Initialiser le cluster

Suivez les étapes décrites dans les rubriques suivantes pour initialiser votre AWS CloudHSM cluster.

Note

Avant d'initialiser le cluster, vérifiez le processus par lequel vous pouvez vérifier l'identité et l'authenticité des modules HSM. Ce processus est facultatif et fonctionne uniquement jusqu'à ce qu'un cluster soit initialisé. Une fois que le cluster a été initialisé, vous ne pouvez pas utiliser ce processus pour obtenir vos certificats ou vérifier les HSM.

Obtenir la CSR du cluster

Avant de pouvoir initialiser le cluster, vous devez télécharger et signer une demande de signature de certificat (CSR) émise par le premier HSM du cluster. Si vous avez suivi la procédure de vérification de l'identité du HSM de votre cluster, vous disposez déjà de la CSR et vous pouvez la signer. Sinon, obtenez le CSR maintenant à l'aide de la AWS CloudHSM console, de la AWS Command Line Interface (CLI) ou de l' AWS CloudHSM API.

Important

Pour initialiser votre cluster, votre point de confiance doit être conforme à la RFC 5280 et répondre aux exigences suivantes :

• Si vous utilisez les extensions X509v3, l'extension X509v3 Basic Constraints doit être présente.

• Le point de confiance doit être un certificat auto-signé.

• Les valeurs d'extension ne doivent pas entrer en conflit les unes avec les autres.

Pour obtenir la demande de signature de certificat (console)

1. Ouvrez la AWS CloudHSM console à l'adresse https://console.aws.amazon.com/cloudhsm/home.

2. Sélectionnez le bouton radio en regard de l'ID du cluster avec le HSM que vous souhaitez vérifier.

3. Sélectionnez Actions. Dans le menu déroulant, choisissez Initialiser.

4. Si vous n'avez pas effectué l'étape précédente pour créer un HSM, choisissez une zone de disponibilité (AZ) pour le HSM que vous créez. Sélectionnez ensuite Créer.

5. Lorsque la demande CSR est prête, un lien de téléchargement s'affiche.

   

6. Choisissez Cluster CSR pour télécharger et enregistrer cette demande.

Pour obtenir le CSR (CLI)

• À l'invite de commande, exécutez la commande describe-clusters suivante, qui extrait la CSR et l'enregistre dans un fichier. Remplacez <ID cluster> par l'ID du cluster que vous avez créé.

  $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                     --output text \
                                     --query 'Clusters[].Certificates.ClusterCsr' \
                                     > <cluster ID>_ClusterCsr.csr
  

Pour obtenir le CSR (AWS CloudHSM API)

1. Envoyez une demande DescribeClusters.

2. Extrayez la demande CSR de la réponse et enregistrez-la.

Signez la CSR

Actuellement, vous devez créer un certificat de signature auto-signé et l'utiliser pour signer la CSR de votre cluster. Vous n'avez pas besoin de la CLI pour cette étape, et le shell n'a pas besoin d'être associé à votre AWS compte. Pour signer la CSR, vous devez effectuer les opérations suivantes :

1. Complétez la section précédente (voir Obtenir la CSR du cluster).

2. Créer une clé privée.

3. Utiliser la clé privée pour créer un certificat de signature.

4. Connecter votre cluster CSR.

Créer une clé privée

Note

Pour un cluster de production, la clé doit être créée de manière sécurisée à l'aide d'une source fiable de caractère aléatoire. Nous vous recommandons d'utiliser un HSM hors site et hors ligne sécurisé, ou équivalent. Stockez la clé en toute sécurité. La clé établit l'identité du cluster et votre seul contrôle sur les HSM qu'il contient.

Au cours de la phase de développement et de test, vous pouvez utiliser n'importe quel outil pratique (par exemple, OpenSSL) pour créer et signer le certificat de cluster. L'exemple suivant montre comment créer une clé. Une fois que vous avez utilisé la clé pour créer un certificat auto-signé (voir ci-dessous), vous devez la stocker en toute sécurité. Pour vous connecter à votre AWS CloudHSM instance, le certificat doit être présent, mais pas la clé privée.

Utilisez la commande suivante pour créer une clé privée. Lors de l'initialisation d'un AWS CloudHSM cluster, vous devez utiliser le certificat RSA 2048 ou le certificat RSA 4096.

$ openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerCA.key:
Verifying - Enter pass phrase for customerCA.key:

Utilisation de la clé privée pour créer un certificat auto-signé

Le matériel de confiance que vous utilisez pour créer la clé privée pour votre cluster de production doit également fournir un logiciel pour générer un certificat auto-signé à l'aide de cette clé. L'exemple suivant utilise OpenSSL et la clé privée que vous avez créée à l'étape précédente pour créer un certificat de signature. Le certificat est valable pendant 10 ans (3652 jours). Lisez les instructions à l'écran et suivez les invites.

$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Cette commande crée un fichier de certificat nommé customerCA.crt. Placez ce certificat sur chaque hôte à partir duquel vous allez vous connecter à votre AWS CloudHSM cluster. Si vous accordez un autre nom au fichier ou le stocker dans un emplacement autre que la racine de votre hôte, vous devez modifier votre fichier de configuration client en conséquence. Utilisez le certificat et la clé privée que vous venez de créer pour signer la demande de signature du certificat (CSR) de cluster à l'étape suivante.

Signature de la CSR du cluster

Le matériel approuvé que vous utilisez pour créer la clé privée pour votre cluster de production doit également fournir un logiciel pour signer la CSR à l'aide de cette clé. L'exemple suivant utilise OpenSSL pour signer la CSR du cluster. L'exemple utilise votre clé privée et le certificat auto-signé créé à l'étape précédente.

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
                              -CA customerCA.crt \
                              -CAkey customerCA.key \
                              -CAcreateserial \
                              -out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifer>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for customerCA.key:

Cette commande crée un fichier nommé <cluster ID>_CustomerHsmCertificate.crt. Utilisez ce fichier comme certificat signé lorsque vous initialiserez le cluster.

Initialiser le cluster

Utilisez votre certificat HSM signé et votre certificat de signature pour initialiser votre cluster. Vous pouvez utiliser la AWS CloudHSM console, la CLI ou l' AWS CloudHSM API.

Pour initialiser un cluster (console)

1. Ouvrez la AWS CloudHSM console à l'adresse https://console.aws.amazon.com/cloudhsm/home.

2. Sélectionnez le bouton radio en regard de l'ID du cluster avec le HSM que vous souhaitez vérifier.

3. Sélectionnez Actions. Dans le menu déroulant, choisissez Initialiser.

4. Si vous n'avez pas effectué l'étape précédente pour créer un HSM, choisissez une zone de disponibilité (AZ) pour le HSM que vous créez. Sélectionnez ensuite Créer.

5. Sur la page Télécharger la demande de signature de certificat, cliquez sur Next. Si l'option Next n'est pas disponible, vous devez d'abord choisir l'un des liens renvoyant à la demande CSR ou au certificat. Ensuite, sélectionnez Suivant.

6. Sur la page Sign certificate signing request (CSR), cliquez sur Next.

7. Sur la page Upload the certificates, procédez comme suit :

   1. En regard de Cluster certificate (Certificat de cluster), choisissez Upload file (Charger le fichier). Ensuite, recherchez et sélectionnez le certificat HSM signé précédemment. Si vous avez suivi la procédure indiquée à la section précédente, sélectionnez le fichier <cluster ID>_CustomerHsmCertificate.crt.

   2. En regard de Émission du certificat, choisissez Charger le fichier. Ensuite, sélectionnez votre certificat de signature. Si vous avez suivi la procédure indiquée à la section précédente, sélectionnez le fichier customerCA.crt.

   3. Choisissez Upload and initialize.

Pour initialiser un cluster (CLI)

• À partir d'une invite de commande, exécutez la commande initialize-cluster. Fournissez les éléments suivants :

  • ID du cluster que vous avez créé précédemment.

  • Certificat HSM que vous avez signé précédemment. Si vous avez suivi la procédure indiquée à la section précédente, il est enregistré dans le fichier <cluster ID>_CustomerHsmCertificate.crt.

  • Votre certificat de signature. Si vous avez suivi la procédure indiquée à la section précédente, le certificat de signature est enregistré dans le fichier nommé customerCA.crt.

  $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                      --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                      --trust-anchor file://customerCA.crt
  {
      "State": "INITIALIZE_IN_PROGRESS",
      "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
  }
  

Pour initialiser un cluster (AWS CloudHSM API)

• Envoyez une demande InitializeCluster avec les éléments suivants :

  • ID du cluster que vous avez créé précédemment.

  • Certificat HSM que vous avez signé précédemment.

  • Votre certificat de signature.