Alat konfigurasi SDK 5 klien

Gunakan alat konfigurasi Klien SDK 5 untuk memperbarui file konfigurasi sisi klien.

Setiap komponen dalam Klien SDK 5 termasuk mengatur konfigurasi alat dengan designator komponen dalam nama file alat konfigurasi. Sebagai contoh, pustaka PKCS #11 untuk Klien SDK 5 termasuk alat konfigurasi bernama configure-pkcs11 pada Linux atau configure-pkcs11.exe pada Windows.

Sintaksis

PKCS #11

configure-pkcs11[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-pkcs11.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-pkcs11.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
             [--enable-validate-key-at-init]
                  This is the default for PKCS #11

OpenSSL

configure-dyn[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <error>
             [--log-type <file | term>]
                  Default is <term>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for OpenSSL
             [--enable-validate-key-at-init]

JCE

configure-jce[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-jce.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-jce.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for JCE
             [--enable-validate-key-at-init]

CloudHSM CLI

configure-cli[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default for Linux is </opt/cloudhsm/run/cloudhsm-cli.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-cli.log>
             [--log-type <file | term>]
                  Default setting is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for CloudHSM CLI
             [--enable-validate-key-at-init]

Konfigurasi lanjutan

Untuk daftar konfigurasi lanjutan khusus untuk alat konfigurasi SDK 5 Klien, lihat Konfigurasi lanjutan untuk alat konfigurasi SDK 5 Klien.

penting

Setelah membuat perubahan pada konfigurasi Anda, Anda perlu me-restart aplikasi Anda agar perubahan diterapkan.

Contoh

Contoh ini menunjukkan cara menggunakan alat konfigurasi untuk Klien SDK 5.

Bootstrap Klien SDK 5

Contoh ini menggunakan parameter -a untuk memperbarui data HSM untuk klien SDK 5. Untuk menggunakan parameter -a, Anda harus memiliki alamat IP untuk salah satu HSM di klaster Anda.

PKCS #11 library

Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
              

Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
              

OpenSSL Dynamic Engine

Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
              

JCE provider

Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda.

  
  $ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
              

Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
              

CloudHSM CLI

Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda.

  
  $ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
              

Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
              

catatan

Anda dapat menggunakan –-cluster-id parameter sebagai pengganti-a <HSM_IP_ADDRESSES>. Untuk melihat persyaratan penggunaan–-cluster-id, lihatAlat konfigurasi SDK 5 klien.

Untuk informasi tentang parameter -a, lihat Parameter.

Tentukan klaster, wilayah, dan titik akhir untuk SDK Klien 5

Contoh ini menggunakan parameter cluster-id untuk bootstrap klien SDK 5 dengan membuat panggilan DescribeClusters.

PKCS #11 library

Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5 dengan cluster-id

• Gunakan ID klaster cluster-1234567 untuk menentukan alamat IP dari HSM di klaster Anda.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567
              

Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5 dengan cluster-id

• Gunakan ID klaster cluster-1234567 untuk menentukan alamat IP dari HSM di klaster Anda.

  
  "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --cluster-id cluster-1234567
              

OpenSSL Dynamic Engine

Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5 dengan cluster-id

• Gunakan ID klaster cluster-1234567 untuk menentukan alamat IP dari HSM di klaster Anda.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567
              

JCE provider

Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5 dengan cluster-id

• Gunakan ID klaster cluster-1234567 untuk menentukan alamat IP dari HSM di klaster Anda.

  
  $ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567
              

Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5 dengan cluster-id

• Gunakan ID klaster cluster-1234567 untuk menentukan alamat IP dari HSM di klaster Anda.

  
  "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567
              

CloudHSM CLI

Untuk melakukan bootstrap instans EC2 Linux untuk Klien SDK 5 dengan cluster-id

• Gunakan ID klaster cluster-1234567 untuk menentukan alamat IP dari HSM di klaster Anda.

  
  $ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567
              

Untuk melakukan bootstrap instans EC2 Windows untuk Klien SDK 5 dengan cluster-id

• Gunakan ID klaster cluster-1234567 untuk menentukan alamat IP dari HSM di klaster Anda.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id cluster-1234567
              

Anda dapat menggunakan parameter --region dan --endpoint dalam kombinasi dengan parameter cluster-id untuk menentukan bagaimana sistem membuat panggilan DescribeClusters . Misalnya, jika wilayah klaster berbeda dari yang dikonfigurasi sebagai default AWS CLI Anda, Anda harus menggunakan parameter --region untuk menggunakan wilayah tersebut. Selain itu, Anda memiliki kemampuan untuk menentukan titik akhir API AWS CloudHSM yang digunakan untuk panggilan, yang mungkin diperlukan untuk berbagai pengaturan jaringan, seperti menggunakan titik akhir antarmuka VPC yang tidak menggunakan nama host DNS default untuk AWS CloudHSM.

PKCS #11 library

Untuk bootstrap instans EC2 Linux dengan titik akhir kustom dan wilayah

• Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda dengan wilayah kustom dan titik akhir.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

Untuk bootstrap instans EC2 Windows dengan titik akhir dan wilayah

• Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda dengan wilayah kustom dan titik akhir.

  
  C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

OpenSSL Dynamic Engine

Untuk bootstrap instans EC2 Linux dengan titik akhir kustom dan wilayah

• Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda dengan wilayah kustom dan titik akhir.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

JCE provider

Untuk bootstrap instans EC2 Linux dengan titik akhir kustom dan wilayah

• Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda dengan wilayah kustom dan titik akhir.

  
  $ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

Untuk bootstrap instans EC2 Windows dengan titik akhir dan wilayah

• Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda dengan wilayah kustom dan titik akhir.

  
  "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

CloudHSM CLI

Untuk bootstrap instans EC2 Linux dengan titik akhir kustom dan wilayah

• Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda dengan wilayah kustom dan titik akhir.

  
  $ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

Untuk bootstrap instans EC2 Windows dengan titik akhir dan wilayah

• Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM di klaster Anda dengan wilayah kustom dan titik akhir.

  
  "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

Untuk informasi tentang parameter --cluster-id, --region dan --endpoint, lihat Parameter.

Perbarui sertifikat klien dan kunci untuk otentikasi timbal balik client-server TLS

Contoh ini menunjukkan cara menggunakan parameter server-client-cert-file dan --server-client-key-file untuk mengatur ulang konfigurasi SSL dengan menentukan kunci kustom dan sertifikat SSL untuk AWS CloudHSM

PKCS #11 library

Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual server-klien TLS dengan Klien SDK 5 di Linux

1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

   $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual klien-server TLS dengan Klien SDK 5 pada Windows

1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

   cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
   cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

2. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan ssl-client.crt danssl-client.key.

   & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
               --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
               --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

OpenSSL Dynamic Engine

Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual server-klien TLS dengan Klien SDK 5 di Linux

1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

   $ sudo /opt/cloudhsm/bin/configure-dyn \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

JCE provider

Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual server-klien TLS dengan Klien SDK 5 di Linux

1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

   $ sudo /opt/cloudhsm/bin/configure-jce \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual klien-server TLS dengan Klien SDK 5 pada Windows

1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

   cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
   cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

2. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan ssl-client.crt danssl-client.key.

   & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
               --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
               --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

CloudHSM CLI

Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual server-klien TLS dengan Klien SDK 5 di Linux

1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

   $ sudo /opt/cloudhsm/bin/configure-cli \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual klien-server TLS dengan Klien SDK 5 pada Windows

1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

   cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
   cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

2. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan ssl-client.crt danssl-client.key.

   & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
               --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
               --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Untuk informasi tentang parameter server-client-cert-file dan --server-client-key-file, lihat Parameter.

Nonaktifkan pengaturan daya tahan kunci klien

Contoh ini menggunakan parameter --disable-key-availability-check untuk menonaktifkan pengaturan daya tahan kunci klien. Untuk menjalankan sebuah klaster dengan satu HSM, Anda harus menonaktifkan pengaturan daya tahan kunci klien.

PKCS #11 library

Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Linux

• Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
              

Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Windows

• Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
              

OpenSSL Dynamic Engine

Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Linux

• Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
              

JCE provider

Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Linux

• Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

  
  $ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
              

Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Windows

• Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
              

CloudHSM CLI

Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Linux

• Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

  
  $ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
              

Untuk menonaktifkan daya tahan kunci klien untuk Klien SDK 5 di Windows

• Gunakan alat konfigurasi untuk menonaktifkan pengaturan daya tahan kunci klien.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
              

Untuk informasi tentang parameter --disable-key-availability-check, lihat Parameter.

Mengelola opsi logging

Client SDK 5 menggunakan log-type parameter log-filelog-level,log-rotation, dan untuk mengelola logging.

catatan

Untuk mengonfigurasi SDK Anda untuk lingkungan tanpa server seperti AWS Fargate atau AWS Lambda, kami sarankan Anda mengonfigurasi jenis log Anda. AWS CloudHSM term Log klien akan dikeluarkan stderr dan ditangkap dalam grup CloudWatch log Log yang dikonfigurasi untuk lingkungan itu.

PKCS #11 library

Lokasi pencatatan default

• Jika Anda tidak menentukan lokasi untuk file, sistem menulis log ke lokasi default berikut:

  Linux

  /opt/cloudhsm/run/cloudhsm-pkcs11.log

  Windows

  C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log

Untuk mengonfigurasi level logging dan membiarkan opsi logging lainnya disetel ke default

• $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info

Untuk mengonfigurasi opsi pencatatan file

• $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file <file name with path> --log-rotation daily --log-level info

Untuk mengonfigurasi opsi pencatatan terminal

• $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info

OpenSSL Dynamic Engine

Lokasi pencatatan default

• Jika Anda tidak menentukan lokasi untuk file, sistem menulis log ke lokasi default berikut:

  Linux

  stderr

Untuk mengonfigurasi level logging dan membiarkan opsi logging lainnya disetel ke default

• $ sudo /opt/cloudhsm/bin/configure-dyn --log-level info

Untuk mengonfigurasi opsi pencatatan file

• $ sudo /opt/cloudhsm/bin/configure-dyn --log-type <file name> --log-file file --log-rotation daily --log-level info

Untuk mengonfigurasi opsi pencatatan terminal

• $ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info

JCE provider

Lokasi pencatatan default

• Jika Anda tidak menentukan lokasi untuk file, sistem menulis log ke lokasi default berikut:

  Linux

  /opt/cloudhsm/run/cloudhsm-jce.log

  Windows

  C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log

Untuk mengonfigurasi level logging dan membiarkan opsi logging lainnya disetel ke default

• $ sudo /opt/cloudhsm/bin/configure-jce --log-level info

Untuk mengonfigurasi opsi pencatatan file

• $ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file <file name> --log-rotation daily --log-level info

Untuk mengonfigurasi opsi pencatatan terminal

• $ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info

CloudHSM CLI

Lokasi pencatatan default

• Jika Anda tidak menentukan lokasi untuk file, sistem menulis log ke lokasi default berikut:

  Linux

  /opt/cloudhsm/run/cloudhsm-cli.log

  Windows

  C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log

Untuk mengonfigurasi level logging dan membiarkan opsi logging lainnya disetel ke default

• $ sudo /opt/cloudhsm/bin/configure-cli --log-level info

Untuk mengonfigurasi opsi pencatatan file

• $ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file <file name> --log-rotation daily --log-level info

Untuk mengonfigurasi opsi pencatatan terminal

• $ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info

Untuk informasi lebih lanjut tentanglog-file,log-level,log-rotation, dan log-type parameter, lihatParameter.

Tempatkan sertifikat penerbitan untuk Client SDK 5

Contoh ini menggunakan parameter --hsm-ca-cert untuk memperbarui lokasi penerbitan sertifikat untuk Klien SDK 5.

PKCS #11 library

Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
              

Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

  
  "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
              

OpenSSL Dynamic Engine

Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
              

JCE provider

Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

  
  $ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
              

Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

  
  "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
              

CloudHSM CLI

Tempat penerbitan sertifikat pada Linux untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

  
  $ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
              

Tempat penerbitan sertifikat pada Windows untuk Klien SDK 5

• Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat.

  
  "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>
              

Untuk informasi tentang parameter --hsm-ca-cert, lihat Parameter.

Parameter

- sebuah <alamat IP ENI>

Menambahkan alamat IP yang ditentukan ke file konfigurasi Klien SDK 5. Masukkan alamat IP ENI HSM dari klaster. Untuk informasi lebih lanjut tentang cara menggunakan opsi ini, lihat Bootstrap Klien SDK 5.

Wajib: Ya

-- hsm-ca-cert <customerCA certificate file path>

Jalur ke direktori yang menyimpan sertifikat otoritas (CA) yang digunakan sertifikat untuk menghubungkan instans klien EC2 ke klaster. Anda membuat file ini ketika Anda menginisialisasi klaster. Secara default, sistem mencari file ini di lokasi berikut:

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Untuk informasi lebih lanjut tentang menginisialisasi klaster atau menempatkan sertifikat, lihat Tempatkan sertifikat penerbitan pada setiap instans EC2 dan Inisialisasi.

Wajib: Tidak

--kluster-id <cluster ID>

Membuat panggilan DescribeClusters untuk menemukan semua alamat IP antarmuka jaringan elastis (ENI) HSM dalam klaster yang terkait dengan ID klaster. Sistem ini menambahkan alamat IP ENI ke file konfigurasi AWS CloudHSM.

catatan

Jika Anda menggunakan parameter --cluster-id dari instans EC2 dalam VPC yang tidak memiliki akses ke internet publik, maka Anda harus membuat VPC endpoint antarmuka untuk terhubung dengan AWS CloudHSM. Untuk informasi lebih lanjut tentang VPC endpoint, lihat AWS CloudHSM dan VPC endpoint.

Wajib: Tidak

--titik akhir <endpoint>

Menentukan titik akhir API AWS CloudHSM yang digunakan untuk membuat panggilan DescribeClusters. Anda harus menetapkan pilihan ini dalam kombinasi dengan --cluster-id.

Wajib: Tidak

--wilayah <region>

Tentukan wilayah klaster Anda. Anda harus menetapkan pilihan ini dalam kombinasi dengan --cluster-id.

Jika Anda tidak menyediakan parameter --region, sistem memilih wilayah dengan mencoba untuk membaca variabel lingkungan AWS_DEFAULT_REGION atau AWS_REGION. Jika variabel-variabel tersebut tidak diatur, maka sistem memeriksa wilayah yang terkait dengan profil Anda di file AWS config Anda (biasanya ~/.aws/config) kecuali jika Anda menentukan file yang berbeda di variabel lingkungan AWS_CONFIG_FILE. Jika tidak ada variabel di atas yang diatur, sistem default ke wilayah us-east-1.

Wajib: Tidak

-- server-client-cert-file <client certificate file path>

Jalur ke sertifikat klien yang digunakan untuk autentikasi mutual klien-server TLS.

Hanya gunakan opsi ini jika Anda tidak ingin menggunakan kunci default dan sertifikat SSL/TLS yang kami sertakan dengan Klien SDK 5. Anda harus menetapkan pilihan ini dalam kombinasi dengan --server-client-key-file.

Wajib: Tidak

-- server-client-key-file <client key file path>

Jalur ke kunci klien yang digunakan untuk autentikasi mutual klien-server TLS.

Hanya gunakan opsi ini jika Anda tidak ingin menggunakan kunci default dan sertifikat SSL/TLS yang kami sertakan dengan Klien SDK 5. Anda harus menetapkan pilihan ini dalam kombinasi dengan --server-client-cert-file.

Wajib: Tidak

--log-level <error | warn | info | debug | trace>

Menentukan tingkat pencatatan minimum yang harus ditulis sistem ke berkas log. Setiap tingkat termasuk tingkat sebelumnya, dengan kesalahan sebagai tingkat minimum dan melacak tingkat maksimum. Ini berarti bahwa jika Anda menentukan kesalahan, sistem hanya menulis kesalahan ke log. Jika Anda menentukan jejak, sistem menulis kesalahan, peringatan, informasi (info), dan pesan debug ke log. Untuk informasi lebih lanjut, lihat Pencatatan Klien SDK 5.

Wajib: Tidak

--log-rotasi <daily | weekly>

Menentukan frekuensi sistem memutar log. Untuk informasi lebih lanjut, lihat Pencatatan Klien SDK 5.

Wajib: Tidak

--log-file <file name with path>

Menentukan tempat sistem akan menulis berkas log. Untuk informasi lebih lanjut, lihat Pencatatan Klien SDK 5.

Wajib: Tidak

--log-jenis <term | file>

Menentukan apakah sistem akan menulis log ke file atau terminal. Untuk informasi lebih lanjut, lihat Pencatatan Klien SDK 5.

Wajib: Tidak

-h | --help

Menampilkan bantuan.

Wajib: Tidak

-v | --version

Menampilkan versi.

Wajib: Tidak

--disable-key-availability-check

Tandai untuk menonaktifkan kuorum ketersediaan kunci. Gunakan bendera ini untuk menunjukkan AWS CloudHSM harus menonaktifkan kuorum ketersediaan kunci dan Anda dapat menggunakan kunci yang ada pada hanya satu HSM di klaster. Untuk informasi lebih lanjut tentang penggunaan bendera ini untuk mengatur kuorum ketersediaan kunci, lihat Mengelola pengaturan daya tahan kunci klien.

Wajib: Tidak

--enable-key-availability-check

Tandai untuk mengaktifkan kuorum ketersediaan kunci. Gunakan bendera ini untuk menunjukkan AWS CloudHSM harus menggunakan kuorum ketersediaan kunci dan tidak mengizinkan Anda untuk menggunakan kunci sampai kunci tersebut ada pada dua HSM di klaster. Untuk informasi lebih lanjut tentang penggunaan bendera ini untuk mengatur kuorum ketersediaan kunci, lihat Mengelola pengaturan daya tahan kunci klien.

Diaktifkan secara default.

Wajib: Tidak

-- disable-validate-key-at -init

Meningkatkan performa dengan menentukan bahwa Anda dapat melewatkan panggilan inisialisasi untuk memverifikasi izin pada kunci untuk panggilan berikutnya. Berhati-hatilah saat menggunakannya.

Latar belakang: Beberapa mekanisme di pustaka PKCS #11 mendukung operasi multi-bagian di mana panggilan inisialisasi memverifikasi apakah Anda dapat menggunakan kunci untuk panggilan berikutnya. Hal ini memerlukan panggilan verifikasi ke HSM, yang menambahkan latensi untuk keseluruhan operasi. Opsi ini memungkinkan Anda untuk menonaktifkan panggilan berikutnya dan berpotensi meningkatkan performa.

Wajib: Tidak

-- enable-validate-key-at -init

Menentukan bahwa Anda harus menggunakan panggilan inisialisasi untuk memverifikasi izin pada kunci untuk panggilan berikutnya. Ini adalah pilihan default. Gunakan enable-validate-key-at-init untuk melanjutkan panggilan inisialisasi ini setelah Anda menggunakan disable-validate-key-at-init untuk menangguhkan mereka.

Wajib: Tidak

Topik terkait

• Operasi API DescribeClusters

• describe-clusters AWS CLI

• Dapatkan-HSM2Cluster cmdlet PowerShell

• Bootstrap Klien SDK 5

• AWS CloudHSMTitik akhir VPC

• Mengelola Pengaturan Daya Tahan Kunci SDK 5 Klien

• Klien SDK 5 Pencatatan