Connect SDK klien ke cluster AWS CloudHSM - AWS CloudHSM
Tempatkan sertifikat penerbitan pada setiap instans EC2Tentukan lokasi sertifikat penerbitanBootstrap Klien SDK

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect SDK klien ke cluster AWS CloudHSM

Untuk menyambung ke klaster baik dengan Klien SDK 5 atau Klien SDK 3, Anda harus terlebih dahulu melakukan dua hal:

  • Memiliki sertifikat penerbitan terpasang pada instans EC2

  • Bootstrap Klien SDK ke klaster

Tempatkan sertifikat penerbitan pada setiap instans EC2

Anda membuat sertifikat penerbitan ketika Anda menginisialisasi klaster. Salin sertifikat penerbitan ke lokasi default untuk platform pada setiap instans EC2 yang menghubungkan ke klaster.

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Tentukan lokasi sertifikat penerbitan

Dengan Client SDK 5, Anda menggunakan alat konfigurasi untuk menentukan lokasi sertifikat penerbitan.

PKCS #11 library
Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Untuk informasi selengkapnya, lihat Alat Konfigurasi.

Untuk informasi selengkapnya tentang menginisialisasi klaster atau membuat dan menandatangani sertifikat, lihat Menginisialisasi Cluster.

Bootstrap Klien SDK

Proses bootstrap berbeda tergantung pada versi Klien SDK yang Anda gunakan, tetapi Anda harus memiliki alamat IP dari salah satu modul keamanan perangkat keras (HSM) di klaster. Anda dapat menggunakan alamat IP dari setiap HSM yang terlampir pada klaster Anda. Setelah terhubung, Klien SDK mengambil alamat IP dari setiap HSM tambahan dan melakukan penyeimbangan beban dan operasi sinkronisasi kunci sisi klien.

Untuk mendapatkan alamat IP untuk HSM (konsol)

  1. Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/home.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Untuk membuka halaman detail klaster, dalam tabel klaster, pilih ID klaster.

  4. Untuk mendapatkan alamat IP, pada tab HSM, pilih salah satu alamat IP yang tercantum di bawah alamat IP ENI.

Untuk mendapatkan alamat IP untuk HSM (AWS CLI)

  • Dapatkan alamat IP dari HSM dengan menggunakan perintah describe-clusters dari AWS CLI. Dalam output dari perintah, alamat IP dari HSM adalah nilai-nilai dari EniIp. 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

Untuk informasi selengkapnya tentang bootstrapping, lihat Alat Konfigurasi.

PKCS #11 library
Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda. 

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda. 

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
catatan

Anda dapat menggunakan –-cluster-id parameter sebagai pengganti-a <HSM_IP_ADDRESSES>. Untuk melihat persyaratan penggunaan–-cluster-id, lihatAlat konfigurasi SDK 5 klien.

Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 3

  • Gunakan configure untuk menentukan alamat IP dari HSM di klaster Anda. 

    sudo /opt/cloudhsm/bin/configure -a <IP address>
Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 3

  • Gunakan configure untuk menentukan alamat IP dari HSM di klaster Anda. 

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

Untuk informasi lebih lanjut tentang konfigurasi, lihat Alat konfigurasi.