Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasi ulang SSL dengan sertifikat baru dan kunci pribadi (opsional)
AWS CloudHSM menggunakan sertifikat SSL untuk membuat koneksi ke HSM. Kunci default dan sertifikat SSL disertakan ketika Anda menginstal klien. Namun, Anda dapat membuat dan menggunakan milik Anda sendiri. Perhatikan bahwa Anda memerlukan sertifikat yang ditandatangani sendiri (customerCA.crt
) yang Anda buat saat Anda mengisialisasi klaster Anda.
Pada tingkat tinggi, ini adalah proses dua langkah:
-
Pertama, Anda membuat kunci privat, kemudian gunakan kunci tersebut untuk membuat permintaan penandatanganan sertifikat (CSR). Gunakan sertifikat penerbitan, sertifikat yang Anda buat saat Anda menginisialisasi klaster, untuk menandatangani CSR.
-
Selanjutnya, Anda menggunakan alat konfigurasi untuk menyalin kunci dan sertifikat ke direktori yang sesuai.
Buat kunci, CSR, lalu tandatangani CSR
Langkah-langkah yang sama untuk SDK Klien 3 atau SDK Klien 5.
Untuk konfigurasi ulang SSL dengan sertifikat baru dan kunci privat
-
Buat kunci privat menggunakan perintah OpenSSL berikut:
openssl genrsa -out ssl-client.key 2048
Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001)
-
Gunakan perintah OpenSSL berikut untuk membuat permintaan penandatanganan sertifikat (CSR). Anda akan ditanya serangkaian pertanyaan untuk sertifikat Anda.
openssl req -new -sha256 -key ssl-client.key -out ssl-client.csr
Enter pass phrase for ssl-client.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
-
Tanda tangani CSR dengan sertifikat
customerCA.crt
yang Anda buat ketika Anda menginisialisasi klaster Anda.openssl x509 -req -days 3652 -in ssl-client.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out ssl-client.crt
Signature ok subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales Getting CA Private Key
Aktifkan SSL khusus untuk AWS CloudHSM
Langkahnya berbeda untuk SDK Klien 3 atau SDK Klien 5. Untuk informasi selengkapnya tentang bekerja dengan alat baris perintah konfigurasi, lihat Alat konfigurasi.
SSL Kustom untuk SDK Klien 3
Gunakan alat konfigurasi untuk SDK Klien 3 untuk mengaktifkan SSL kustom. Untuk informasi lebih lanjut tentang alat konfigurasi untuk SDK Klien 3, lihat Alat konfigurasi SDK 3 klien.
Untuk menggunakan sertifikat kustom dan kunci untuk autentikasi mutual server-klien TLS dengan SDK Klien 3 di Linux
-
Salin kunci dan sertifikat Anda ke direktori yang sesuai.
sudo cp ssl-client.crt
/opt/cloudhsm/etc
sudo cp ssl-client.key/opt/cloudhsm/etc
-
Gunakan alat konfigurasi untuk menentukan
ssl-client.crt
danssl-client.key
.sudo /opt/cloudhsm/bin/configure --ssl \ --pkey
/opt/cloudhsm/etc/ssl-client.key
\ --cert/opt/cloudhsm/etc/ssl-client.crt
-
Tambahkan sertifikat
customerCA.crt
ke penyimpanan kepercayaan. Membuat hash dari nama subjek sertifikat. Hal ini membuat indeks untuk memungkinkan sertifikat dicari berdasarkan nama itu.openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1 1234abcd
Buatlah sebuah direktori.
mkdir /opt/cloudhsm/etc/certs
Buat file yang berisi sertifikat dengan nama hash.
sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0
SSL Kustom untuk SDK Klien 5
Gunakan salah satu alat konfigurasi SDK Klien 5 untuk mengaktifkan SSL kustom. Untuk informasi lebih lanjut tentang alat konfigurasi untuk SDK Klien 5, lihat Alat konfigurasi SDK 5 klien.