Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Reconfigurer SSL avec un nouveau certificat et une nouvelle clé privée (facultatif)
AWS CloudHSM utilise un certificat SSL pour établir une connexion à un HSM. Une clé et le certificat SSL par défaut sont inclus lorsque vous installez le client. Toutefois, vous pouvez créer et utiliser les vôtres. Notez que vous aurez besoin du certificat auto-signé (customerCA.crt
) que vous avez créé lorsque vous avez initialisé votre cluster.
À un haut niveau, il s'agit d'un processus en deux étapes :
-
Vous devez d’abord créer une clé privée, puis l’utiliser pour créer une demande de signature de certificat (CSR). Utilisez le certificat émetteur, le certificat que vous avez créé lors de l'initialisation du cluster, pour signer la CSR.
-
Ensuite, utilisez l'outil de configuration pour copier la clé et le certificat dans les répertoires appropriés.
Créez une clé, une CSR, puis signez la CSR
Les étapes sont les mêmes pour le SDK client 3 ou le SDK client 5.
Pour reconfigurer SSL avec un nouveau certificat et une nouvelle clé privée
-
Créez une clé privée à l'aide de la commande OpenSSL suivante :
openssl genrsa -out ssl-client.key 2048
Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001)
-
Utilisez la commande OpenSSL suivante pour créer une demande de signature de certificat (CSR). Vous devrez répondre à une série de questions concernant votre certificat.
openssl req -new -sha256 -key ssl-client.key -out ssl-client.csr
Enter pass phrase for ssl-client.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
-
Signez la CSR avec le certificat
customerCA.crt
que vous avez créé lorsque vous avez initialisé votre cluster.openssl x509 -req -days 3652 -in ssl-client.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out ssl-client.crt
Signature ok subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales Getting CA Private Key
Activer le protocole SSL personnalisé pour AWS CloudHSM
Les étapes sont différentes pour le SDK client 3 ou le SDK client 5. Pour plus d'informations sur l'utilisation de l’outil de ligne de commande de configuration, consultez Outil de configuration.
SSL personnalisé pour le SDK client 3
Utilisez l'outil de configuration du SDK client 3 pour activer le SSL personnalisé. Pour plus d'informations sur l'outil de configuration du SDK client 3, consultez Outil de configuration du SDK client 3.
Pour utiliser un certificat et une clé personnalisés pour l'authentification mutuelle client-serveur TLS avec le SDK client 3 sous Linux
-
Copiez votre clé et votre certificat dans le répertoire approprié.
sudo cp ssl-client.crt
/opt/cloudhsm/etc
sudo cp ssl-client.key/opt/cloudhsm/etc
-
Utilisez l'outil de configuration pour spécifier
ssl-client.crt
etssl-client.key
.sudo /opt/cloudhsm/bin/configure --ssl \ --pkey
/opt/cloudhsm/etc/ssl-client.key
\ --cert/opt/cloudhsm/etc/ssl-client.crt
-
Ajoutez le certificat
customerCA.crt
au magasin d'approbations. Créez un hachage du nom d'objet du certificat. Cette opération crée un index pour autoriser la recherche du certificat par ce nom.openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1 1234abcd
Créez un répertoire.
mkdir /opt/cloudhsm/etc/certs
Créez un fichier qui contient le certificat avec le nom de hachage.
sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0
SSL personnalisé pour le SDK client 5
Utilisez l'un des outils de configuration du SDK client 5 pour activer le protocole SSL personnalisé. Pour plus d'informations sur l'outil de configuration du SDK client 5, consultez Outil de configuration du SDK client 5.