Dapatkan CSR Tanda tangani CSR Inisialisasi

Inisialisasi

Selesaikan langkah-langkah dalam topik berikut untuk menginisialisasi klaster AWS CloudHSM.

catatan

Sebelum Anda menginisialisasi klaster, tinjau proses yang dengannya Anda dapat memverifikasi identitas dan keaslian HSM. Proses ini opsional dan bekerja hanya sampai klaster diinisialisasi. Setelah klaster diinisialisasi, Anda tidak dapat menggunakan proses ini untuk mendapatkan sertifikat atau memverifikasi HSM.

Dapatkan CSR

Sebelum Anda dapat menginisialisasi klaster, Anda harus mengunduh dan menandatangani permintaan penandatanganan sertifikat (CSR) yang dihasilkan oleh klaster pertama HSM. Jika Anda mengikuti langkah-langkah untuk memverifikasi identitas klaster HSM Anda, Anda sudah memiliki CSR dan Anda dapat menandatanganinya. Jika tidak, dapatkan CSR sekarang dengan menggunakan konsol AWS CloudHSM, AWS Command Line Interface (AWS CLI), atau API AWS CloudHSM.

penting

Untuk menginisialisasi klaster Anda, anchor kepercayaan Anda harus mematuhi RFC 5280 dan memenuhi persyaratan berikut:

Jika menggunakan ekstensi X509v3, ekstensi X509v3 Basic Constraints harus ada.
Anchor harus sertifikat yang ditandatangani sendiri.
Nilai ekstensi tidak boleh bertentangan satu sama lain.

Untuk mendapatkan CSR (konsol)

BukaAWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/home.
Pilih tombol radio di samping ID klaster dengan HSM yang ingin Anda verifikasi.
Pilih Tindakan. Dari menu tarik-turun, pilih Inisialisasi.
Jika Anda tidak menyelesaikan langkah sebelumnya untuk membuat HSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih Buat.
Saat CSR sudah siap, Anda akan melihat tautan untuk mengunduhnya.
Pilih CSR Klaster untuk mengunduh dan menyimpan CSR.

Untuk mendapatkan CSR (AWS CLI)

Pada prompt perintah, jalankan perintah describe-clusters, yang mengekstraksi CSR dan menyimpannya ke file. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr

Untuk mendapatkan CSR (API AWS CloudHSM)

Kirim permintaan DescribeClusters.
Ekstrak dan simpan CSR dari respons.

Tanda tangani CSR

Saat ini, Anda harus membuat sertifikat penandatanganan yang ditandatangani sendiri dan menggunakannya untuk menandatangani CSR untuk klaster Anda. Namun, Anda tidak memerlukan AWS CLI untuk langkah ini, dan shell tidak perlu dikaitkan dengan akun AWS Anda. Untuk menandatangani CSR, Anda harus melakukan hal berikut:

Lengkapi bagian sebelumnya (lihatDapatkan CSR).
Buat kunci privat.
Gunakan kunci privat untuk membuat sertifikat penandatanganan.
Tanda tangani CSR klaster Anda.

Buat kunci privat

catatan

Untuk klaster, kunci yang Anda buat harus dibuat dengan cara yang aman menggunakan sumber keacakan. Kami menyarankan Anda menggunakan HSM offsite dan offline yang aman atau setara. Simpan kunci dengan aman. Jika Anda dapat menunjukkan bahwa Anda memiliki kunci, Anda juga dapat menunjukkan bahwa Anda memiliki klaster dan data yang dikandungnya.

Untuk pengembangan dan pengujian, Anda dapat menggunakan alat yang nyaman (seperti OpenSSL) untuk membuat dan menandatangani sertifikat. Contoh berikut menunjukkan kepada Anda cara membuat kunci. Setelah Anda menggunakan kunci untuk membuat sertifikat yang ditandatangani sendiri (lihat di bawah), Anda harus menyimpannya dengan cara yang aman. Untuk masuk ke instans AWS CloudHSM, sertifikat harus hadir, tetapi kunci privat tidak.

Gunakan perintah berikut untuk membuat kunci privat. Saat menginisialisasiAWS CloudHSM klaster, Anda harus menggunakan sertifikat RSA 2048 atau sertifikat RSA 4096.


$ openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerCA.key:
Verifying - Enter pass phrase for customerCA.key:

Gunakan kunci privat untuk membuat sertifikat yang ditandatangani sendiri

Perangkat keras tepercaya yang Anda gunakan untuk membuat kunci privat untuk klaster produksi Anda juga harus menyediakan perangkat lunak untuk menghasilkan sertifikat yang ditandatangani sendiri menggunakan kunci tersebut. Contoh berikut ini menggunakan OpenSSL dan kunci privat yang Anda buat di langkah sebelumnya untuk membuat sertifikat penandatanganan. Sertifikat ini berlaku selama 10 tahun (3652 hari). Baca petunjuk di layar dan ikuti prompt-nya.


$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Perintah ini membuat file sertifikat bernama customerCA.crt. Masukkan sertifikat ini pada setiap host tempat Anda akan terhubung ke klaster AWS CloudHSM. Jika Anda memberikan file nama yang berbeda atau menyimpannya di jalan selain root host Anda, Anda harus mengedit file konfigurasi klien Anda agar sesuai. Gunakan sertifikat dan kunci privat yang baru saja Anda buat untuk menandatangani permintaan penandatanganan sertifikat klaster (CSR) di langkah berikutnya.

Tanda tangani CSR

Perangkat keras tepercaya yang Anda gunakan untuk membuat kunci privat Anda untuk klaster produksi Anda juga harus menyediakan alat untuk menandatangani CSR menggunakan kunci tersebut. Contoh berikut menggunakan OpenSSL untuk menandatangani CSR klaster. Contoh menggunakan kunci privat Anda dan sertifikat yang ditandatangani sendiri yang Anda buat di langkah sebelumnya.


$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
                              -CA customerCA.crt \
                              -CAkey customerCA.key \
                              -CAcreateserial \
                              -out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifer>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for customerCA.key:

Perintah ini membuat file sertifikat bernama <cluster ID>_CustomerHsmCertificate.crt. Gunakan file ini sebagai sertifikat yang ditandatangani ketika Anda menginisialisasi klaster.

Inisialisasi

Gunakan sertifikat HSM yang ditandatangani dan sertifikat penandatanganan Anda untuk menginisialisasi klaster Anda. Anda dapat menggunakan konsol AWS CloudHSM, AWS CLI, atau API AWS CloudHSM.

Untuk menginisialisasi klaster (konsol)

BukaAWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/home.
Pilih tombol radio di samping ID klaster dengan HSM yang ingin Anda verifikasi.
Pilih Tindakan. Dari menu tarik-turun, pilih Inisialisasi.
Jika Anda tidak menyelesaikan langkah sebelumnya untuk membuat HSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih Buat.
Pada Unduh permintaan penandatanganan sertifikat, pilih Selanjutnya. Jika Selanjutnya tidak tersedia, pertama-tama pilih salah satu tautan CSR atau sertifikat. Lalu, pilih Selanjutnya.
Pada halaman Tanda tangani permintaan penandatanganan sertifikat (CSR), pilih Berikutnya.
Pada halaman Unggah sertifikat, lakukan hal berikut:
1. Di samping Sertifikat klaster, pilih Unggah file. Kemudia, cari dan pilih sertifikat HSM yang Anda tanda tangani sebelumnya. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, pilih file bernama <cluster ID>_CustomerHsmCertificate.crt.
2. Di samping Menerbitkan sertifikat, pilih Unggah file. Kemudian, pilih sertifikat penandatanganan Anda. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, pilih file bernama customerCA.crt.
3. Pilih Unggah dan inisialisasi.

Untuk menginisialisasi sebuah klaster (AWS CLI)

Pada prompt perintah, jalankan perintah initialize-cluster. Berikan yang berikut ini:
- ID klaster yang Anda buat sebelumnya.
- Sertifikat HSM yang Anda tandatangani sebelumnya. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, file tersimpan dengan nama <cluster ID>_CustomerHsmCertificate.crt.
- Sertifikat bertanda tangan Anda. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, sertifikat penandatanganan tersimpan dalam file dengan nama customerCA.crt.
```
$ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                    --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                    --trust-anchor file://customerCA.crt
{
    "State": "INITIALIZE_IN_PROGRESS",
    "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
}
```

Untuk menginisialisasi sebuah klaster (API AWS CloudHSM)

Kirim permintaan InitializeCluster dengan yang berikut ini:
- ID klaster yang Anda buat sebelumnya.
- Sertifikat HSM yang Anda tandatangani sebelumnya.
- Sertifikat bertanda tangan Anda.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Verifikasi identitas HSM (opsional)

Instal CloudHSM CLI