So funktioniert SSL/TLS-Offload mit AWS CloudHSM

Um eine HTTPS-Verbindung aufzubauen, führt Ihr Webserver einen Handshake-Prozess mit Clients durch. Als Teil dieses Prozesses überträgt der Server einen Teil der kryptographischen Verarbeitung auf die HSMs, wie in der folgenden Abbildung dargestellt. Jeder Schritt des Prozesses wird im Folgenden erläutert.

Anmerkung

Das folgende Bild und der Prozess gehen davon aus, dass RSA für die Serververifikation und den Schlüsselaustausch verwendet wird. Der Prozess sieht etwas anders aus, wenn Diffie–Hellman anstelle von RSA verwendet wird.

1. Der Client sendet eine Hello-Nachricht an den Server.

2. Der Server antwortet mit einer Hello-Nachricht und sendet das Zertifikat des Servers.

3. Der Client führt die folgenden Aktionen durch:

   1. Er überprüft, ob das SSL/TLS-Zertifikat des Servers von einem Root-Zertifikat signiert ist, denen der Client vertraut.

   2. Er extrahiert den öffentlichen Schlüssel aus dem Zertifikat des Servers.

   3. Er erzeugt ein Premaster-Geheimnis und verschlüsselt es mit dem öffentlichen Schlüssel des Servers.

   4. Er sendet das verschlüsselte Premaster-Geheimnis an den Server.

4. Um das Premaster-Geheimnis des Clients zu entschlüsseln, sendet der Server es an das HSM. Das HSM verwendet den privaten Schlüssel im HSM, um das Premaster-Geheimnis zu entschlüsseln, und sendet dann das Premaster-Geheimnis an den Server. Unabhängig davon verwenden Client und Server jeweils das Premaster-Geheimnis und einige Informationen aus den Hello-Nachrichten, um ein Master-Geheimnis zu berechnen.

5. Der Handshake-Vorgang ist beendet. Für den Rest der Sitzung werden alle Nachrichten, die zwischen dem Client und dem Server gesendet werden, mit Derivaten des Master-Geheimnisses verschlüsselt.

Informationen zur Konfiguration von SSL/TLS-Offload mit finden Sie in einem der AWS CloudHSM folgenden Themen:

• SSL/TLS-Auslagerung unter Linux

• Verwenden von IIS mit CNG für SSL/TLS-Offload unter Windows