Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Initialisieren des Clusters
Führen Sie die Schritte in den folgenden Themen aus, um Ihren AWS CloudHSM Cluster zu initialisieren.
Anmerkung
Bevor Sie den Cluster initialisieren, sehen Sie sich den Prozess an, mit dem Sie die Identität und Authentizität der HSMs verifizieren können. Dieser Prozess ist optional und funktioniert nur, bis ein Cluster initialisiert wird. Nachdem der Cluster initialisiert wurde, können Sie mit diesem Prozess keine Zertifikate mehr abrufen oder HSMs überprüfen.
Anfordern der Cluster-CSR
Bevor Sie den Cluster initialisieren, müssen Sie eine Zertifikatsignieranforderung (CSR, Certificate Signing Request) herunterladen und signieren, die vom ersten HSM des Clusters erstellt wurde. Wenn Sie die Schritte ausgeführt haben, um die Identität des HSM Ihres Clusters zu überprüfen, befinden Sie sich bereits im Besitz der CSR und können sie signieren. Andernfalls rufen Sie die CSR jetzt mithilfe der AWS CloudHSM Konsole
Wichtig
Um Ihren Cluster zu initialisieren, muss Ihr Trust Anchor RFC 5280
Wenn Sie X509v3-Erweiterungen verwenden, muss die X509v3-Erweiterung Basic Constraints vorhanden sein.
Der Trust Anchor muss ein selbstsigniertes Zertifikat sein.
Erweiterungswerte dürfen nicht miteinander in Konflikt stehen.
Die CSR laden (Konsole)
Öffnen Sie die AWS CloudHSM Konsole unter https://console.aws.amazon.com/cloudhsm/home
. -
Wählen Sie die Optionsschaltfläche neben der Cluster-ID mit dem HSM, das Sie überprüfen möchten.
-
Wählen Sie Aktionen aus. Wählen Sie aus dem Drop-down-Menü die Option Initialisieren.
-
Wenn Sie den vorherigen Schritt zur Erstellung eines HSM nicht abgeschlossen haben, wählen Sie eine Availability Zone (AZ) für das HSM, das Sie erstellen. Wählen Sie dann Erstellen aus.
-
Wenn der CSR bereit ist, sehen Sie einen Link, über den Sie sie herunterladen können.
Wählen Sie Cluster-CSR, um die CSR herunterzuladen und zu speichern.
Um die CSR (CLI) zu erhalten
-
Führen Sie an der Eingabeaufforderung den folgenden describe-clusters-Befehl aus, der die CSR extrahiert und in einer Datei speichert. Ersetzen Sie die
cluster ID>
durch die ID des Clusters, das Sie zuvor erstellt haben.$
aws cloudhsmv2 describe-clusters --filters clusterIds=
<cluster ID>
\ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ ><cluster ID>
_ClusterCsr.csr
Um die CSR (AWS CloudHSM API) zu erhalten
-
Senden Sie eine DescribeClusters-Anforderung.
Extrahieren und speichern Sie die CSR aus der Antwort.
Signieren der CSR
Derzeit müssen Sie ein selbstsigniertes Signaturzertifikat erstellen und die CSR für den Cluster damit signieren. Sie benötigen die CLI für diesen Schritt nicht, und die Shell muss nicht mit Ihrem AWS Konto verknüpft werden. Führen Sie zum Signieren der CSR die folgenden Schritte durch:
Füllen Sie den vorherigen Abschnitt aus (siehe Anfordern der Cluster-CSR).
Erstellen eines privaten Schlüssels
Erstellen eines Signaturzertifikats mit dem privaten Schlüssel
Signieren Sie Ihre CSR.
Erstellen eines privaten Schlüssels
Anmerkung
Für einen Produktionscluster sollte der Schlüssel, den Sie erstellen wollen, auf sichere Weise mit einer vertrauenswürdigen Zufallsquelle erstellt werden. Wir empfehlen, dass Sie ein sicheres standortexternes und Offline-HSM oder etwas Äquivalentes verwenden. Speichern Sie den Schlüssel sicher. Der Schlüssel legt die Identität des Clusters und Ihre alleinige Kontrolle über die darin enthaltenen HSMs fest.
Für die Entwicklung und für Tests können Sie ein beliebiges Tool (z. B. OpenSSL) verwenden, um das Cluster-Zertifikat zu erstellen und zu signieren. Im folgenden Beispiel wird gezeigt, wie Sie einen Schlüssel erstellen. Nachdem Sie den Schlüssel verwendet haben, um ein selbstsigniertes Zertifikat zu erstellen (siehe unten), sollten Sie ihn sicher speichern. Um sich bei Ihrer AWS CloudHSM Instance anzumelden, muss das Zertifikat vorhanden sein, der private Schlüssel jedoch nicht.
Verwenden Sie den folgenden Befehl, um einen privaten Schlüssel zu erstellen. Bei der Initialisierung eines AWS CloudHSM Clusters müssen Sie das RSA 2048-Zertifikat oder das RSA 4096-Zertifikat verwenden.
$
openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) Enter pass phrase for customerCA.key: Verifying - Enter pass phrase for customerCA.key:
Verwenden des privaten Schlüssels zum Erstellen eines selbstsignierten Zertifikats
Die vertrauenswürdige Hardware, die Sie verwenden, um den privaten Schlüssel für Ihre Produktions-Cluster zu erstellen, sollte auch ein Software-Tool bereitstellen, um unter Verwendung dieses Schlüssels ein selbstsigniertes Zertifikat zu generieren. Das folgende Beispiel verwenden OpenSSL und den privaten Schlüssel, den Sie im vorherigen Schritt erstellt haben, um ein Signaturzertifikat zu erstellen. Das Zertifikat gilt für 10 Jahre (3652 Tage). Lesen Sie die Anweisungen auf dem Bildschirm und befolgen Sie die Eingabeaufforderungen.
$
openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []:
Mit diesem Befehl wird ein Zertifikat mit dem Namen customerCA.crt
erstellt. Legen Sie dieses Zertifikat auf jedem Host ab, von dem aus Sie eine Verbindung zu Ihrem Cluster herstellen möchten. AWS CloudHSM Wenn Sie der Datei einen anderen Namen geben oder unter einem anderen Pfad als dem Root-Verzeichnis speichern, müssen Sie Ihre Client-Konfigurationsdatei entsprechend anpassen. Verwenden Sie das Zertifikat und den privaten Schlüssel, die Sie gerade erstellt haben, um die Cluster-Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) im nächsten Schritt zu signieren.
Die Cluster-CSR signieren
Die vertrauenswürdige Hardware, die Sie verwenden, um Ihren privaten Schlüssel für Ihre Produktions-Cluster zu erstellen, sollte auch ein Tool bereitstellen, um die CSR mit diesem Schlüssel zu signieren. In dem folgenden Beispiel wird OpenSSL zum Signieren der Cluster-CSR verwendet. Das Beispiel verwendet Ihren privaten Schlüssel und das selbstsignierte Zertifikat, das Sie im vorherigen Schritt erstellt haben.
$
openssl x509 -req -days 3652 -in
<cluster ID>
_ClusterCsr.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out<cluster ID>
_CustomerHsmCertificate.crtSignature ok subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:
<HSM identifer>
:PARTN:<partition number>
, for FIPS mode Getting CA Private Key Enter pass phrase for customerCA.key:
Mit diesem Befehl wird eine Datei mit dem Namen
erstellt. Verwenden Sie diese Datei als signiertes Zertifikat, wenn Sie den Cluster initialisieren. <cluster ID>
_CustomerHsmCertificate.crt
Initialisieren des Clusters
Verwenden Sie das signierte HSM-Zertifikat und Ihr Signaturzertifikat, um den Cluster zu initialisieren. Sie können die AWS CloudHSM Konsole
Initialisieren eines Clusters (Konsole)
Öffnen Sie die AWS CloudHSM Konsole unter https://console.aws.amazon.com/cloudhsm/home
. -
Wählen Sie die Optionsschaltfläche neben der Cluster-ID mit dem HSM, das Sie überprüfen möchten.
-
Wählen Sie Aktionen aus. Wählen Sie aus dem Drop-down-Menü die Option Initialisieren.
-
Wenn Sie den vorherigen Schritt zur Erstellung eines HSM nicht abgeschlossen haben, wählen Sie eine Availability Zone (AZ) für das HSM, das Sie erstellen. Wählen Sie dann Erstellen aus.
-
Wählen Sie auf der Seite Herunterladen der Zertifikat-Signierungsanforderung Weiter aus. Wenn die Schaltfläche Weiter nicht verfügbar ist, wählen Sie zuerst einen der CSR- oder Zertifikat-Links. Wählen Sie anschließend Weiter.
-
Wählen Sie auf der Seite Zertifikatsignierungsanforderung (CSR) signieren Weiter.
-
Gehen Sie auf der Seite Die Zertifikate hochladen wie folgt vor:
-
Wählen Sie neben Cluster-Zertifikat Datei hochladen. Suchen Sie anschließend das HSM-Zertifikat, das Sie zuvor signiert haben, und wählen Sie es aus. Wenn Sie die Schritte im vorigen Abschnitt ausgeführt haben, wählen Sie die Datei
.<cluster ID>
_CustomerHsmCertificate.crt -
Wählen Sie neben Zertifikat ausstellen Datei hochladen. Wählen Sie anschließend das Signaturzertifikat aus. Wenn Sie die Schritte im vorigen Abschnitt ausgeführt haben, wählen Sie die Datei
customerCA.crt
. -
Wählen Sie Hochladen und initialisieren.
-
So initialisieren Sie einen Cluster (CLI)
-
Führen Sie über die Eingabeaufforderung den folgenden initialize-cluster-Befehl aus. Geben Sie Folgendes an:
-
Die ID des Clusters, den Sie zuvor erstellt haben.
-
Das HSM-Zertifikat, das Sie zuvor signiert haben. Wenn Sie die Schritte im vorigen Abschnitt ausgeführt haben, wurde es in der Datei
gespeichert.<cluster ID>
_CustomerHsmCertificate.crt -
Ihr Signaturzertifikat. Wenn Sie die Schritte im vorigen Abschnitt ausgeführt haben, wird das Signaturzertifikat in der Datei
customerCA.crt
gespeichert.
$
aws cloudhsmv2 initialize-cluster --cluster-id
<cluster ID>
\ --signed-cert file://<cluster ID>
_CustomerHsmCertificate.crt \ --trust-anchor file://customerCA.crt{ "State": "INITIALIZE_IN_PROGRESS", "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion." }
-
Um einen Cluster (AWS CloudHSM API) zu initialisieren
-
Senden Sie eine InitializeCluster-Anforderung mit folgendem Inhalt:
-
Die ID des Clusters, den Sie zuvor erstellt haben.
-
Das HSM-Zertifikat, das Sie zuvor signiert haben.
-
Ihr Signaturzertifikat.
-