Inisialisasi cluster di AWS CloudHSM

Setelah Anda membuat cluster dan menambahkan modul keamanan perangkat keras (HSM) Anda AWS CloudHSM, Anda dapat menginisialisasi cluster. Selesaikan langkah-langkah dalam topik berikut untuk menginisialisasi klaster .

catatan

Sebelum Anda menginisialisasi cluster, tinjau proses di mana Anda dapat memverifikasi identitas dan keaslian klaster. HSMs Proses ini opsional dan bekerja hanya sampai klaster diinisialisasi. Setelah cluster diinisialisasi, Anda tidak dapat menggunakan proses ini untuk mendapatkan sertifikat atau memverifikasi. HSMs

Langkah 1. Dapatkan CSR cluster

Sebelum Anda dapat menginisialisasi klaster, Anda harus mengunduh dan menandatangani permintaan penandatanganan sertifikat (CSR) yang dihasilkan oleh klaster pertama HSM. Jika Anda mengikuti langkah-langkah untuk memverifikasi identitas klaster HSM Anda, Anda sudah memiliki CSR dan Anda dapat menandatanganinya. Jika tidak, dapatkan CSR sekarang dengan menggunakan AWS CloudHSM konsol, AWS Command Line Interface (AWS CLI), atau AWS CloudHSM API.

penting

Untuk menginisialisasi klaster Anda, jangkar kepercayaan Anda harus mematuhi RFC 5280 dan memenuhi persyaratan berikut:

• Jika menggunakan ekstensi X509v3, ekstensi X509v3 Basic Constraints harus ada.

• Jangkar kepercayaan harus berupa sertifikat yang ditandatangani sendiri.

• Nilai ekstensi tidak boleh bertentangan satu sama lain.

Console

Untuk mendapatkan CSR (konsol)

1. Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/rumah.

2. Pilih tombol radio di sebelah ID cluster dengan HSM yang ingin Anda verifikasi.

3. Pilih Tindakan. Dari menu tarik-turun, pilih Inisialisasi.

4. Jika Anda tidak menyelesaikan langkah sebelumnya untuk membuat HSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih Buat.

5. Saat CSR sudah siap, Anda akan melihat tautan untuk mengunduhnya.

   

6. Pilih CSR Klaster untuk mengunduh dan menyimpan CSR.

AWS CLI

Untuk mendapatkan CSR (AWS CLI)

• Pada prompt perintah, jalankan perintah describe-clusters, yang mengekstraksi CSR dan menyimpannya ke file. Ganti <cluster ID> dengan ID cluster yang Anda buat sebelumnya.

  $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                     --output text \
                                     --query 'Clusters[].Certificates.ClusterCsr' \
                                     > <cluster ID>_ClusterCsr.csr
  

AWS CloudHSM API

Untuk mendapatkan CSR (AWS CloudHSM API)

1. Kirim DescribeClusterspermintaan.

2. Ekstrak dan simpan CSR dari respons.

Langkah 2. Tanda tangani CSR

Saat ini, Anda harus membuat sertifikat penandatanganan yang ditandatangani sendiri dan menggunakannya untuk menandatangani CSR untuk klaster Anda. Anda tidak perlu AWS CLI untuk langkah ini, dan shell tidak perlu dikaitkan dengan AWS akun Anda. Untuk menandatangani CSR, Anda harus melakukan hal berikut:

1. Lengkapi bagian sebelumnya (lihatLangkah 1. Dapatkan CSR cluster).

2. Buat kunci privat.

3. Gunakan kunci privat untuk membuat sertifikat penandatanganan.

4. Tanda tangani CSR klaster Anda.

Buat kunci privat

catatan

Untuk cluster produksi, kunci yang akan Anda buat harus dibuat dengan cara yang aman menggunakan sumber keacakan tepercaya. Kami menyarankan Anda menggunakan HSM offsite dan offline yang aman atau setara. Simpan kunci dengan aman. Kunci menetapkan identitas cluster dan satu-satunya kendali Anda atas yang HSMs dikandungnya.

Untuk pengembangan dan pengujian, Anda dapat menggunakan alat apa pun yang nyaman (seperti OpenSSL) untuk membuat dan menandatangani sertifikat cluster. Contoh berikut menunjukkan kepada Anda cara membuat kunci. Setelah Anda menggunakan kunci untuk membuat sertifikat yang ditandatangani sendiri (lihat di bawah), Anda harus menyimpannya dengan cara yang aman. Untuk masuk ke AWS CloudHSM instans Anda, sertifikat harus ada, tetapi kunci pribadi tidak.

Gunakan perintah berikut untuk membuat kunci privat. Saat menginisialisasi AWS CloudHSM cluster, Anda harus menggunakan sertifikat RSA 2048 atau sertifikat RSA 4096.

$ openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerCA.key:
Verifying - Enter pass phrase for customerCA.key:

Gunakan kunci privat untuk membuat sertifikat yang ditandatangani sendiri

Perangkat keras tepercaya yang Anda gunakan untuk membuat kunci privat untuk klaster produksi Anda juga harus menyediakan perangkat lunak untuk menghasilkan sertifikat yang ditandatangani sendiri menggunakan kunci tersebut. Contoh berikut ini menggunakan OpenSSL dan kunci privat yang Anda buat di langkah sebelumnya untuk membuat sertifikat penandatanganan. Sertifikat ini berlaku selama 10 tahun (3652 hari). Baca petunjuk di layar dan ikuti prompt-nya.

$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Perintah ini membuat file sertifikat bernama customerCA.crt. Letakkan sertifikat ini di setiap host tempat Anda akan terhubung ke AWS CloudHSM cluster Anda. Jika Anda memberikan file nama yang berbeda atau menyimpannya di jalan selain root host Anda, Anda harus mengedit file konfigurasi klien Anda agar sesuai. Gunakan sertifikat dan kunci privat yang baru saja Anda buat untuk menandatangani permintaan penandatanganan sertifikat klaster (CSR) di langkah berikutnya.

Tanda tangani CSR cluster

Perangkat keras tepercaya yang Anda gunakan untuk membuat kunci privat Anda untuk klaster produksi Anda juga harus menyediakan alat untuk menandatangani CSR menggunakan kunci tersebut. Contoh berikut menggunakan OpenSSL untuk menandatangani CSR klaster. Contoh menggunakan kunci privat Anda dan sertifikat yang ditandatangani sendiri yang Anda buat di langkah sebelumnya.

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
                              -CA customerCA.crt \
                              -CAkey customerCA.key \
                              -CAcreateserial \
                              -out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for customerCA.key:

Perintah ini membuat file sertifikat bernama <cluster ID>_CustomerHsmCertificate.crt. Gunakan file ini sebagai sertifikat yang ditandatangani ketika Anda menginisialisasi klaster.

Langkah 3. Inisialisasi cluster

Gunakan sertifikat HSM yang ditandatangani dan sertifikat penandatanganan Anda untuk menginisialisasi klaster Anda. Anda dapat menggunakan AWS CloudHSM konsol, the AWS CLI, atau AWS CloudHSM API.

Console

Untuk menginisialisasi klaster (konsol)

1. Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/rumah.

2. Pilih tombol radio di sebelah ID cluster dengan HSM yang ingin Anda verifikasi.

3. Pilih Tindakan. Dari menu tarik-turun, pilih Inisialisasi.

4. Jika Anda tidak menyelesaikan langkah sebelumnya untuk membuat HSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih Buat.

5. Pada Unduh permintaan penandatanganan sertifikat, pilih Selanjutnya. Jika Selanjutnya tidak tersedia, pertama-tama pilih salah satu tautan CSR atau sertifikat. Lalu, pilih Selanjutnya.

6. Pada halaman Tanda tangani permintaan penandatanganan sertifikat (CSR), pilih Berikutnya.

7. Pada halaman Unggah sertifikat, lakukan hal berikut:

   1. Di samping Sertifikat klaster, pilih Unggah file. Kemudia, cari dan pilih sertifikat HSM yang Anda tanda tangani sebelumnya. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, pilih file bernama <cluster ID>_CustomerHsmCertificate.crt.

   2. Di samping Menerbitkan sertifikat, pilih Unggah file. Kemudian, pilih sertifikat penandatanganan Anda. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, pilih file bernama customerCA.crt.

   3. Pilih Unggah dan inisialisasi.

AWS CLI

Untuk menginisialisasi sebuah klaster (AWS CLI)

• Pada prompt perintah, jalankan perintah initialize-cluster. Berikan yang berikut ini:

  • ID klaster yang Anda buat sebelumnya.

  • Sertifikat HSM yang Anda tandatangani sebelumnya. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, file tersimpan dengan nama <cluster ID>_CustomerHsmCertificate.crt.

  • Sertifikat bertanda tangan Anda. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, sertifikat penandatanganan tersimpan dalam file dengan nama customerCA.crt.

  $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                      --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                      --trust-anchor file://customerCA.crt
  {
      "State": "INITIALIZE_IN_PROGRESS",
      "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
  }
  

AWS CloudHSM API

Untuk menginisialisasi cluster (AWS CloudHSM API)

• Kirim InitializeClusterpermintaan dengan yang berikut:

  • ID klaster yang Anda buat sebelumnya.

  • Sertifikat HSM yang Anda tandatangani sebelumnya.

  • Sertifikat bertanda tangan Anda.