Alat konfigurasi SDK 5 klien - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Alat konfigurasi SDK 5 klien

Gunakan alat konfigurasi Klien SDK 5 untuk memperbarui file konfigurasi sisi klien.

Setiap komponen dalam Klien SDK 5 termasuk mengatur konfigurasi alat dengan designator komponen dalam nama file alat konfigurasi. Sebagai contoh, pustaka PKCS #11 untuk Klien SDK 5 termasuk alat konfigurasi bernama configure-pkcs11 pada Linux atau configure-pkcs11.exe pada Windows.

Sintaks

PKCS #11
configure-pkcs11[ .exe ] -a <ENI IP address> [--hsm-ca-cert <customerCA certificate file path>] [--cluster-id <cluster ID>] [--endpoint <endpoint>] [--region <region>] [--server-client-cert-file <client certificate file path>] [--server-client-key-file <client key file path>] [--log-level <error | warn | info | debug | trace>] Default is <info> [--log-rotation <daily | weekly>] Default is <daily> [--log-file <file name with path>] Default is </opt/cloudhsm/run/cloudhsm-pkcs11.log> Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-pkcs11.log> [--log-type <file | term>] Default is <file> [-h | --help] [-V | --version] [--disable-key-availability-check] [--enable-key-availability-check] [--disable-validate-key-at-init] [--enable-validate-key-at-init] This is the default for PKCS #11
OpenSSL
configure-dyn[ .exe ] -a <ENI IP address> [--hsm-ca-cert <customerCA certificate file path>] [--cluster-id <cluster ID>] [--endpoint <endpoint>] [--region <region>] [--server-client-cert-file <client certificate file path>] [--server-client-key-file <client key file path>] [--log-level <error | warn | info | debug | trace>] Default is <error> [--log-type <file | term>] Default is <term> [-h | --help] [-V | --version] [--disable-key-availability-check] [--enable-key-availability-check] [--disable-validate-key-at-init] This is the default for OpenSSL [--enable-validate-key-at-init]
JCE
configure-jce[ .exe ] -a <ENI IP address> [--hsm-ca-cert <customerCA certificate file path>] [--cluster-id <cluster ID>] [--endpoint <endpoint>] [--region <region>] [--server-client-cert-file <client certificate file path>] [--server-client-key-file <client key file path>] [--log-level <error | warn | info | debug | trace>] Default is <info> [--log-rotation <daily | weekly>] Default is <daily> [--log-file <file name with path>] Default is </opt/cloudhsm/run/cloudhsm-jce.log> Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-jce.log> [--log-type <file | term>] Default is <file> [-h | --help] [-V | --version] [--disable-key-availability-check] [--enable-key-availability-check] [--disable-validate-key-at-init] This is the default for JCE [--enable-validate-key-at-init]
CloudHSM CLI
configure-cli[ .exe ] -a <ENI IP address> [--hsm-ca-cert <customerCA certificate file path>] [--cluster-id <cluster ID>] [--endpoint <endpoint>] [--region <region>] [--server-client-cert-file <client certificate file path>] [--server-client-key-file <client key file path>] [--log-level <error | warn | info | debug | trace>] Default is <info> [--log-rotation <daily | weekly>] Default is <daily> [--log-file <file name with path>] Default for Linux is </opt/cloudhsm/run/cloudhsm-cli.log> Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-cli.log> [--log-type <file | term>] Default setting is <file> [-h | --help] [-V | --version] [--disable-key-availability-check] [--enable-key-availability-check] [--disable-validate-key-at-init] This is the default for CloudHSM CLI [--enable-validate-key-at-init]

Konfigurasi lanjutan

Untuk daftar konfigurasi lanjutan khusus untuk alat konfigurasi SDK 5 Klien, lihat Konfigurasi lanjutan untuk alat konfigurasi SDK 5 Klien.

penting

Setelah membuat perubahan pada konfigurasi Anda, Anda perlu me-restart aplikasi Anda agar perubahan diterapkan.

Contoh-contoh

Contoh ini menunjukkan cara menggunakan alat konfigurasi untuk Klien SDK 5.

Contoh ini menggunakan parameter -a untuk memperbarui data HSM untuk klien SDK 5. Untuk menggunakan parameter -a, Anda harus memiliki alamat IP untuk salah satu HSM di klaster Anda.

PKCS #11 library
Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda.

    "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda.

    $ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda.

    $ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda.

    "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM (s) di cluster Anda.

    $ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM (s) di cluster Anda.

    "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
catatan

Anda dapat menggunakan –-cluster-id parameter sebagai pengganti-a <HSM_IP_ADDRESSES>. Untuk melihat persyaratan penggunaan–-cluster-id, lihatAlat konfigurasi SDK 5 klien.

Untuk informasi tentang parameter -a, lihat Parameter-parameter.

Contoh ini menggunakan parameter cluster-id untuk bootstrap klien SDK 5 dengan membuat panggilan DescribeClusters.

PKCS #11 library
Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5 dengan cluster-id
  • Gunakan ID cluster cluster-1234567 untuk menentukan alamat IP HSM di cluster Anda.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567
Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5 dengan cluster-id
  • Gunakan ID cluster cluster-1234567 untuk menentukan alamat IP HSM di cluster Anda.

    "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --cluster-id cluster-1234567
OpenSSL Dynamic Engine
Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5 dengan cluster-id
  • Gunakan ID cluster cluster-1234567 untuk menentukan alamat IP HSM di cluster Anda.

    $ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567
JCE provider
Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5 dengan cluster-id
  • Gunakan ID cluster cluster-1234567 untuk menentukan alamat IP HSM di cluster Anda.

    $ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567
Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5 dengan cluster-id
  • Gunakan ID cluster cluster-1234567 untuk menentukan alamat IP HSM di cluster Anda.

    "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567
CloudHSM CLI
Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5 dengan cluster-id
  • Gunakan ID cluster cluster-1234567 untuk menentukan alamat IP HSM di cluster Anda.

    $ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567
Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5 dengan cluster-id
  • Gunakan ID cluster cluster-1234567 untuk menentukan alamat IP HSM di cluster Anda.

    "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id cluster-1234567

Anda dapat menggunakan parameter --region dan --endpoint dalam kombinasi dengan parameter cluster-id untuk menentukan bagaimana sistem membuat panggilan DescribeClusters . Misalnya, jika wilayah klaster berbeda dari yang dikonfigurasi sebagai default AWS CLI Anda, Anda harus menggunakan parameter --region untuk menggunakan wilayah tersebut. Selain itu, Anda memiliki kemampuan untuk menentukan titik akhir AWS CloudHSM API yang akan digunakan untuk panggilan, yang mungkin diperlukan untuk berbagai pengaturan jaringan, seperti menggunakan titik akhir antarmuka VPC yang tidak menggunakan nama host DNS default untuk. AWS CloudHSM

PKCS #11 library
Untuk bootstrap instans EC2 Linux dengan titik akhir kustom dan wilayah
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda dengan wilayah kustom dan titik akhir.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Untuk bootstrap instans EC2 Windows dengan titik akhir dan wilayah
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda dengan wilayah kustom dan titik akhir.

    C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
OpenSSL Dynamic Engine
Untuk bootstrap instans EC2 Linux dengan titik akhir kustom dan wilayah
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda dengan wilayah kustom dan titik akhir.

    $ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
JCE provider
Untuk bootstrap instans EC2 Linux dengan titik akhir kustom dan wilayah
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda dengan wilayah kustom dan titik akhir.

    $ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Untuk bootstrap instans EC2 Windows dengan titik akhir dan wilayah
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda dengan wilayah kustom dan titik akhir.

    "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
CloudHSM CLI
Untuk bootstrap instans EC2 Linux dengan titik akhir kustom dan wilayah
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda dengan wilayah kustom dan titik akhir.

    $ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Untuk bootstrap instans EC2 Windows dengan titik akhir dan wilayah
  • Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda dengan wilayah kustom dan titik akhir.

    "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

Untuk informasi tentang parameter --cluster-id, --region dan --endpoint, lihat Parameter-parameter.

Contoh ini menunjukkan cara menggunakan server-client-cert-file dan --server-client-key-file parameter untuk mengkonfigurasi ulang SSL dengan menentukan kunci kustom dan sertifikat SSL untuk AWS CloudHSM

PKCS #11 library
Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual server-klien TLS dengan Klien SDK 5 di Linux
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual klien-server TLS dengan Klien SDK 5 pada Windows
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan ssl-client.crt danssl-client.key.

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" ` --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt ` --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual server-klien TLS dengan Klien SDK 5 di Linux
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-dyn \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
JCE provider
Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual server-klien TLS dengan Klien SDK 5 di Linux
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-jce \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual klien-server TLS dengan Klien SDK 5 pada Windows
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan ssl-client.crt danssl-client.key.

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" ` --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt ` --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual server-klien TLS dengan Klien SDK 5 di Linux
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-cli \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual klien-server TLS dengan Klien SDK 5 pada Windows
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan ssl-client.crt danssl-client.key.

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" ` --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt ` --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Untuk informasi tentang parameter server-client-cert-file dan --server-client-key-file, lihat Parameter-parameter.

Contoh ini menggunakan parameter --disable-key-availability-check untuk menonaktifkan pengaturan daya tahan kunci klien. Untuk menjalankan sebuah klaster dengan satu HSM, Anda harus menonaktifkan pengaturan daya tahan kunci klien.

PKCS #11 library
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Linux
  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Windows
  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

    "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Linux
  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

    $ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
JCE provider
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Linux
  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

    $ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Windows
  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

    "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Linux
  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

    $ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Windows
  • Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

    "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

Untuk informasi tentang parameter --disable-key-availability-check, lihat Parameter-parameter.

Client SDK 5 menggunakan log-type parameter log-filelog-level,log-rotation, dan untuk mengelola logging.

catatan

Untuk mengonfigurasi SDK Anda untuk lingkungan tanpa server seperti AWS Fargate atau AWS Lambda, kami sarankan Anda mengonfigurasi jenis log Anda. AWS CloudHSM term Log klien akan dikeluarkan stderr dan ditangkap dalam grup CloudWatch log Log yang dikonfigurasi untuk lingkungan itu.

PKCS #11 library
Lokasi pencatatan default
  • Jika Anda tidak menentukan lokasi untuk file tersebut, sistem akan menulis log ke lokasi default berikut:

    Linux

    /opt/cloudhsm/run/cloudhsm-pkcs11.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
Untuk mengonfigurasi level logging dan membiarkan opsi logging lainnya disetel ke default
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
Untuk mengonfigurasi opsi pencatatan file
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file <file name with path> --log-rotation daily --log-level info
Untuk mengonfigurasi opsi pencatatan terminal
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
OpenSSL Dynamic Engine
Lokasi pencatatan default
  • Jika Anda tidak menentukan lokasi untuk file tersebut, sistem akan menulis log ke lokasi default berikut:

    Linux

    stderr
Untuk mengonfigurasi level logging dan membiarkan opsi logging lainnya disetel ke default
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-level info
Untuk mengonfigurasi opsi pencatatan file
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type <file name> --log-file file --log-rotation daily --log-level info
Untuk mengonfigurasi opsi pencatatan terminal
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
JCE provider
Lokasi pencatatan default
  • Jika Anda tidak menentukan lokasi untuk file tersebut, sistem akan menulis log ke lokasi default berikut:

    Linux

    /opt/cloudhsm/run/cloudhsm-jce.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
Untuk mengonfigurasi level logging dan membiarkan opsi logging lainnya disetel ke default
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-level info
Untuk mengonfigurasi opsi pencatatan file
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file <file name> --log-rotation daily --log-level info
Untuk mengonfigurasi opsi pencatatan terminal
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
CloudHSM CLI
Lokasi pencatatan default
  • Jika Anda tidak menentukan lokasi untuk file tersebut, sistem akan menulis log ke lokasi default berikut:

    Linux

    /opt/cloudhsm/run/cloudhsm-cli.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
Untuk mengonfigurasi level logging dan membiarkan opsi logging lainnya disetel ke default
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-level info
Untuk mengonfigurasi opsi pencatatan file
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file <file name> --log-rotation daily --log-level info
Untuk mengonfigurasi opsi pencatatan terminal
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info

Untuk informasi lebih lanjut tentanglog-file,log-level,log-rotation, dan log-type parameter, lihatParameter-parameter.

Contoh ini menggunakan parameter --hsm-ca-cert untuk memperbarui lokasi penerbitan sertifikat untuk Klien SDK 5.

PKCS #11 library
Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

    "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

    $ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

    $ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

    "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

    $ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5
  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

    "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Untuk informasi tentang parameter --hsm-ca-cert, lihat Parameter-parameter.

Parameter-parameter

- sebuah <alamat IP ENI>

Menambahkan alamat IP yang ditentukan ke file konfigurasi Klien SDK 5. Masukkan alamat IP ENI dari HSM dari cluster. Untuk informasi lebih lanjut tentang cara menggunakan opsi ini, lihat Bootstrap Klien SDK 5.

Diperlukan: Ya

-- hsm-ca-cert <customerCA certificate file path>

Jalur ke direktori yang menyimpan sertifikat otoritas (CA) yang digunakan sertifikat untuk menghubungkan instans klien EC2 ke klaster. Anda membuat file ini ketika Anda menginisialisasi klaster. Secara default, sistem mencari file ini di lokasi berikut:

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Untuk informasi lebih lanjut tentang menginisialisasi klaster atau menempatkan sertifikat, lihat Tempatkan sertifikat penerbitan pada setiap instans EC2 dan Inisialisasi cluster.

Wajib: Tidak

--kluster-id <cluster ID>

Membuat panggilan DescribeClusters untuk menemukan semua alamat IP antarmuka jaringan elastis (ENI) HSM dalam klaster yang terkait dengan ID klaster. Sistem menambahkan alamat IP ENI ke file AWS CloudHSM konfigurasi.

catatan

Jika Anda menggunakan --cluster-id parameter dari instans EC2 dalam VPC yang tidak memiliki akses ke internet publik, maka Anda harus membuat antarmuka VPC endpoint untuk terhubung dengan. AWS CloudHSM Untuk informasi lebih lanjut tentang VPC endpoint, lihat AWS CloudHSM dan titik akhir VPC.

Wajib: Tidak

--titik akhir <endpoint>

Tentukan titik akhir AWS CloudHSM API yang digunakan untuk melakukan DescribeClusters panggilan. Anda harus menetapkan pilihan ini dalam kombinasi dengan --cluster-id.

Wajib: Tidak

--wilayah <region>

Tentukan wilayah klaster Anda. Anda harus menetapkan pilihan ini dalam kombinasi dengan --cluster-id.

Jika Anda tidak menyediakan parameter --region, sistem memilih wilayah dengan mencoba untuk membaca variabel lingkungan AWS_DEFAULT_REGION atau AWS_REGION. Jika variabel-variabel tersebut tidak diatur, maka sistem memeriksa wilayah yang terkait dengan profil Anda di file AWS config Anda (biasanya ~/.aws/config) kecuali jika Anda menentukan file yang berbeda di variabel lingkungan AWS_CONFIG_FILE. Jika tidak ada variabel di atas yang diatur, sistem default ke wilayah us-east-1.

Diperlukan: Tidak

-- server-client-cert-file <client certificate file path>

Jalur ke sertifikat klien yang digunakan untuk autentikasi mutual klien-server TLS.

Hanya gunakan opsi ini jika Anda tidak ingin menggunakan kunci default dan sertifikat SSL/TLS yang kami sertakan dengan Klien SDK 5. Anda harus menetapkan pilihan ini dalam kombinasi dengan --server-client-key-file.

Diperlukan: Tidak

-- server-client-key-file <client key file path>

Jalur ke kunci klien yang digunakan untuk otentikasi timbal balik client-server TLS.

Hanya gunakan opsi ini jika Anda tidak ingin menggunakan kunci default dan sertifikat SSL/TLS yang kami sertakan dengan Klien SDK 5. Anda harus menetapkan pilihan ini dalam kombinasi dengan --server-client-cert-file.

Wajib: Tidak

--log-level <error | warn | info | debug | trace>

Menentukan tingkat pencatatan minimum yang harus ditulis sistem ke berkas log. Setiap tingkat termasuk tingkat sebelumnya, dengan kesalahan sebagai tingkat minimum dan melacak tingkat maksimum. Ini berarti bahwa jika Anda menentukan kesalahan, sistem hanya menulis kesalahan ke log. Jika Anda menentukan jejak, sistem menulis kesalahan, peringatan, informasi (info), dan pesan debug ke log. Untuk informasi lebih lanjut, lihat Pencatatan Klien SDK 5.

Diperlukan: Tidak

--log-rotasi <daily | weekly>

Menentukan frekuensi sistem memutar log. Untuk informasi lebih lanjut, lihat Pencatatan Klien SDK 5.

Diperlukan: Tidak

--log-file <file name with path>

Menentukan tempat sistem akan menulis berkas log. Untuk informasi lebih lanjut, lihat Pencatatan Klien SDK 5.

Diperlukan: Tidak

--log-jenis <term | file>

Menentukan apakah sistem akan menulis log ke file atau terminal. Untuk informasi lebih lanjut, lihat Pencatatan Klien SDK 5.

Wajib: Tidak

-h | --help

Menampilkan bantuan.

Wajib: Tidak

-v | --version

Menampilkan versi.

Diperlukan: Tidak

--disable-key-availability-check

Tandai untuk menonaktifkan kuorum ketersediaan kunci. Gunakan tanda ini untuk menunjukkan AWS CloudHSM harus menonaktifkan kuorum ketersediaan kunci dan Anda dapat menggunakan kunci yang ada hanya pada satu HSM di cluster. Untuk informasi lebih lanjut tentang penggunaan bendera ini untuk mengatur kuorum ketersediaan kunci, lihat Mengelola pengaturan daya tahan kunci klien.

Diperlukan: Tidak

--enable-key-availability-check

Tandai untuk mengaktifkan kuorum ketersediaan kunci. Gunakan tanda ini untuk menunjukkan AWS CloudHSM harus menggunakan kuorum ketersediaan kunci dan tidak mengizinkan Anda untuk menggunakan kunci sampai kunci tersebut ada pada dua HSM di cluster. Untuk informasi lebih lanjut tentang penggunaan bendera ini untuk mengatur kuorum ketersediaan kunci, lihat Mengelola pengaturan daya tahan kunci klien.

Diaktifkan secara default.

Diperlukan: Tidak

-- disable-validate-key-at -init

Meningkatkan performa dengan menentukan bahwa Anda dapat melewatkan panggilan inisialisasi untuk memverifikasi izin pada kunci untuk panggilan berikutnya. Berhati-hatilah saat menggunakannya.

Latar belakang: Beberapa mekanisme di pustaka PKCS #11 mendukung operasi multi-bagian di mana panggilan inisialisasi memverifikasi apakah Anda dapat menggunakan kunci untuk panggilan berikutnya. Hal ini memerlukan panggilan verifikasi ke HSM, yang menambahkan latensi untuk keseluruhan operasi. Opsi ini memungkinkan Anda untuk menonaktifkan panggilan berikutnya dan berpotensi meningkatkan performa.

Diperlukan: Tidak

-- enable-validate-key-at -init

Menentukan bahwa Anda harus menggunakan panggilan inisialisasi untuk memverifikasi izin pada kunci untuk panggilan berikutnya. Ini adalah pilihan default. Gunakan enable-validate-key-at-init untuk melanjutkan panggilan inisialisasi ini setelah Anda menggunakan disable-validate-key-at-init untuk menangguhkan mereka.

Wajib: Tidak

Topik terkait