Paso 1: configurar los requisitos previos - AWS CloudHSM
Requisitos previos para el SDK 5 de clienteRequisitos previos para el SDK 3 de cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 1: configurar los requisitos previos

Las diferentes plataformas requieren requisitos previos diferentes. Utilice la siguiente sección de requisitos previos que se ajuste a su plataforma.

Requisitos previos para el SDK 5 de cliente

Si desea configurar un servidor web para la descarga SSL/TLS con SDK 5 de cliente, necesita lo siguiente:

Para configurar una instancia de servidor web de Linux y crear un CU en el HSM

  1. Instale y configure el motor dinámico OpenSSL para. AWS CloudHSM Para obtener más información sobre la instalación del motor dinámico de OpenSSL, consulte Motor dinámico de OpenSSL para SDK 5 de cliente.

  2. En una instancia Linux EC2 que tenga acceso a su clúster, instale el servidor web NGINX o Apache:

    Amazon Linux

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2

    • Para obtener información sobre cómo descargar la última versión de NGINX en Amazon Linux 2, consulte el sitio web de NGINX.

      La última versión de NGINX disponible para Amazon Linux 2 utiliza una versión de OpenSSL más reciente que la versión de sistema de OpenSSL. Después de instalar NGINX, debe crear un enlace simbólico desde la biblioteca AWS CloudHSM OpenSSL Dynamic Engine a la ubicación que espera esta versión de OpenSSL 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7
    Red Hat 7

    • Para obtener información sobre cómo descargar la última versión de NGINX en Red Hat 7, consulte el sitio web de NGINX.

      La última versión de NGINX disponible para Red Hat 7 utiliza una versión de OpenSSL más reciente que la versión de sistema de OpenSSL. Después de instalar NGINX, debe crear un enlace simbólico desde la biblioteca AWS CloudHSM OpenSSL Dynamic Engine a la ubicación que espera esta versión de OpenSSL 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 8

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 8

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 18.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 20.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 22.04

    La compatibilidad con el motor dinámico de OpenSSL aún no está disponible.

  3. Utilice la CLI de CloudHSM para crear una CU. Para obtener más información sobre la administración de los usuarios de HSM, consulte Administrar a los usuarios de HSM con la CLI de CloudHSM.

    sugerencia

    Realice un seguimiento del nombre de usuario y la contraseña del CU. Los necesitará más adelante cuando genere o importe el certificado y la clave privada de HTTPS para el servidor web.

Después de completar estos pasos, vaya a Paso 2: generar o importar una clave privada y un certificado SSL/TLS.

Notas

  • Para usar Linux con seguridad mejorada (SELinux) y servidores web, debe permitir las conexiones TCP salientes en el puerto 2223, que es el puerto que el SDK 5 de cliente utiliza para comunicarse con el HSM.

  • Para crear y activar un clúster y permitir que una instancia EC2 acceda al clúster, complete los pasos que se indican en Introducción a AWS CloudHSM. La introducción ofrece step-by-step instrucciones para crear un clúster activo con un HSM y una instancia de cliente Amazon EC2. Puede utilizar esta instancia de cliente como su servidor web.

  • Para evitar deshabilitar la durabilidad de la clave de cliente, agregue más de un HSM a su clúster. Para obtener más información, consulte Agregar un HSM.

  • Para conectarse a su instancia de cliente, puede utilizar SSH o PuTTY. Para obtener más información, consulte Conectarse a la instancia de Linux mediante SSH o Conectarse a la instancia de Linux desde Windows mediante PuTTY en la documentación de Amazon EC2.

Requisitos previos para el SDK 3 de cliente

Si desea configurar un servidor web para la descarga SSL/TLS con SDK 3 de cliente, necesita lo siguiente:

  • Un AWS CloudHSM clúster activo con al menos un HSM.

  • Una instancia de Amazon EC2 que ejecute el sistema operativo Linux y tenga el siguiente software instalado:

    • El AWS CloudHSM cliente y las herramientas de línea de comandos.

    • La aplicación del servidor web NGINX o Apache.

    • El motor AWS CloudHSM dinámico de OpenSSL.

  • Un usuario de criptografía (CU) que sea el propietario y administre la clave privada del servidor web en el HSM.

Para configurar una instancia de servidor web de Linux y crear un CU en el HSM

  1. Realice los pasos que se indican en Introducción. Así, dispondrá de un clúster activo con un HSM y una instancia de cliente de Amazon EC2. La instancia EC2 se configurará con las herramientas de línea de comandos. Utilice esta instancia de cliente como su servidor web.

  2. Conéctese a su instancia de cliente. Para obtener más información, consulte Conectarse a la instancia de Linux mediante SSH o Conectarse a la instancia de Linux desde Windows mediante PuTTY en la documentación de Amazon EC2.

  3. En una instancia Linux EC2 que tenga acceso a su clúster, instale el servidor web NGINX o Apache:

    Amazon Linux

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2

    • La versión 1.19 de NGINX es la última versión de NGINX compatible con el motor del SDK 3 de cliente de Amazon Linux 2.

      Para obtener más información y descargar la versión 1.19 de NGINX, consulte el sitio web de NGINX.

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7

    • La versión 1.19 de NGINX es la última versión de NGINX compatible con el motor del SDK 3 de cliente de Centos 7.

      Para obtener más información y descargar la versión 1.19 de NGINX, consulte el sitio web de NGINX.

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7

    • La versión 1.19 de NGINX es la última versión de NGINX compatible con el motor del SDK 3 de cliente de Red Hat 7.

      Para obtener más información y descargar la versión 1.19 de NGINX, consulte el sitio web de NGINX.

    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 16.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 18.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2

  4. (Opcional) Añada más HSM a su clúster. Para obtener más información, consulte Agregar un HSM.

  5. Utilice cloudhsm_mgmt_util para crear un CU. Para obtener más información, consulte Administración de usuarios de HSM. Realice un seguimiento del nombre de usuario y la contraseña del CU. Los necesitará más adelante cuando genere o importe el certificado y la clave privada de HTTPS para el servidor web.

Después de completar estos pasos, vaya a Paso 2: generar o importar una clave privada y un certificado SSL/TLS.