Inisialisasi cluster di AWS CloudHSM

Setelah membuat klaster dan menambahkan modul keamanan perangkat keras (HSM) AWS CloudHSM, Anda dapat menginisialisasi cluster. Selesaikan langkah-langkah dalam topik berikut untuk menginisialisasi klaster .

catatan

Sebelum Anda menginisialisasi cluster, tinjau proses di mana Anda dapat memverifikasi identitas dan keaslian klaster. HSMs Proses ini opsional dan bekerja hanya sampai klaster diinisialisasi. Setelah cluster diinisialisasi, Anda tidak dapat menggunakan proses ini untuk mendapatkan sertifikat atau memverifikasi. HSMs

Langkah 1. Dapatkan klaster CSR

Sebelum Anda dapat menginisialisasi cluster, Anda harus mengunduh dan menandatangani permintaan penandatanganan sertifikat (CSR) yang dihasilkan oleh cluster terlebih dahuluHSM. Jika Anda mengikuti langkah-langkah untuk memverifikasi identitas klaster Anda HSM, Anda sudah memiliki CSR dan Anda dapat menandatanganinya. Jika tidak, dapatkan CSR sekarang dengan menggunakan AWS CloudHSM konsol, AWS Command Line Interface (AWS CLI), atau AWS CloudHSM API.

penting

Untuk menginisialisasi klaster Anda, jangkar kepercayaan Anda harus mematuhi RFC5280 dan memenuhi persyaratan berikut:

• Jika menggunakan ekstensi X509v3, ekstensi X509v3 Basic Constraints harus ada.

• Jangkar kepercayaan harus berupa sertifikat yang ditandatangani sendiri.

• Nilai ekstensi tidak boleh bertentangan satu sama lain.

Console

Untuk mendapatkan CSR (konsol)

1. Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/rumah.

2. Pilih tombol radio di sebelah ID cluster dengan yang ingin HSM Anda verifikasi.

3. Pilih Tindakan. Dari menu tarik-turun, pilih Inisialisasi.

4. Jika Anda tidak menyelesaikan langkah sebelumnya untuk membuatHSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih Buat.

5. Saat sudah CSR siap, Anda melihat tautan untuk mengunduhnya.

   

6. Pilih Cluster CSR untuk mengunduh dan menyimpan fileCSR.

AWS CLI

Untuk mendapatkan CSR (AWS CLI)

• Pada prompt perintah, jalankan describe-clusters perintah berikut, yang mengekstrak CSR dan menyimpannya ke file. Ganti <cluster ID> dengan ID cluster yang Anda buat sebelumnya.

  $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                     --output text \
                                     --query 'Clusters[].Certificates.ClusterCsr' \
                                     > <cluster ID>_ClusterCsr.csr
  

AWS CloudHSM API

Untuk mendapatkan CSR (AWS CloudHSM API)

1. Kirim DescribeClusterspermintaan.

2. Ekstrak dan simpan CSR dari respons.

Langkah 2. Tanda tangani CSR

Saat ini, Anda harus membuat sertifikat penandatanganan yang ditandatangani sendiri dan menggunakannya untuk menandatangani CSR untuk klaster Anda. Anda tidak perlu AWS CLI untuk langkah ini, dan shell tidak perlu dikaitkan dengan AWS akun Anda. Untuk menandatanganiCSR, Anda harus melakukan hal berikut:

1. Lengkapi bagian sebelumnya (lihatLangkah 1. Dapatkan klaster CSR).

2. Buat kunci privat.

3. Gunakan kunci privat untuk membuat sertifikat penandatanganan.

4. Tanda tangani cluster AndaCSR.

Buat kunci privat

catatan

Untuk cluster produksi, kunci yang akan Anda buat harus dibuat dengan cara yang aman menggunakan sumber keacakan tepercaya. Kami menyarankan Anda menggunakan offsite yang aman dan offline HSM atau yang setara. Simpan kunci dengan aman. Kunci menetapkan identitas cluster dan satu-satunya kendali Anda atas yang HSMs dikandungnya.

Untuk pengembangan dan pengujian, Anda dapat menggunakan alat apa pun yang nyaman (seperti BukaSSL) untuk membuat dan menandatangani sertifikat cluster. Contoh berikut menunjukkan kepada Anda cara membuat kunci. Setelah Anda menggunakan kunci untuk membuat sertifikat yang ditandatangani sendiri (lihat di bawah), Anda harus menyimpannya dengan cara yang aman. Untuk masuk ke AWS CloudHSM instans Anda, sertifikat harus ada, tetapi kunci pribadi tidak.

Gunakan perintah berikut untuk membuat kunci privat. Saat menginisialisasi AWS CloudHSM cluster, Anda harus menggunakan sertifikat RSA 2048 atau sertifikat RSA 4096.

$ openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerCA.key:
Verifying - Enter pass phrase for customerCA.key:

Gunakan kunci privat untuk membuat sertifikat yang ditandatangani sendiri

Perangkat keras tepercaya yang Anda gunakan untuk membuat kunci privat untuk klaster produksi Anda juga harus menyediakan perangkat lunak untuk menghasilkan sertifikat yang ditandatangani sendiri menggunakan kunci tersebut. Contoh berikut menggunakan Buka SSL dan kunci pribadi yang Anda buat pada langkah sebelumnya untuk membuat sertifikat penandatanganan. Sertifikat ini berlaku selama 10 tahun (3652 hari). Baca petunjuk di layar dan ikuti prompt-nya.

$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Perintah ini membuat file sertifikat bernama customerCA.crt. Letakkan sertifikat ini di setiap host tempat Anda akan terhubung ke AWS CloudHSM cluster Anda. Jika Anda memberikan file nama yang berbeda atau menyimpannya di jalan selain root host Anda, Anda harus mengedit file konfigurasi klien Anda agar sesuai. Gunakan sertifikat dan kunci pribadi yang baru saja Anda buat untuk menandatangani permintaan penandatanganan sertifikat klaster (CSR) di langkah berikutnya.

Tanda tangani cluster CSR

Perangkat keras tepercaya yang Anda gunakan untuk membuat kunci pribadi untuk klaster produksi Anda juga harus menyediakan alat untuk menandatangani CSR penggunaan kunci itu. Contoh berikut menggunakan Open SSL untuk menandatangani clusterCSR. Contoh menggunakan kunci privat Anda dan sertifikat yang ditandatangani sendiri yang Anda buat di langkah sebelumnya.

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
                              -CA customerCA.crt \
                              -CAkey customerCA.key \
                              -CAcreateserial \
                              -out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifer>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for customerCA.key:

Perintah ini membuat file sertifikat bernama <cluster ID>_CustomerHsmCertificate.crt. Gunakan file ini sebagai sertifikat yang ditandatangani ketika Anda menginisialisasi klaster.

Langkah 3. Inisialisasi cluster

Gunakan sertifikat yang ditandatangani dan HSM sertifikat penandatanganan Anda untuk menginisialisasi klaster Anda. Anda dapat menggunakan AWS CloudHSM konsol, AWS CLI, atau AWS CloudHSM API.

Console

Untuk menginisialisasi klaster (konsol)

1. Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/rumah.

2. Pilih tombol radio di sebelah ID cluster dengan yang ingin HSM Anda verifikasi.

3. Pilih Tindakan. Dari menu tarik-turun, pilih Inisialisasi.

4. Jika Anda tidak menyelesaikan langkah sebelumnya untuk membuatHSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih Buat.

5. Pada Unduh permintaan penandatanganan sertifikat, pilih Selanjutnya. Jika Berikutnya tidak tersedia, pertama-tama pilih salah satu tautan CSR atau sertifikat. Lalu pilih Berikutnya.

6. Pada halaman Permintaan penandatanganan sertifikat tanda tangani (CSR), pilih Berikutnya.

7. Pada halaman Unggah sertifikat, lakukan hal berikut:

   1. Di samping Sertifikat klaster, pilih Unggah file. Kemudian cari dan pilih HSM sertifikat yang Anda tandatangani sebelumnya. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, pilih file bernama <cluster ID>_CustomerHsmCertificate.crt.

   2. Di samping Menerbitkan sertifikat, pilih Unggah file. Kemudian, pilih sertifikat penandatanganan Anda. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, pilih file bernama customerCA.crt.

   3. Pilih Unggah dan inisialisasi.

AWS CLI

Untuk menginisialisasi sebuah klaster (AWS CLI)

• Pada prompt perintah, jalankan perintah initialize-cluster. Berikan yang berikut ini:

  • ID klaster yang Anda buat sebelumnya.

  • HSMSertifikat yang Anda tandatangani sebelumnya. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, file tersimpan dengan nama <cluster ID>_CustomerHsmCertificate.crt.

  • Sertifikat bertanda tangan Anda. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, sertifikat penandatanganan tersimpan dalam file dengan nama customerCA.crt.

  $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                      --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                      --trust-anchor file://customerCA.crt
  {
      "State": "INITIALIZE_IN_PROGRESS",
      "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
  }
  

AWS CloudHSM API

Untuk menginisialisasi sebuah klaster (AWS CloudHSM API)

• Kirim InitializeClusterpermintaan dengan yang berikut:

  • ID klaster yang Anda buat sebelumnya.

  • HSMSertifikat yang Anda tandatangani sebelumnya.

  • Sertifikat bertanda tangan Anda.