Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Verificar la identidad y la autenticidad del HSM de un clúster (opcional)
Para inicializar el clúster, debe firmar una solicitud de firma de certificado (CSR) generada por el primer HSM del clúster. Antes de hacerlo, es posible que desee verificar la identidad y la autenticidad del HSM.
nota
Este proceso es opcional. Sin embargo, funciona únicamente hasta que se inicializa un clúster. Una vez que se inicializa el clúster, no puede utilizar este proceso para obtener los certificados o verificar los HSM.
Temas
Información general
Para verificar la identidad del primer HSM del clúster, siga los pasos que se describen a continuación:
-
Obtener los certificados y las CSR: en este paso, recibirá tres certificados y una CSR desde el HSM. También obtendrá dos certificados raíz, uno del fabricante del hardware del HSM AWS CloudHSM y otro del fabricante del hardware.
-
Verificar las cadenas de certificados: en este paso, se crean dos cadenas de certificados, una para el certificado AWS CloudHSM raíz y otra para el certificado raíz del fabricante. A continuación, verifica el certificado HSM con estas cadenas de certificados para determinarlo AWS CloudHSM y el fabricante del hardware certifica la identidad y autenticidad del HSM.
-
Comparar las claves públicas: en este paso, extraerá y comparará las claves públicas del certificado del HSM y de la CSR del clúster, para asegurarse de que sean las mismas. Esto debería darle la seguridad de que la CSR fue generada por un HSM auténtico y de confianza.
En el siguiente diagrama se muestran la CSR, los certificados, y la relación que existe entre unos y otros. En la lista que le sigue, se definen los distintos certificados.
- AWS Certificado raíz
-
Este AWS CloudHSM es el certificado raíz.
- Certificado raíz del fabricante
-
Este es el certificado raíz del fabricante del hardware.
- AWS Certificado de hardware
-
AWS CloudHSM creó este certificado cuando se añadió el hardware de HSM a la flota. Este certificado afirma que AWS CloudHSM es el propietario del hardware.
- Certificado de hardware del fabricante
-
El fabricante del hardware del HSM creó este certificado cuando fabricó el hardware del HSM. Este certificado confirma que el fabricante creó el hardware.
- Certificado del HSM
-
El certificado del HSM es generado por el hardware validado por FIPS cuando crea el primer HSM en el clúster. Este certificado confirma que el hardware del HSM creó el HSM.
- CSR del clúster
-
El primer HSM crea la CSR del clúster. Al firmar la CSR del clúster, solicita el clúster. A continuación, puede utilizar la CSR firmada para inicializar el clúster.
Obtención de los certificados del HSM8
Para verificar la identidad y la autenticidad del HSM, empiece por obtener una CSR y cinco certificados. Los tres certificados los obtiene del HSM, lo que puede hacer con la AWS CloudHSM consola
Para obtener la CSR y los certificados del HSM (consola)
Abre la AWS CloudHSM consola en https://console.aws.amazon.com/cloudhsm/home
. -
Seleccione el botón de opción situado junto a la ID del clúster con el HSM que desea verificar.
-
Seleccione Acciones. En el menú desplegable, elija Inicializar.
-
Si no ha completado el paso anterior para crear un HSM, elija una zona de disponibilidad (AZ) para el HSM que va a crear. A continuación, seleccione Crear.
-
Cuando los certificados y la CSR estén listos, verá enlaces para descargarlos.
-
Elija los enlaces necesarios para descargar y guardar la CSR y los certificados. Para simplificar los pasos posteriores, guarde todos los archivos en el mismo directorio y utilice los nombres de archivo predeterminados.
Para obtener la CSR y los certificados de HSM (AWS CLI)
-
En el símbolo del sistema, ejecute cuatro veces el comando describe-clusters para extraer la CSR y cada uno de los certificados y guardarlos en archivos.
-
Escriba el siguiente comando para extraer la CSR del clúster. Sustituya
<ID de clúster>por el ID del clúster que creó anteriormente.$aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID>\ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ ><cluster ID>_ClusterCsr.csr -
Escriba el siguiente comando para extraer el certificado del HSM. Sustituya
<ID de clúster>por el ID del clúster que creó anteriormente.$aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID>\ --output text \ --query 'Clusters[].Certificates.HsmCertificate' \ ><cluster ID>_HsmCertificate.crt -
Ejecute el siguiente comando para extraer el certificado AWS de hardware. Sustituya
<ID de clúster>por el ID del clúster que creó anteriormente.$aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID>\ --output text \ --query 'Clusters[].Certificates.AwsHardwareCertificate' \ ><cluster ID>_AwsHardwareCertificate.crt -
Escriba el siguiente comando para extraer el certificado de hardware del fabricante. Sustituya
<ID de clúster>por el ID del clúster que creó anteriormente.$aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID>\ --output text \ --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \ ><cluster ID>_ManufacturerHardwareCertificate.crt
-
Para obtener los certificados CSR y HSM (API)AWS CloudHSM
-
Envíe una solicitud DescribeClusters, extraiga la CSR y los certificados de la respuesta y guárdelos.
Obtención de los certificados raíz
Siga estos pasos para obtener los certificados raíz para AWS CloudHSM y para el fabricante. Guarde los archivos del certificado raíz en el directorio que contiene los archivos de los certificados de la CSR y del HSM.
Para obtener los certificados raíz AWS CloudHSM y los del fabricante
-
Descargue el certificado AWS CloudHSM raíz: AWS_CloudHSM_Root-G1.zip
-
Descargue el certificado raíz del fabricante adecuado para su tipo de HSM:
nota
Para descargar cada certificado desde su página de inicio, utilice los siguientes enlaces:
Es posible que tenga que hacer clic con el botón derecho del ratón en el enlace Descargar certificado y, a continuación, elegir Guardar enlace como... para guardar el archivo del certificado.
-
Después de descargar los archivos, extraiga (descomprima) el contenido.
Verificación de las cadenas de certificados
En este paso, se crean dos cadenas de certificados, una para el certificado AWS CloudHSM raíz y otra para el certificado raíz del fabricante. A continuación, utilice OpenSSL para verificar el certificado del HSM con cada una de las cadenas de certificados.
Para crear cadenas de certificados, abra un shell de Linux. Necesita OpenSSL, que está disponible en la mayoría de los shells de Linux, y necesita el certificado raíz y los archivos del certificado del HSM que descargó. Sin embargo, no necesita el comando AWS CLI para este paso y tampoco es necesario que el shell esté asociado a su AWS cuenta.
Para verificar el certificado HSM con el certificado AWS CloudHSM raíz
-
Desplácese hasta el directorio donde guardó el certificado raíz y los archivos del certificado del HSM que descargó. Los siguientes comandos presuponen que todos los certificados se encuentran en el directorio actual y utilizan los nombres de archivo predeterminados.
Utilice el siguiente comando para crear una cadena de certificados que incluya el certificado de AWS hardware y el certificado AWS CloudHSM raíz, en ese orden. Sustituya
<ID de clúster>por el ID del clúster que creó anteriormente.$cat<cluster ID>_AwsHardwareCertificate.crt \ AWS_CloudHSM_Root-G1.crt \ ><cluster ID>_AWS_chain.crt -
Utilice el siguiente comando de OpenSSL para verificar el certificado del HSM con la cadena de certificados de AWS . Sustituya
<ID de clúster>por el ID del clúster que creó anteriormente.$openssl verify -CAfile<cluster ID>_AWS_chain.crt<cluster ID>_HsmCertificate.crt<cluster ID>_HsmCertificate.crt: OK
Para verificar el certificado del HSM con el certificado raíz del fabricante
-
Utilice el siguiente comando para crear una cadena de certificados que incluya el certificado de hardware del fabricante y el certificado raíz del fabricante, en ese orden. Sustituya
<ID de clúster>por el ID del clúster que creó anteriormente.$cat<cluster ID>_ManufacturerHardwareCertificate.crt \ liquid_security_certificate.crt \ ><cluster ID>_manufacturer_chain.crt -
Utilice el siguiente comando de OpenSSL para verificar el certificado del HSM con la cadena de certificados del fabricante. Sustituya
<ID de clúster>por el ID del clúster que creó anteriormente.$openssl verify -CAfile<cluster ID>_manufacturer_chain.crt<cluster ID>_HsmCertificate.crt<cluster ID>_HsmCertificate.crt: OK
Extracción y comparación de las claves públicas
Utilice OpenSSL para extraer y comparar las claves públicas del certificado del HSM y de la CSR del clúster, con objeto de asegurarse de que sean las mismas.
Para comparar las claves públicas, utilice el shell de Linux. Necesita OpenSSL, que está disponible en la mayoría de los shells de Linux, pero no lo necesita AWS CLI para este paso. No es necesario que el shell esté asociado a su AWS cuenta.
Para extraer y comparar las claves públicas
-
Utilice el siguiente comando para extraer la clave pública del certificado del HSM.
$openssl x509 -in<cluster ID>_HsmCertificate.crt -pubkey -noout ><cluster ID>_HsmCertificate.pub -
Utilice el siguiente comando para extraer la clave pública de la CSR del clúster.
$openssl req -in<cluster ID>_ClusterCsr.csr -pubkey -noout ><cluster ID>_ClusterCsr.pub -
Utilice el siguiente comando para comparar las claves públicas. Si las claves públicas son idénticas, el siguiente comando no devuelve ningún resultado.
$diff<cluster ID>_HsmCertificate.pub<cluster ID>_ClusterCsr.pub
Después de verificar la identidad y autenticidad del HSM, continúe con Inicio del clúster.
