Überprüfen Sie die Identität und Authentizität Ihres Clusters HSM in AWS CloudHSM (optional) - AWS CloudHSM
Schritt 1. Holen Sie sich Zertifikate von HSMSchritt 2. Die Stammzertifikate ladenSchritt 3. Zertifikatketten prüfenSchritt 4. Extrahieren und Vergleichen der öffentlichen Schlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfen Sie die Identität und Authentizität Ihres Clusters HSM in AWS CloudHSM (optional)

Um Ihren Cluster zu initialisieren AWS CloudHSM, signieren Sie eine Zertifikatssignieranforderung (CSR), die vom ersten Hardware-Sicherheitsmodul (HSM) des Clusters generiert wird. Bevor Sie dies tun, möchten Sie möglicherweise die Identität und Authentizität von überprüfen. HSM

Anmerkung

Dieses Verfahren ist optional. Es funktioniert jedoch nur solange, bis ein Cluster initialisiert wird. Nach der Initialisierung des Clusters können Sie diesen Prozess nicht verwenden, um die Zertifikate abzurufen oder zu überprüfen. HSMs

Führen Sie zunächst die folgenden Schritte ausHSM, um die Identität Ihres Clusters zu überprüfen:

  1. Holen Sie sich die Zertifikate und CSR — In diesem Schritt erhalten Sie drei Zertifikate und ein CSR von derHSM. Sie erhalten außerdem zwei Stammzertifikate, eines vom Hardwarehersteller AWS CloudHSM und eines vom HSM Hardwarehersteller.

  2. Überprüfen Sie die Zertifikatsketten — In diesem Schritt erstellen Sie zwei Zertifikatsketten, eine für das AWS CloudHSM Stammzertifikat und eine für das Stammzertifikat des Herstellers. Anschließend verifizieren Sie das HSM Zertifikat anhand dieser Zertifikatsketten, um festzustellen, dass AWS CloudHSM sowohl das Zertifikat als auch der Hardwarehersteller die Identität und Echtheit des HSM Zertifikats bestätigen.

  3. Öffentliche Schlüssel vergleichen — In diesem Schritt extrahieren und vergleichen Sie die öffentlichen Schlüssel im HSM Zertifikat und im ClusterCSR, um sicherzustellen, dass sie identisch sind. Dies sollte Ihnen die Gewissheit geben, dass der von einem authentischen, vertrauenswürdigen Benutzer generiert CSR wurdeHSM.

Das folgende Diagramm zeigt die CSR Zertifikate und ihre Beziehung zueinander. In der folgenden Liste sind alle Zertifikate definiert.

Die HSM Zertifikate und ihre Beziehungen.
AWS Stammzertifikat

Das ist AWS CloudHSM das Stammzertifikat.

Hersteller-Stammzertifikat

Dies ist das Stammzertifikat des Hardwareherstellers.

AWS Hardware-Zertifikat

AWS CloudHSM hat dieses Zertifikat erstellt, als die HSM Hardware zur Flotte hinzugefügt wurde. Dieses Zertifikat bestätigt, dass der AWS CloudHSM Eigentümer der Hardware ist.

Hersteller-Hardwarezertifikat

Der HSM Hardwarehersteller hat dieses Zertifikat bei der Herstellung der HSM Hardware erstellt. Dieses Zertifikat versichert, dass die Hersteller die Hardware erstellt hat.

HSMZertifikat

Das HSM Zertifikat wird von der FIPS -validierten Hardware generiert, wenn Sie das erste Zertifikat HSM im Cluster erstellen. Dieses Zertifikat bestätigt, dass die HSM Hardware das erstellt hat. HSM

Cluster CSR

Der erste HSM erstellt den ClusterCSR. Wenn Sie den Cluster signieren CSR, beanspruchen Sie den Cluster. Anschließend können Sie das Signierte verwenden, CSR um den Cluster zu initialisieren.

Schritt 1. Holen Sie sich Zertifikate von HSM

Um die Identität und Echtheit Ihres zu überprüfenHSM, besorgen Sie sich zunächst ein CSR und fünf Zertifikate. Sie erhalten drei der Zertifikate vonHSM, was Sie mit der AWS CloudHSM Konsole tun können, dem AWS Command Line Interface (AWS CLI) oder dem AWS CloudHSM API.

Console
Um die HSM Zertifikate CSR und zu erhalten (Konsole)

  1. Öffne die AWS CloudHSM Konsole zu https://console.aws.amazon.com/cloudhsm/Hause.

  2. Wählen Sie das Optionsfeld neben der Cluster-ID mit der, die HSM Sie verifizieren möchten.

  3. Wählen Sie Aktionen aus. Wählen Sie aus dem Drop-down-Menü die Option Initialisieren.

  4. Wenn Sie den vorherigen Schritt zum Erstellen einer nicht abgeschlossen habenHSM, wählen Sie eine Availability Zone (AZ) für dieHSM, die Sie gerade erstellen. Wählen Sie dann Erstellen aus.

  5. Wenn die Zertifikate fertig CSR sind, werden Links zum Herunterladen angezeigt.

    Die Seite mit der Anforderung zum Herunterladen der Zertifikatsignierung in der AWS CloudHSM Konsole.

  6. Wählen Sie jeden Link aus, um die Zertifikate herunterzuladen CSR und zu speichern. Zur Vereinfachung der nachfolgenden Schritte speichern Sie alle Dateien in demselben Verzeichnis und nutzen die Standard-Dateinamen.

AWS CLI
Um die HSM Zertifikate CSR und zu erhalten (AWS CLI)

  • Führen Sie den Befehl an der describe-clusters Befehlszeile viermal aus, extrahieren Sie jedes Mal die CSR Zertifikate und speichern Sie sie in Dateien.

    1. Geben Sie den folgenden Befehl ein, um den Cluster CSR zu extrahieren. Ersetzen <cluster ID> mit der ID des Clusters, den Sie zuvor erstellt haben.

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr

    2. Geben Sie den folgenden Befehl ein, um das HSM Zertifikat zu extrahieren. Ersetzen <cluster ID> mit der ID des Clusters, den Sie zuvor erstellt haben.

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.HsmCertificate' \
                                   > <cluster ID>_HsmCertificate.crt

    3. Geben Sie den folgenden Befehl ein, um das AWS Hardwarezertifikat zu extrahieren. Ersetzen <cluster ID> mit der ID des Clusters, den Sie zuvor erstellt haben.

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.AwsHardwareCertificate' \
                                   > <cluster ID>_AwsHardwareCertificate.crt

    4. Geben Sie zum Extrahieren des Hardwarezertifikats des Herstellers den folgenden Befehl aus. Ersetzen <cluster ID> mit der ID des Clusters, den Sie zuvor erstellt haben.

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \
                                   > <cluster ID>_ManufacturerHardwareCertificate.crt
AWS CloudHSM API
Um die HSM Zertifikate CSR und (AWS CloudHSM API) zu erhalten

  • Senden Sie eine DescribeClustersfordern Sie an, extrahieren und speichern Sie dann die CSR AND-Zertifikate aus der Antwort.

Schritt 2. Die Stammzertifikate laden

Gehen Sie wie folgt vor, um die Stammzertifikate für AWS CloudHSM und den Hersteller zu erhalten. Speichern Sie die Stammzertifikatsdateien in dem Verzeichnis, das die Dateien CSR und die HSM Zertifikatsdateien enthält.

Um die Stammzertifikate AWS CloudHSM und die Stammzertifikate des Herstellers abzurufen

  1. Laden Sie das AWS CloudHSM Stammzertifikat herunter: AWS_Cloud HSM _Root-G1.zip

  2. Laden Sie das richtige Stammzertifikat des Herstellers für Ihren HSM Typ herunter:

    Anmerkung

    Verwenden Sie die folgenden Links, um jedes Zertifikat von der jeweiligen Landingpage herunterzuladen:

    Möglicherweise müssen Sie mit der rechten Maustaste auf den Link Download Certificate (Zertifikat herunterladen) klicken und dann Save Link As... (Link speichern unter) wählen, um die Zertifikatdatei zu speichern.

  3. Nachdem Sie die Dateien heruntergeladen haben, extrahieren (entpacken) Sie den Inhalt.

Schritt 3. Zertifikatketten prüfen

In diesem Schritt erstellen Sie zwei Zertifikatsketten, eine für das AWS CloudHSM Stammzertifikat und eine für das Stammzertifikat des Herstellers. Verwenden Sie dann OpenSSL, um das HSM Zertifikat mit jeder Zertifikatskette zu verifizieren.

Öffnen Sie zum Erstellen der Zertifikatketten eine Linux-Shell. Sie benötigen OpenSSL, das in den meisten Linux-Shells verfügbar ist, und Sie benötigen das Stammzertifikat und die HSMZertifikatsdateien, die Sie heruntergeladen haben. Sie benötigen das AWS CLI für diesen Schritt jedoch nicht, und die Shell muss nicht mit Ihrem AWS Konto verknüpft werden.

Um das HSM Zertifikat mit dem AWS CloudHSM Stammzertifikat zu verifizieren

  1. Navigieren Sie zu dem Verzeichnis, in dem Sie das Stammzertifikat und die heruntergeladenen HSMZertifikatsdateien gespeichert haben. Die folgenden Befehle gehen davon aus, dass sich alle Zertifikate im aktuellen Verzeichnis befinden und die Standard-Dateinamen verwendet werden.

    Verwenden Sie den folgenden Befehl, um eine Zertifikatskette zu erstellen, die das AWS Hardwarezertifikat und das AWS CloudHSM Stammzertifikat in dieser Reihenfolge umfasst. Ersetzen <cluster ID> mit der ID des Clusters, den Sie zuvor erstellt haben. 

    $ cat <cluster ID>_AwsHardwareCertificate.crt \
      AWS_CloudHSM_Root-G1.crt \
      > <cluster ID>_AWS_chain.crt

  2. Verwenden Sie den folgenden SSL Open-Befehl, um das HSM Zertifikat anhand der AWS Zertifikatskette zu verifizieren. Ersetzen <cluster ID> mit der ID des Clusters, den Sie zuvor erstellt haben.

    $ openssl verify -CAfile <cluster ID>_AWS_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK
Um das HSM Zertifikat mit dem Stammzertifikat des Herstellers zu verifizieren

  1. Verwenden Sie den folgenden Befehl zum Erstellen einer Zertifikatkette, die das Hersteller-Hardware-Zertifikat und das Hersteller-Stammzertifikat (in dieser Reihenfolge) enthält. Ersetzen <cluster ID> mit der ID des Clusters, den Sie zuvor erstellt haben.

    $ cat <cluster ID>_ManufacturerHardwareCertificate.crt \
      liquid_security_certificate.crt \
      > <cluster ID>_manufacturer_chain.crt

  2. Verwenden Sie den folgenden SSL Open-Befehl, um das HSM Zertifikat anhand der Zertifikatskette des Herstellers zu überprüfen. Ersetzen <cluster ID> mit der ID des Clusters, den Sie zuvor erstellt haben.

    $ openssl verify -CAfile <cluster ID>_manufacturer_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK

Schritt 4. Extrahieren und Vergleichen der öffentlichen Schlüssel

Verwenden Sie OpenSSL, um die öffentlichen Schlüssel im HSM Zertifikat und im Cluster zu extrahieren und zu vergleichenCSR, um sicherzustellen, dass sie identisch sind.

Nutzen Sie zum Vergleichen der öffentlichen Schlüssel die Linux-Shell. Sie benötigen OpenSSL, das in den meisten Linux-Shells verfügbar ist, aber Sie benötigen das AWS CLI für diesen Schritt nicht. Die Shell muss nicht mit Ihrem AWS Konto verknüpft sein.

Extrahieren und Vergleichen der öffentlichen Schlüssel

  1. Verwenden Sie den folgenden Befehl, um den öffentlichen Schlüssel aus dem HSM Zertifikat zu extrahieren.

    $ openssl x509 -in <cluster ID>_HsmCertificate.crt -pubkey -noout > <cluster ID>_HsmCertificate.pub

  2. Verwenden Sie den folgenden Befehl, um den öffentlichen Schlüssel aus dem Cluster zu extrahierenCSR.

    $ openssl req -in <cluster ID>_ClusterCsr.csr -pubkey -noout > <cluster ID>_ClusterCsr.pub

  3. Verwenden Sie den folgenden Befehl, um die öffentlichen Schlüssel zu vergleichen. Wenn die öffentlichen Schlüssel identisch sind, erzeugt der folgende Befehl keine Ausgabe.

    $ diff <cluster ID>_HsmCertificate.pub <cluster ID>_ClusterCsr.pub

Nachdem Sie die Identität und Authentizität von überprüft habenHSM, fahren Sie mit fortInitialisieren des Clusters.