Schritt 1: Einrichten der Voraussetzungen - AWS CloudHSM
Voraussetzungen für das Client-SDK 5Voraussetzungen für das Client-SDK 3

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schritt 1: Einrichten der Voraussetzungen

Verschiedene Plattformen erfordern unterschiedliche Voraussetzungen. Verwenden Sie den Abschnitt mit den Voraussetzungen unten, der zu Ihrer Plattform passt.

Voraussetzungen für das Client-SDK 5

Um SSL/TLS-Offload für Webserver mit Client-SDK 5 einzurichten, benötigen Sie Folgendes:

  • Ein aktiver AWS CloudHSM Cluster mit mindestens zwei Hardware-Sicherheitsmodulen (HSM)

    Anmerkung

    Sie können einen einzelnen HSM-Cluster verwenden, müssen aber zuerst die Haltbarkeit der Client-Schlüssel deaktivieren. Weitere Informationen finden Sie unter Einstellungen für die Haltbarkeit von Client-Schlüsseln verwalten und Client-SDK 5 Configure Tool.

  • Eine Amazon EC2-Instance, auf der ein Linux-Betriebssystem ausgeführt wird und die folgende Software installiert ist:

    • Ein Webserver (entweder NGINX oder Apache)

    • Die OpenSSL Dynamic Engine für Client-SDK 5

  • Ein Crypto-Benutzer (CU), der den privaten Schlüssel des Webservers auf dem HSM besitzen und verwalten soll.

So richten Sie eine Linux-Webserver-Instance auf dem HSM ein und erstellen einen CU

  1. Installieren und konfigurieren Sie die OpenSSL Dynamic Engine für AWS CloudHSM. Weitere Informationen zur Installation der OpenSSL Dynamic Engine finden Sie unter OpenSSL Dynamic Engine für Client-SDK 5.

  2. Installieren Sie auf einer EC2-Linux-Instance, die Zugriff auf Ihren Cluster hat, entweder den NGINX- oder den Apache-Webserver:

    Amazon Linux

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2

    • Informationen zum Herunterladen der neuesten Version von NGINX auf Amazon Linux 2 finden Sie auf der NGINX-Website.

      Die neueste Version von NGINX, die für Amazon Linux 2 verfügbar ist, verwendet eine Version von OpenSSL, die neuer ist als die Systemversion von OpenSSL. Nach der Installation von NGINX müssen Sie einen symbolischen Link von der AWS CloudHSM OpenSSL Dynamic Engine-Bibliothek zu dem Speicherort erstellen, den diese Version von OpenSSL erwartet 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7

    • Informationen zum Herunterladen der neuesten Version von NGINX auf CentOS 7 finden Sie auf der NGINX-Website.

      Die neueste Version von NGINX, die für CentOS 7 verfügbar ist, verwendet eine Version von OpenSSL, die neuer ist als die Systemversion von OpenSSL. Nach der Installation von NGINX müssen Sie einen symbolischen Link von der AWS CloudHSM OpenSSL Dynamic Engine-Bibliothek zu dem Speicherort erstellen, den diese Version von OpenSSL erwartet 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7

    • Informationen zum Herunterladen der neuesten Version von NGINX auf Red Hat 7 finden Sie auf der NGINX-Website.

      Die neueste Version von NGINX, die für Red Hat 7 verfügbar ist, verwendet eine Version von OpenSSL, die neuer ist als die Systemversion von OpenSSL. Nach der Installation von NGINX müssen Sie einen symbolischen Link von der AWS CloudHSM OpenSSL Dynamic Engine-Bibliothek zu dem Speicherort erstellen, den diese Version von OpenSSL erwartet 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 8

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 8

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 18.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 20.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 22.04

    Unterstützung für OpenSSL Dynamic Engine ist noch nicht verfügbar.

  3. Verwenden Sie die CloudHSM-CLI, um eine CU zu erstellen. Weitere Informationen zur Verwaltung von HSM-Benutzern finden Sie unter HSM-Benutzer mit der CloudHSM-CLI verwalten.

    Tipp

    Merken Sie sich den CU-Benutzernamen und das Passwort. Sie benötigen sie später beim Generieren oder Importieren des privaten HTTPS-Schlüssels und -Zertifikats für Ihren Webserver.

Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 2: Generieren oder Importieren eines privaten Schlüssels und SSL/TLS-Zertifikats fort.

Hinweise

  • Um Security-Enhanced Linux (SELinux) und Webserver zu verwenden, müssen Sie ausgehende TCP-Verbindungen an Port 2223 zulassen, dem Port, den Client-SDK 5 für die Kommunikation mit dem HSM verwendet.

  • Um einen Cluster zu erstellen und zu aktivieren und einer EC2-Instance Zugriff auf den Cluster zu gewähren, führen Sie die Schritte unter Erste Schritte mit AWS CloudHSM aus. Die ersten Schritte bieten step-by-step Anweisungen zum Erstellen eines aktiven Clusters mit einem HSM und einer Amazon EC2 EC2-Client-Instance. Sie können diese Client-Instance als Ihren Webserver verwenden.

  • Um zu vermeiden, dass die Haltbarkeit von Client-Schlüsseln deaktiviert wird, fügen Sie Ihrem Cluster mehr als ein HSM hinzu. Weitere Informationen finden Sie unter Hinzufügen eines HSM.

  • Um sich mit Ihrer Client-Instance zu verbinden, können Sie SSH oder PuTTY verwenden. Weitere Informationen finden Sie unter Herstellung einer Verbindung zu Ihrer Linux-Instance mit SSH oder Herstellung einer Verbindung zu Ihrer Linux-Instance von Windows mit PuTTY in der Amazon EC2-Dokumentation.

Voraussetzungen für das Client-SDK 3

Um SSL/TLS-Offload für Webserver mit Client-SDK 3 einzurichten, benötigen Sie Folgendes:

  • Ein aktiver AWS CloudHSM Cluster mit mindestens einem HSM.

  • Eine Amazon EC2-Instance, auf der ein Linux-Betriebssystem ausgeführt wird und die folgende Software installiert ist:

    • Der AWS CloudHSM Client und die Befehlszeilentools.

    • Die NGINX- oder Apache-Webserveranwendung.

    • Die AWS CloudHSM dynamische Engine für OpenSSL.

  • Ein Crypto-Benutzer (CU), der den privaten Schlüssel des Webservers auf dem HSM besitzen und verwalten soll.

So richten Sie eine Linux-Webserver-Instance auf dem HSM ein und erstellen einen CU

  1. Führen Sie die Schritte unter Erste Schritte aus. Anschließend haben Sie einen aktiven Cluster mit einem HSM und einer Amazon EC2-Client-Instance. Ihre EC2-Instance wird mit den Befehlszeilen-Tools konfiguriert. Verwenden Sie diese Client-Instance als Ihren Webserver.

  2. Stellen Sie eine Verbindung mit Ihrer Client-Instance her. Weitere Informationen finden Sie unter Herstellung einer Verbindung zu Ihrer Linux-Instance mit SSH oder Herstellung einer Verbindung zu Ihrer Linux-Instance von Windows mit PuTTY in der Amazon EC2-Dokumentation.

  3. Installieren Sie auf einer EC2-Linux-Instance, die Zugriff auf Ihren Cluster hat, entweder den NGINX- oder den Apache-Webserver:

    Amazon Linux

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2

    • NGINX Version 1.19 ist die neueste Version von NGINX, die mit der Client-SDK 3-Engine auf Amazon Linux 2 kompatibel ist.

      Weitere Informationen und den Download der NGINX-Version 1.19 finden Sie auf der NGINX-Website.

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7

    • NGINX Version 1.19 ist die neueste Version von NGINX, die mit der Client-SDK 3-Engine auf CentOS 7 kompatibel ist.

      Weitere Informationen und den Download der NGINX-Version 1.19 finden Sie auf der NGINX-Website.

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7

    • NGINX Version 1.19 ist die neueste Version von NGINX, die mit der Client-SDK 3-Engine auf Red Hat 7 kompatibel ist.

      Weitere Informationen und den Download der NGINX-Version 1.19 finden Sie auf der NGINX-Website.

    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 16.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 18.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2

  4. (Optional) Fügen Sie Ihrem Cluster weitere HSMs hinzu. Weitere Informationen finden Sie unter Hinzufügen eines HSM.

  5. Verwenden Sie cloudhsm_mgmt_util zum Erstellen eines CU. Weitere Informationen finden Sie unter Verwalten von HSM-Benutzern. Merken Sie sich den CU-Benutzernamen und das Passwort. Sie benötigen sie später beim Generieren oder Importieren des privaten HTTPS-Schlüssels und -Zertifikats für Ihren Webserver.

Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 2: Generieren oder Importieren eines privaten Schlüssels und SSL/TLS-Zertifikats fort.