SSL für Client-SDK 3

Verwenden Sie das Configure-Tool für Client-SDK 3, um benutzerdefiniertes SSL zu aktivieren. Weitere Informationen zum Configure-Tool für das Client-SDK 3 finden Sie unter Configure-Tool für das Client-SDK 3.

So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS-Client-Server-Authentifizierung mit dem Client-SDK 3 unter Linux

Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.


sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

Verwenden Sie das Configure-Tool, um ssl-client.crt und ssl-client.key anzugeben.


sudo /opt/cloudhsm/bin/configure --ssl \
	--pkey /opt/cloudhsm/etc/ssl-client.key \
	--cert /opt/cloudhsm/etc/ssl-client.crt

Fügen Sie das Zertifikat customerCA.crt dem Vertrauensspeicher hinzu. Erstellen Sie einen Hash des Zertifikat-Themennamens. Dadurch wird ein Index erstellt, in dem das Zertifikat über den Namen gesucht werden kann.
```
openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1
1234abcd
```
Erstellen Sie ein Verzeichnis.
```
mkdir /opt/cloudhsm/etc/certs
```
Erstellen Sie eine Datei, die das Zertifikat mit dem Hashnamen enthält.
```
sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0
```

Benutzerdefiniertes SSL für Client-SDK 5

Verwenden Sie eines der Configure-Tools des Client-SDK 5, um benutzerdefiniertes SSL zu aktivieren. Weitere Informationen zum Configure-Tool für das Client-SDK 5 finden Sie unter Configure-Tool für das Client-SDK 5.

PKCS #11 library

So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS-Client-Server-Authentifizierung mit dem Client-SDK 5 unter Linux

Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.


$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

Verwenden Sie das Configure-Tool, um ssl-client.crt und ssl-client.key anzugeben.


$ sudo /opt/cloudhsm/bin/configure-pkcs11 \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS-Client-Server-Authentifizierung mit dem Client-SDK 5 unter Windows

Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.


cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um ssl-client.crt und ssl-client.key anzugeben.


& "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

OpenSSL Dynamic Engine

So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS-Client-Server-Authentifizierung mit dem Client-SDK 5 unter Linux

Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.


$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

Verwenden Sie das Configure-Tool, um ssl-client.crt und ssl-client.key anzugeben.


$ sudo /opt/cloudhsm/bin/configure-dyn \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

JCE provider

So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS-Client-Server-Authentifizierung mit dem Client-SDK 5 unter Linux

Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.


$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

Verwenden Sie das Configure-Tool, um ssl-client.crt und ssl-client.key anzugeben.


$ sudo /opt/cloudhsm/bin/configure-jce \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS-Client-Server-Authentifizierung mit dem Client-SDK 5 unter Windows

Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.


cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Verwenden Sie bei einem PowerShell Interpreter das Konfigurationstool, um und anzugebenssl-client.crt. ssl-client.key


& "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

CloudHSM CLI

So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS-Client-Server-Authentifizierung mit dem Client-SDK 5 unter Linux

Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.


$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

Verwenden Sie das Configure-Tool, um ssl-client.crt und ssl-client.key anzugeben.


$ sudo /opt/cloudhsm/bin/configure-cli \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS-Client-Server-Authentifizierung mit dem Client-SDK 5 unter Windows

Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.


cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Verwenden Sie bei einem PowerShell Interpreter das Konfigurationstool, um und anzugebenssl-client.crt. ssl-client.key


& "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aktivieren des Clusters

Erstellen einer Anwendung