Siapkan otentikasi kuorum untuk petugas kripto AWS CloudHSM - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan otentikasi kuorum untuk petugas kripto AWS CloudHSM

Topik berikut menjelaskan langkah-langkah yang harus Anda selesaikan untuk mengonfigurasi modul keamanan perangkat keras Anda (HSM) sehingga petugas AWS CloudHSM kripto (COs) dapat menggunakan otentikasi kuorum. Anda perlu melakukan langkah-langkah ini hanya sekali ketika Anda pertama kali mengonfigurasi otentikasi kuorum untuk. COs Setelah Anda menyelesaikan langkah ini, lihat Manajemen pengguna dengan otentikasi kuorum diaktifkan untuk Utilitas Manajemen AWS CloudHSM.

Prasyarat

Untuk memahami contoh ini, Anda harus terbiasa dengan cloudhsm_mgmt_util (CMU) alat baris perintah. Dalam contoh ini, AWS CloudHSM cluster memiliki duaHSMs, masing-masing dengan yang samaCOs, seperti yang ditunjukkan pada output berikut dari listUsers perintah. Untuk informasi selengkapnya tentang membuat pengguna, lihat HSMpengguna.

aws-cloudhsm>listUsers Users on server 0(10.0.2.14): Number of users found:7 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO officer1 NO 0 NO 4 CO officer2 NO 0 NO 5 CO officer3 NO 0 NO 6 CO officer4 NO 0 NO 7 CO officer5 NO 0 NO Users on server 1(10.0.1.4): Number of users found:7 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO officer1 NO 0 NO 4 CO officer2 NO 0 NO 5 CO officer3 NO 0 NO 6 CO officer4 NO 0 NO 7 CO officer5 NO 0 NO

Langkah 1. Buat dan daftarkan kunci untuk penandatanganan

Untuk menggunakan autentikasi kuorum, setiap CO harus melakukan semualangkah berikut:

Buat RSA key pair

Ada banyak cara berbeda untuk membuat dan melindungi pasangan kunci. Contoh berikut menunjukkan bagaimana melakukannya dengan Open SSL.

contoh — Buat kunci pribadi dengan Buka SSL

Contoh berikut menunjukkan cara menggunakan Open SSL untuk membuat RSA kunci 2048-bit yang dilindungi oleh frasa lulus. Untuk menggunakan contoh ini, ganti officer1.key dengan nama file tempat Anda ingin menyimpan kuncinya.

$ openssl genrsa -out officer1.key -aes256 2048 Generating RSA private key, 2048 bit long modulus .....................................+++ .+++ e is 65537 (0x10001) Enter pass phrase for officer1.key: Verifying - Enter pass phrase for officer1.key:

Berikutnya, hasilkan kunci publik menggunakan kunci privat yang baru saja Anda buat.

contoh — Buat kunci publik dengan Open SSL

Contoh berikut menunjukkan cara menggunakan Open SSL untuk membuat kunci publik dari kunci pribadi yang baru saja Anda buat.

$ openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pub Enter pass phrase for officer1.key: writing RSA key

Membuat dan menandatangani token pendaftaran

Anda membuat token dan menandatanganinya dengan kunci privat yang baru saja Anda hasilkan pada langkah sebelumnya.

contoh — Buat token

Token pendaftaran hanyalah sebuah file dengan data acak yang tidak melebihi ukuran maksimum 245 byte. Anda menandatangani token dengan kunci privat untuk menunjukkan bahwa Anda memiliki akses ke kunci privat. Perintah berikut menggunakan echo untuk mengalihkan string ke file.

$ echo "token to be signed" > officer1.token

Tanda tangani token dan simpan ke file tanda tangan. Anda akan memerlukan token yang ditandatangani, token yang tidak ditandatangani, dan kunci publik untuk mendaftarkan CO sebagai pengguna MoFN dengan. HSM

contoh — Tandatangani token

Gunakan Buka SSL dan kunci pribadi untuk menandatangani token pendaftaran dan membuat file tanda tangan.

$ openssl dgst -sha256 \ -sign officer1.key \ -out officer1.token.sig officer1.token

Daftarkan kunci publik dengan HSM

Setelah membuat kunci, CO harus mendaftarkan bagian publik dari kunci (kunci publik) denganHSM.

Untuk mendaftarkan kunci publik dengan HSM
  1. Gunakan perintah berikut untuk memulai cloudhsm_mgmt_util alat baris perintah.

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
  2. Gunakan loginHSM perintah untuk masuk ke HSM as a CO. Untuk informasi selengkapnya, lihat HSMmanajemen pengguna dengan Cloud HSM Management Utility (CMU).

  3. Gunakan perintah registerQuorumPubKey untuk mendaftarkan kunci publik. Untuk informasi selengkapnya, lihat contoh berikut atau gunakan perintah help registerQuorumPubKey.

contoh — Daftarkan kunci publik dengan HSM

Contoh berikut menunjukkan bagaimana menggunakan registerQuorumPubKey perintah di cloudhsm_mgmt_util alat baris perintah untuk mendaftarkan kunci publik CO denganHSM. Untuk menggunakan perintah ini, CO harus masuk ke fileHSM. Ganti nilai-nilai ini dengan nilai Anda sendiri:

aws-cloudhsm> registerQuorumPubKey CO <officer1> <officer1.token> <officer1.token.sig> <officer1.pub> *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y registerQuorumPubKey success on server 0(10.0.2.14)
<officer1.token>

Jalur ke file yang berisi token pendaftaran belum ditandatangani. Dapat memiliki data acak ukuran file max 245 byte.

Wajib: Ya

<officer1.token.sig>

Jalur ke file yang berisi PKCS mekanisme SHA256 _ hash yang ditandatangani dari token pendaftaran.

Wajib: Ya

<officer1.pub>

Path ke file yang berisi kunci publik dari asimetris RSA -2048 key pair. Gunakan kunci privat untuk menandatangani token pendaftaran.

Wajib: Ya

Setelah semua COs mendaftarkan kunci publik mereka, output dari listUsers perintah menunjukkan ini di MofnPubKey kolom, seperti yang ditunjukkan pada contoh berikut.

aws-cloudhsm>listUsers Users on server 0(10.0.2.14): Number of users found:7 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO officer1 YES 0 NO 4 CO officer2 YES 0 NO 5 CO officer3 YES 0 NO 6 CO officer4 YES 0 NO 7 CO officer5 YES 0 NO Users on server 1(10.0.1.4): Number of users found:7 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO officer1 YES 0 NO 4 CO officer2 YES 0 NO 5 CO officer3 YES 0 NO 6 CO officer4 YES 0 NO 7 CO officer5 YES 0 NO

Langkah 2. Tetapkan nilai minimum kuorum pada HSM

Untuk menggunakan otentikasi kuorumCOs, CO harus masuk ke HSM dan kemudian menetapkan nilai minimum kuorum, juga dikenal sebagai nilai m. Ini adalah jumlah minimum persetujuan CO yang diperlukan untuk melakukan operasi manajemen HSM pengguna. Setiap CO pada HSM dapat menetapkan nilai minimum kuorum, termasuk COs yang belum mendaftarkan kunci untuk penandatanganan. Anda dapat mengubah nilai minimum kuorum kapan saja; untuk informasi lebih lanjut, lihatUbah nilai minimum.

Untuk menetapkan nilai minimum kuorum pada HSM
  1. Gunakan perintah berikut untuk memulai cloudhsm_mgmt_util alat baris perintah.

    $ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
  2. Gunakan loginHSM perintah untuk masuk ke HSM as a CO. Untuk informasi selengkapnya, lihat HSMmanajemen pengguna dengan Cloud HSM Management Utility (CMU).

  3. Gunakan perintah setMValue untuk menetapkan nilai minimum kuorum. Untuk informasi selengkapnya, lihat contoh berikut atau gunakan perintah help setMValue.

contoh — Tetapkan nilai minimum kuorum pada HSM

Contoh ini menggunakan nilai minimum kuorum dua. Anda dapat memilih nilai apa saja dari dua (2) hingga delapan (8), hingga jumlah total COs padaHSM. Dalam contoh ini, HSM memiliki enamCOs, sehingga nilai maksimum yang mungkin adalah enam.

Untuk menggunakan perintah contoh berikut, ganti nomor akhir (2) dengan nilai minimum kuorum yang disukai.

aws-cloudhsm>setMValue 3 2 *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y Setting M Value(2) for 3 on 2 nodes

Dalam contoh sebelumnya, angka pertama (3) mengidentifikasi HSMlayanan yang nilai minimum kuorumnya Anda tetapkan.

Tabel berikut mencantumkan pengidentifikasi HSM layanan beserta nama, deskripsi, dan perintah yang disertakan dalam layanan.

Pengenal Layanan Nama Layanan Deskripsi Layanan HSMPerintah
3 USER_MGMT HSMmanajemen pengguna
  • createUser

  • deleteUser

  • changePswd(hanya berlaku ketika mengubah kata sandi HSM pengguna yang berbeda)

4 MISC_CO Layanan CO lainnya
  • setMValue

Untuk mendapatkan nilai minimum kuorum untuk layanan, gunakan perintah getMValue, seperti dalam contoh berikut.

aws-cloudhsm>getMValue 3 MValue of service 3[USER_MGMT] on server 0 : [2] MValue of service 3[USER_MGMT] on server 1 : [2]

Output dari getMValue perintah sebelumnya menunjukkan bahwa nilai minimum kuorum untuk operasi manajemen HSM pengguna (layanan 3) sekarang dua.

Setelah Anda menyelesaikan langkah ini, lihat Manajemen pengguna dengan otentikasi kuorum diaktifkan untuk Utilitas Manajemen AWS CloudHSM.