Vérifiez l'identité et l'authenticité du HSM de votre cluster (facultatif) - AWS CloudHSM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vérifiez l'identité et l'authenticité du HSM de votre cluster (facultatif)

Pour initialiser votre cluster, vous devez signer une demande de signature de certificat (CSR) générée par le premier HSM du cluster. Avant cela, il se peut que vous vouliez vérifier l'identité et l'authenticité du HSM.

Note

Cette procédure est facultative. Cependant, elle fonctionne uniquement jusqu'à ce qu'un cluster soit initialisé. Une fois que le cluster a été initialisé, vous ne pouvez pas utiliser ce processus pour obtenir les certificats ou vérifier les HSM.

Présentation

Pour vérifier l'identité du premier HSM de votre cluster, effectuez les étapes suivantes :

  1. Obtenez les certificats et la CSR— Au cours de cette étape, vous obtenez trois certificats et une demande CSR auprès du HSM. Vous pouvez également obtenir deux certificats racine, un depuis AWS CloudHSM et un auprès du fabricant du matériel HSM.

  2. Vérifiez les chaînes de certificats— Au cours de cette étape, vous construisez deux chaînes de certificat, une pour laAWS CloudHSMcertificat racine et un autre pour le certificat racine du fabricant. Vérifiez ensuite le certificat HSM sur la base de ces chaînes de certificat pour être certain qu'AWS CloudHSM et le fabricant du matériel confirment l'identité et l'authenticité du HSM.

  3. Comparer les clés publiques— Au cours de cette étape, vous allez extraire et comparer les clés publiques incluses dans le certificat HSM et la demande CSR du cluster pour vérifier qu'elles sont identiques. Vous pourrez ainsi être certain que la demande CSR a été générée par un HSM authentique et de confiance.

Le schéma suivant montre la demande CSR, les certificats et les relations qui les unissent. La liste suivante définit chaque certificat.


        Certificats HSM et leurs relations.
Certificat racine AWS

Il s'agit du certificat racine du AWS CloudHSM.

Certificat racine du fabricant

Il s'agit du certificat racine du fabricant du matériel.

Certificat du matériel AWS

AWS CloudHSM a créé ce certificat lorsque le matériel HSM a été ajouté au parc. Ce certificat atteste que AWS CloudHSM possède le matériel.

Certificat du fabricant du matériel

Le fabricant du matériel HSM a créé ce certificat lorsqu'il a fabriqué le matériel HSM. Ce certificat atteste que le fabricant a créé le matériel.

Certificat HSM

Le certificat HSM est généré par le matériel validé FIPS lorsque vous créez le premier HSM du cluster. Ce certificat atteste que le matériel HSM a créé le HSM.

CSR de cluster

Le premier HSM crée le cluster CSR. Lorsque vous vous connectez au cluster CSR, vous demandez le cluster. Ensuite, vous pouvez utiliser la CSR signée pour initialiser le cluster.

Obtenir des certificats auprès du HSM

Pour vérifier l'identité et l'authenticité de votre HSM, commencez par obtenir une demande de signature de certificat et cinq certificats. Vous pouvez obtenir trois des certificats auprès du HSM, via la console AWS CloudHSM, l'AWS Command Line Interface (AWS CLI) ou l'API AWS CloudHSM.

Pour obtenir les certificats HSM et la demande de signature de certificat (console)

  1. Ouverture d'AWS CloudHSMconsole àhttps://console.aws.amazon.com/cloudhsm/.

  2. Choisissez Initialize en regard du cluster que vous avez créé.

  3. Choisissez une zone de disponibilité (AZ) pour le HSM que vous créez. Ensuite, choisissez Create (Créer). Si vous suivez le début, vous l'avez fait dans unétape précédente.

  4. Lorsque les certificats et la demande de signature de certificat sont prêts, des liens de téléchargement s'affichent.

    
            Page de demande de signature de certificat de la pageAWS CloudHSMconsole

    Cliquez sur chaque lien pour télécharger et enregistrer la demande de signature de certificat et les certificats. Pour simplifier les étapes ultérieures, enregistrez tous les fichiers dans le même répertoire et utilisez les noms de fichier par défaut.

Pour obtenir la demande de signature de certificat et les certificats (AWS CLI)

  • À l'invite de commande, exécutez la commande describe-clusters quatre fois, en extrayant la CSR et les différents certificats à chaque fois, et en les enregistrant dans des fichiers.

    1. Entrez la commande suivante pour extraire la CSR du cluster. Remplacez <ID cluster> par l'ID du cluster que vous avez créé.

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ > <cluster ID>_ClusterCsr.csr
    2. Entrez la commande suivante pour extraire le certificat HSM. Remplacez <ID cluster> par l'ID du cluster que vous avez créé.

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \ --output text \ --query 'Clusters[].Certificates.HsmCertificate' \ > <cluster ID>_HsmCertificate.crt
    3. Entrez la commande suivante pour extraire le certificat matériel AWS. Remplacez <ID cluster> par l'ID du cluster que vous avez créé.

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \ --output text \ --query 'Clusters[].Certificates.AwsHardwareCertificate' \ > <cluster ID>_AwsHardwareCertificate.crt
    4. Entrez la commande suivante pour extraire le certificat matériel du fabricant. Remplacez <ID cluster> par l'ID du cluster que vous avez créé.

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \ --output text \ --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \ > <cluster ID>_ManufacturerHardwareCertificate.crt

Pour obtenir la CSR et les certificats HSM (API AWS CloudHSM)

  • Envoyez une demande DescribeClusters, puis extrayez ces éléments dans la réponse et enregistrez-les.

Obtenir les certificats racine

Suivez ces étapes pour obtenir les certificats racine pour AWS CloudHSM et le fabriquant. Enregistrez les fichiers du certificat racine dans le répertoire contenant les fichiers de certificat CSR et HSM.

Pour obtenir les certificats racine AWS CloudHSM et du fabricant

  1. Télécharger leAWS CloudHSMcertificat racine : AWS_CloudHSM_Root-G1.zip

  2. Téléchargez le certificat racine du fabricant :liquid_security_certificate.zip

    Pour télécharger le certificat depuis la page de destination,https://www.marvell.com/products/security-solutions/liquid-security-hsm-adapters-and-appliances/liquidsecurity-certificate.html, puis choisissezTélécharger le certificat.

    Vous devrez peut-être cliquer avec le bouton droit de la souris sur le lien Télécharger le certificat, puis choisir Enregistrer le lien sous... pour enregistrer le fichier de certificat.

  3. Après avoir téléchargé les fichiers, décompressez le contenu pour l'extraire.

Vérification des chaînes de certificat

Au cours de cette étape, vous construisez deux chaînes de certificat, une pour le certificat racine AWS CloudHSM, une autre pour le certificat racine du fabricant. Utilisez ensuite OpenSSL pour vérifier le certificat HSM par rapport à chaque chaîne de certificats.

Pour créer les chaînes de certificats, ouvrez un shell Linux. Vous avez besoin d'OpenSSL, qui est disponible dans la plupart des shells Linux, et vous avez besoin du certificat racine et des fichiers de certificat HSM que vous avez téléchargés. Cependant, vous n'avez pas besoin de l'AWS CLI pour cette étape, de même que le shell n'a pas besoin d'être associé à votre compte AWS.

Pour vérifier le certificat HSM avec le certificat racine AWS CloudHSM

  1. Naviguez vers le répertoire où vous avez enregistré le certificat racine et les fichiers de certificats HSM que vous avez téléchargés. Les commandes suivantes supposent que tous les certificats sont dans le répertoire actuel et qu'ils utilisent les noms de fichier par défaut.

    Utilisez la commande suivante pour créer une chaîne de certificat qui inclut le certificat du matériel AWS, puis le certificat racine AWS CloudHSM, dans cet ordre. Remplacez <ID cluster> par l'ID du cluster que vous avez créé.

    $ cat <cluster ID>_AwsHardwareCertificate.crt \ AWS_CloudHSM_Root-G1.crt \ > <cluster ID>_AWS_chain.crt
  2. Utilisez la commande OpenSSL suivante pour vérifier le certificat HSM avec la chaîne de certificat AWS. Remplacez <ID cluster> par l'ID du cluster que vous avez créé.

    $ openssl verify -CAfile <cluster ID>_AWS_chain.crt <cluster ID>_HsmCertificate.crt <cluster ID>_HsmCertificate.crt: OK

Pour vérifier le certificat HSM avec le certificat racine du fabricant

  1. Utilisez la commande suivante pour créer une chaîne de certificat qui inclut le certificat du matériel du fabricant, puis le certificat racine du fabricant. Remplacez <ID cluster> par l'ID du cluster que vous avez créé.

    $ cat <cluster ID>_ManufacturerHardwareCertificate.crt \ liquid_security_certificate.crt \ > <cluster ID>_manufacturer_chain.crt
  2. Utilisez la commande OpenSSL suivante pour vérifier le certificat HSM avec la chaîne de certificat du fabricant. Remplacez <ID cluster> par l'ID du cluster que vous avez créé.

    $ openssl verify -CAfile <cluster ID>_manufacturer_chain.crt <cluster ID>_HsmCertificate.crt <cluster ID>_HsmCertificate.crt: OK

Extraire et comparaison des clés publiques

Utilisez OpenSSL pour extraire et comparer les clés publiques incluses dans le certificat HSM et la demande de signature de certificat du cluster, et vérifier qu'elles sont identiques.

Pour comparer les clés publiques, utilisez votre shell Linux. Vous avez besoin d'OpenSSL, qui est disponible dans la plupart des shells Linux, mais vous n'avez pas besoin de l'AWS CLI pour cette étape. Le shell n'a pas besoin d'être associé à votre compte AWS.

Pour extraire et comparer les clés publiques

  1. Utilisez la commande suivante pour extraire la clé publique du certificat HSM.

    $ openssl x509 -in <cluster ID>_HsmCertificate.crt -pubkey -noout > <cluster ID>_HsmCertificate.pub
  2. Utilisez la commande suivante pour extraire la clé publique de la demande de signature de certificat du cluster.

    $ openssl req -in <cluster ID>_ClusterCsr.csr -pubkey -noout > <cluster ID>_ClusterCsr.pub
  3. Utilisez la commande suivante pour comparer les clés publiques. Si les clés publiques sont identiques, la commande suivante ne donne aucun résultat.

    $ diff <cluster ID>_HsmCertificate.pub <cluster ID>_ClusterCsr.pub

Une fois que vous avez vérifié l'identité et l'authenticité du HSM, passez à Initialisation du cluster.