Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schritt 1: Einrichten der Voraussetzungen
Verschiedene Plattformen erfordern unterschiedliche Voraussetzungen. Verwenden Sie den Abschnitt mit den Voraussetzungen unten, der zu Ihrer Plattform passt.
Voraussetzungen für das Client-SDK 5
Um SSL/TLS-Offload für Webserver mit Client-SDK 5 einzurichten, benötigen Sie Folgendes:
-
Ein aktiver AWS CloudHSM Cluster mit mindestens zwei Hardware-Sicherheitsmodulen (HSM)
Anmerkung
Sie können einen einzelnen HSM-Cluster verwenden, müssen aber zuerst die Haltbarkeit der Client-Schlüssel deaktivieren. Weitere Informationen finden Sie unter Einstellungen für die Haltbarkeit von Client-Schlüsseln verwalten und Client-SDK 5 Configure Tool.
-
Eine Amazon EC2-Instance, auf der ein Linux-Betriebssystem ausgeführt wird und die folgende Software installiert ist:
-
Ein Webserver (entweder NGINX oder Apache)
-
Die OpenSSL Dynamic Engine für Client-SDK 5
-
-
Ein Crypto-Benutzer (CU), der den privaten Schlüssel des Webservers auf dem HSM besitzen und verwalten soll.
So richten Sie eine Linux-Webserver-Instance auf dem HSM ein und erstellen einen CU
-
Installieren und konfigurieren Sie die OpenSSL Dynamic Engine für AWS CloudHSM. Weitere Informationen zur Installation der OpenSSL Dynamic Engine finden Sie unter OpenSSL Dynamic Engine für Client-SDK 5.
-
Installieren Sie auf einer EC2-Linux-Instance, die Zugriff auf Ihren Cluster hat, entweder den NGINX- oder den Apache-Webserver:
-
Verwenden Sie die CloudHSM-CLI, um eine CU zu erstellen. Weitere Informationen zur Verwaltung von HSM-Benutzern finden Sie unter HSM-Benutzer mit der CloudHSM-CLI verwalten.
Tipp
Merken Sie sich den CU-Benutzernamen und das Passwort. Sie benötigen sie später beim Generieren oder Importieren des privaten HTTPS-Schlüssels und -Zertifikats für Ihren Webserver.
Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 2: Generieren oder Importieren eines privaten Schlüssels und SSL/TLS-Zertifikats fort.
Hinweise
-
Um Security-Enhanced Linux (SELinux) und Webserver zu verwenden, müssen Sie ausgehende TCP-Verbindungen an Port 2223 zulassen, dem Port, den Client-SDK 5 für die Kommunikation mit dem HSM verwendet.
-
Um einen Cluster zu erstellen und zu aktivieren und einer EC2-Instance Zugriff auf den Cluster zu gewähren, führen Sie die Schritte unter Erste Schritte mit AWS CloudHSM aus. Die ersten Schritte bieten step-by-step Anweisungen zum Erstellen eines aktiven Clusters mit einem HSM und einer Amazon EC2 EC2-Client-Instance. Sie können diese Client-Instance als Ihren Webserver verwenden.
-
Um zu vermeiden, dass die Haltbarkeit von Client-Schlüsseln deaktiviert wird, fügen Sie Ihrem Cluster mehr als ein HSM hinzu. Weitere Informationen finden Sie unter Hinzufügen eines HSM.
-
Um sich mit Ihrer Client-Instance zu verbinden, können Sie SSH oder PuTTY verwenden. Weitere Informationen finden Sie unter Herstellung einer Verbindung zu Ihrer Linux-Instance mit SSH oder Herstellung einer Verbindung zu Ihrer Linux-Instance von Windows mit PuTTY in der Amazon EC2-Dokumentation.
Voraussetzungen für das Client-SDK 3
Um SSL/TLS-Offload für Webserver mit Client-SDK 3 einzurichten, benötigen Sie Folgendes:
-
Ein aktiver AWS CloudHSM Cluster mit mindestens einem HSM.
-
Eine Amazon EC2-Instance, auf der ein Linux-Betriebssystem ausgeführt wird und die folgende Software installiert ist:
-
Der AWS CloudHSM Client und die Befehlszeilentools.
-
Die NGINX- oder Apache-Webserveranwendung.
-
Die AWS CloudHSM dynamische Engine für OpenSSL.
-
-
Ein Crypto-Benutzer (CU), der den privaten Schlüssel des Webservers auf dem HSM besitzen und verwalten soll.
So richten Sie eine Linux-Webserver-Instance auf dem HSM ein und erstellen einen CU
-
Führen Sie die Schritte unter Erste Schritte aus. Anschließend haben Sie einen aktiven Cluster mit einem HSM und einer Amazon EC2-Client-Instance. Ihre EC2-Instance wird mit den Befehlszeilen-Tools konfiguriert. Verwenden Sie diese Client-Instance als Ihren Webserver.
-
Stellen Sie eine Verbindung mit Ihrer Client-Instance her. Weitere Informationen finden Sie unter Herstellung einer Verbindung zu Ihrer Linux-Instance mit SSH oder Herstellung einer Verbindung zu Ihrer Linux-Instance von Windows mit PuTTY in der Amazon EC2-Dokumentation.
-
Installieren Sie auf einer EC2-Linux-Instance, die Zugriff auf Ihren Cluster hat, entweder den NGINX- oder den Apache-Webserver:
-
(Optional) Fügen Sie Ihrem Cluster weitere HSMs hinzu. Weitere Informationen finden Sie unter Hinzufügen eines HSM.
-
Verwenden Sie cloudhsm_mgmt_util zum Erstellen eines CU. Weitere Informationen finden Sie unter Verwalten von HSM-Benutzern. Merken Sie sich den CU-Benutzernamen und das Passwort. Sie benötigen sie später beim Generieren oder Importieren des privaten HTTPS-Schlüssels und -Zertifikats für Ihren Webserver.
Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Schritt 2: Generieren oder Importieren eines privaten Schlüssels und SSL/TLS-Zertifikats fort.