Schritt 1: Einrichten der Voraussetzungen - AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Einrichten der Voraussetzungen

Um den SSL/TLS-Offload auf dem Webserver einzurichten, benötigen Sie Folgendes: AWS CloudHSM

  • Ein aktiver AWS CloudHSM Cluster mit mindestens einem HSM.

  • Eine Amazon EC2-Instance, auf der ein Windows-Betriebssystem ausgeführt wird und die folgende Software installiert ist:

    • Die AWS CloudHSM Client-Software für Windows.

    • Internet Information Services (IIS) für Windows Server

  • Ein Crypto-Benutzer (CU), der den privaten Schlüssel des Webservers auf dem HSM besitzen und verwalten soll.

Anmerkung

In diesem Tutorial wird Microsoft Windows Server 2016 verwendet. Microsoft Windows Server 2012 wird ebenfalls unterstützt, Microsoft Windows Server 2012 R2 jedoch nicht.

So richten Sie eine Windows-Webserver-Instance auf dem HSM ein und erstellen einen CU

  1. Führen Sie die Schritte unter Erste Schritte aus. Beim Starten des Amazon EC2-Clients wählen Sie ein Windows Server 2016- oder Windows Server 2012-AMI aus. Wenn Sie diese Schritte ausgeführt haben, verfügen Sie über einen aktiven Cluster mit mindestens einem HSM. Sie haben auch eine Amazon EC2 EC2-Client-Instance, auf der Windows Server ausgeführt wird und auf der die AWS CloudHSM Client-Software für Windows installiert ist.

  2. (Optional) Fügen Sie Ihrem Cluster weitere HSMs hinzu. Weitere Informationen finden Sie unter Hinzufügen eines HSM.

  3. Stellen Sie eine Verbindung zu Ihrem Windows-Server her. Weitere Informationen finden Sie unter Connect to Your Instance im Amazon EC2 EC2-Benutzerhandbuch.

  4. Verwenden Sie die CloudHSM-CLI, um einen Crypto-Benutzer (CU) zu erstellen. Merken Sie sich den CU-Benutzernamen und das Passwort. Sie benötigen diese im nächsten Schritt.

    Anmerkung

    Informationen zum Erstellen eines Benutzers finden Sie unter HSM-Benutzer mit der CloudHSM-CLI verwalten.

  5. Legen Sie die Anmeldeinformationen für das HSM fest. Verwenden Sie hierfür den im vorherigen Schritt erstellten CU-Benutzernamen und das entsprechende Passwort.

  6. Wenn Sie in Schritt 5 den Windows Credentials Manager zum Einrichten psexec.exevon HSM-Anmeldeinformationen verwendet haben, laden Sie den folgenden Befehl als NT Authority\ SYSTEM herunter, SysInternals um ihn auszuführen:

    
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>

    Ersetzen Sie <USERNAME> und <PASSWORD> durch die HSM-Anmeldeinformationen.

So installieren Sie IIS auf Ihrem Windows-Server

  1. Stellen Sie eine Verbindung mit Ihrem Windows-Server her, sofern noch nicht geschehen. Weitere Informationen finden Sie unter Connect to Your Instance im Amazon EC2 EC2-Benutzerhandbuch.

  2. Starten Sie auf Ihrem Windows-Server Server Manager.

  3. Wählen Sie im Dashboard Server-Manager die Option Rollen und Features hinzufügen.

  4. Lesen Sie die Informationen unter Before you begin (Zur Vorbereitung) und klicken Sie dann auf Weiter.

  5. Wählen Sie unter Installationsart die Rollenbasierte oder funktionsbasierte Installation. Wählen Sie anschließend Weiter.

  6. Wählen Sie unter Serverauswahl die Option Einen Server aus dem Serverpool auswählen. Wählen Sie anschließend Weiter.

  7. Gehen Sie für Serverrollen wie folgt vor:

    1. Wählen Sie Web Server (IIS) (Webserver (IIS)) aus.

    2. Klicken Sie für Add features that are required für Web Server (IIS) (Für Webserver (IIS) erforderliche Funktionen hinzufügen) auf Add Features (Funktionen hinzufügen).

    3. Klicken Sie auf Weiter, um das Auswählen von Serverrollen abzuschließen.

  8. Für Features (Funktionen), übernehmen Sie die Standardeinstellungen. Wählen Sie anschließend Weiter.

  9. Lesen Sie die Informationen unter Web Server Role (IIS) (Webserverrolle (IIS)). Wählen Sie anschließend Weiter.

  10. Übernehmen Sie für Select role services (Rollenservices auswählen) die Standardwerte oder ändern Sie die Einstellungen. Wählen Sie anschließend Weiter.

  11. Lesen Sie unter Confirmation (Bestätigung) die Informationen zur Bestätigung. Wählen Sie anschließend Installieren.

  12. Nach abgeschlossener Installation klicken Sie auf Close (Schließen).

Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 2: Erstellen einer Zertifikatsignierungsanforderung (CSR) und eines Zertifikats fort.