Conecta el SDK del cliente al AWS CloudHSM clúster - AWS CloudHSM
Colocación del certificado de emisión en cada instancia de EC2Especifique la ubicación del certificado de emisión.Proceso de arranque del SDK de cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conecta el SDK del cliente al AWS CloudHSM clúster

Para conectarse al clúster con el SDK 5 de cliente o el SDK 3 de cliente, primero debe hacer dos cosas:

  • Contar con un certificado de emisión en la instancia EC2

  • Inicio del arranque del SDK del cliente en el clúster

Colocación del certificado de emisión en cada instancia de EC2

Crea el certificado de emisión al inicializar el clúster. Copie el certificado de emisión en la ubicación predeterminada de la plataforma en cada instancia EC2 que se conecte al clúster.

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Especifique la ubicación del certificado de emisión.

Con SDK 5 de cliente, se utiliza la herramienta de configuración para especificar la ubicación del certificado de emisión.

PKCS #11 library
Cómo ubicar el certificado de emisión en Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Cómo ubicar el certificado de emisión en Windows para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Cómo ubicar el certificado de emisión en Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Cómo ubicar el certificado de emisión en Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Cómo ubicar el certificado de emisión en Windows para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Cómo ubicar el certificado de emisión en Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Cómo ubicar el certificado de emisión en Windows para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Para obtener más información, consulte Herramienta de configuración.

Para obtener más información sobre la inicialización del clúster o la creación y firma del certificado, consulte Inicializar el clúster.

Proceso de arranque del SDK de cliente

El proceso de arranque es diferente según la versión del SDK de cliente que utilice, pero debe tener la dirección IP de uno de los módulos de seguridad de hardware (HSM) del clúster. Puede usar la dirección IP de cualquier HSM adjuntado al clúster. Una vez que el SDK de cliente se conecta, recupera las direcciones IP de cualquier HSM adicional y realiza las operaciones de equilibrio de carga y sincronización de claves del lado del cliente.

Para obtener una dirección IP para un HSM (consola)

  1. Abra la AWS CloudHSM consola en https://console.aws.amazon.com/cloudhsm/home.

  2. Para cambiar la región de AWS, utilice el selector de regiones en la esquina superior derecha de la página.

  3. Para abrir la página de detalles del clúster, en la tabla de clústeres, elija el ID del clúster.

  4. Para obtener la dirección IP, vaya a la pestaña HSM y elija una de las direcciones IP que aparecen en la lista Dirección IP de ENI.

Para obtener una dirección IP para un HSM (CLI)

  • Obtenga la dirección IP de un HSM mediante el describe-clusters comando de la CLI. En el resultado del comando, la dirección IP de los HSM son los valores de EniIp. 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

Para obtener más información sobre las acciones de arranque, consulte la Herramienta de configuración.

PKCS #11 library
Arranque de una instancia EC2 de Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar la dirección IP de un HSM del clúster. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Arranque de una instancia EC2 de Windows para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar la dirección IP de un HSM del clúster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Arranque de una instancia EC2 de Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar la dirección IP de un HSM del clúster. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
Arranque de una instancia EC2 de Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar la dirección IP de un HSM del clúster. 

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Arranque de una instancia EC2 de Windows para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar la dirección IP de un HSM del clúster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Arranque de una instancia EC2 de Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar la dirección IP de los HSM de su clúster. 

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
Arranque de una instancia EC2 de Windows para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar la dirección IP de los HSM de su clúster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
nota

puede usar el parámetro –-cluster-id en lugar de -a <HSM_IP_ADDRESSES>. Para ver los requisitos de uso de –-cluster-id, consulte Herramienta de configuración de SDK 5 de cliente.

Arranque de una instancia EC2 de Linux para SDK 3 de cliente

  • Se utiliza configure para especificar la dirección IP de un HSM del clúster. 

    sudo /opt/cloudhsm/bin/configure -a <IP address>
Arranque de una instancia EC2 de Windows para SDK 3 de cliente

  • Se utiliza configure para especificar la dirección IP de un HSM del clúster. 

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

Para obtener más información sobre la configuración, consulte Herramienta de configuración.