Connect SDK klien ke cluster AWS CloudHSM - AWS CloudHSM
Tempatkan sertifikat penerbitan pada setiap instance EC2 Tentukan lokasi sertifikat penerbitanBootstrap Klien SDK

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect SDK klien ke cluster AWS CloudHSM

Untuk menyambung ke klaster baik dengan Klien SDK 5 atau Klien SDK 3, Anda harus terlebih dahulu melakukan dua hal:

  • Memiliki sertifikat penerbitan di tempat pada instance EC2

  • Bootstrap Klien SDK ke klaster

Tempatkan sertifikat penerbitan pada setiap instance EC2

Anda membuat sertifikat penerbitan ketika Anda menginisialisasi klaster. Salin sertifikat penerbitan ke lokasi default untuk platform pada setiap EC2 instance yang terhubung ke cluster.

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Tentukan lokasi sertifikat penerbitan

Dengan Client SDK 5, Anda menggunakan alat konfigurasi untuk menentukan lokasi sertifikat penerbitan.

PKCS #11 library
Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
Key Storage Provider (KSP)
Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
"C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --hsm-ca-cert <customerCA certificate file>
JCE provider
Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Untuk informasi selengkapnya, lihat Alat Konfigurasi.

Untuk informasi selengkapnya tentang menginisialisasi klaster atau membuat dan menandatangani sertifikat, lihat Menginisialisasi Cluster.

Bootstrap Klien SDK

Proses bootstrap berbeda tergantung pada versi Klien SDK yang Anda gunakan, tetapi Anda harus memiliki alamat IP dari salah satu modul keamanan perangkat keras (HSM) di klaster. Anda dapat menggunakan alamat IP dari setiap HSM yang terlampir pada klaster Anda. Setelah SDK Klien terhubung, ia mengambil alamat IP tambahan apa pun HSMs dan melakukan penyeimbangan beban dan operasi sinkronisasi kunci sisi klien.

Untuk mendapatkan alamat IP untuk HSM (konsol)

  1. Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/rumah.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Untuk membuka halaman detail klaster, dalam tabel klaster, pilih ID klaster.

  4. Untuk mendapatkan alamat IP, buka HSMs tab. Untuk IPv4 cluster, pilih alamat yang tercantum di bawah IPv4 alamat ENI. Untuk cluster dual-stack gunakan ENI IPv4 atau alamat alamat ENI IPv6 .

Untuk mendapatkan alamat IP untuk HSM ()AWS CLI

  • Dapatkan alamat IP dari HSM dengan menggunakan perintah describe-clusters dari AWS CLI. Dalam output dari perintah, alamat IP dari HSMs adalah nilai-nilai EniIp dan EniIpV6 (jika itu adalah cluster dual-stack). 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
                    "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
...

Untuk informasi selengkapnya tentang bootstrapping, lihat Alat Konfigurasi.

PKCS #11 library
Untuk mem-bootstrap EC2 instance Linux untuk Client SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Untuk mem-bootstrap EC2 instance Windows untuk Client SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Untuk mem-bootstrap EC2 instance Linux untuk Client SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
Key Storage Provider (KSP)
Untuk mem-bootstrap EC2 instance Windows untuk Client SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" -a <HSM IP addresses>
JCE provider
Untuk mem-bootstrap EC2 instance Linux untuk Client SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda. 

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Untuk mem-bootstrap EC2 instance Windows untuk Client SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Untuk mem-bootstrap EC2 instance Linux untuk Client SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM (s) di cluster Anda. 

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IPv4 / IPv6 addresses of the HSMs>
Untuk mem-bootstrap EC2 instance Windows untuk Client SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM (s) di cluster Anda. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IPv4 / IPv6 addresses of the HSMs>
catatan

Anda dapat menggunakan –-cluster-id parameter sebagai pengganti-a <HSM_IP_ADDRESSES>. Untuk melihat persyaratan penggunaan–-cluster-id, lihatAWS CloudHSM Alat konfigurasi SDK 5 klien.

Untuk mem-bootstrap EC2 instance Linux untuk Client SDK 3

  • Gunakan configure untuk menentukan alamat IP HSM di cluster Anda. 

    sudo /opt/cloudhsm/bin/configure -a <IP address>
Untuk mem-bootstrap EC2 instance Windows untuk Client SDK 3

  • Gunakan configure untuk menentukan alamat IP HSM di cluster Anda. 

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

Untuk informasi lebih lanjut tentang konfigurasi, lihat AWS CloudHSM mengkonfigurasi alat.