Langkah 1: Siapkan prasyarat

Platform yang berbeda memerlukan prasyarat yang berbeda. Gunakan bagian prasyarat di bawah ini yang sesuai dengan platform Anda.

Prasyarat untuk Klien SDK 5

Untuk menyiapkan server web pembongkaran SSL/TLS dengan Klien SDK 5, Anda memerlukan yang berikut:

• AWS CloudHSM Cluster aktif dengan setidaknya dua modul keamanan perangkat keras (HSM)

  catatan

  Anda dapat menggunakan satu HSM klaster, tetapi Anda harus terlebih dahulu menonaktifkan daya tahan kunci klien. Untuk informasi selengkapnya, lihat Kelola Pengaturan Daya Tahan Kunci Klien dan Alat Konfigurasi Klien SDK 5.

• Instans Amazon EC2 menjalankan sistem operasi Linux dengan perangkat lunak berikut diinstal:

  • Sebuah server web (baik NGINX atau Apache)

  • OpenSSL Dynamic Engine untuk Klien SDK 5

• Pengguna kripto (CU) harus memiliki dan mengelola kunci privat server web pada HSM.

Untuk mengatur sebuah instans server web Linux dan membuat CU pada HSM

1. Instal dan konfigurasikan OpenSSL Dynamic Engine untuk. AWS CloudHSM Untuk informasi selengkapnya tentang menginstal OpenSSL Dynamic Engine, lihat OpenSSL Dynamic Engine untuk Klien SDK 5.

2. Pada instans EC2 Linux yang memiliki akses ke cluster Anda, instal server web NGINX atau Apache:

   Amazon Linux

   • NGINX

     $ sudo yum install nginx

   • Apache

     $ sudo yum install httpd24 mod24_ssl

   Amazon Linux 2

   • Untuk informasi tentang cara mengunduh versi terbaru NGINX di Amazon Linux 2, lihat situs web NGINX.

     Versi terbaru NGINX yang tersedia untuk Amazon Linux 2 menggunakan versi OpenSSL yang lebih baru dari versi sistem OpenSSL. Setelah menginstal NGINX, Anda perlu membuat tautan simbolis dari pustaka OpenSSL Dynamic Engine ke lokasi yang diharapkan oleh versi AWS CloudHSM OpenSSL ini

     $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

   • Apache

     $ sudo yum install httpd mod_ssl

   CentOS 7

   • Untuk informasi tentang cara mengunduh versi terbaru NGINX di CentOS 7, lihat situs web NGINX.

     Versi terbaru dari NGINX yang tersedia untuk CentOS 7 menggunakan versi OpenSSL yang lebih baru dari versi sistem OpenSSL. Setelah menginstal NGINX, Anda perlu membuat tautan simbolis dari pustaka OpenSSL Dynamic Engine ke lokasi yang diharapkan oleh versi AWS CloudHSM OpenSSL ini

     $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

   • Apache

     $ sudo yum install httpd mod_ssl

   Red Hat 7

   • Untuk informasi tentang cara mengunduh versi terbaru NGINX di Red Hat 7, lihat situs web NGINX.

     Versi terbaru dari NGINX yang tersedia untuk Red Hat 7 menggunakan versi OpenSSL yang lebih baru dari versi sistem OpenSSL. Setelah menginstal NGINX, Anda perlu membuat tautan simbolis dari pustaka OpenSSL Dynamic Engine ke lokasi yang diharapkan oleh versi AWS CloudHSM OpenSSL ini

     $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

   • Apache

     $ sudo yum install httpd mod_ssl

   CentOS 8

   • NGINX

     $ sudo yum install nginx

   • Apache

     $ sudo yum install httpd mod_ssl

   Red Hat 8

   • NGINX

     $ sudo yum install nginx

   • Apache

     $ sudo yum install httpd mod_ssl

   Ubuntu 18.04

   • NGINX

     $ sudo apt install nginx

   • Apache

     $ sudo apt install apache2

   Ubuntu 20.04

   • NGINX

     $ sudo apt install nginx

   • Apache

     $ sudo apt install apache2

   Ubuntu 22.04

   Support untuk OpenSSL Dynamic Engine belum tersedia.

3. Gunakan CloudHSM CLI untuk membuat CU. Untuk informasi selengkapnya tentang mengelola pengguna HSM, lihat Mengelola pengguna HSM dengan CloudHSM CLI.

   Tip

   Lacak nama pengguna dan kata sandi CU. Anda akan membutuhkannya nanti ketika Anda membuat atau mengimpor kunci privat HTTPS dan sertifikat untuk server web Anda.

Setelah Anda menyelesaikan langkah ini, buka Langkah 2: Buat atau impor kunci pribadi dan sertifikat SSL/TLS.

Catatan

• Untuk menggunakan Security-Enhanced Linux (SELinux) dan server web, Anda harus mengizinkan koneksi TCP keluar pada port 2223, yaitu port yang Klien SDK 5 gunakan untuk berkomunikasi dengan HSM.

• Untuk membuat dan mengaktifkan klaster dan memberikan akses instans EC2 ke klaster, selesaikan langkah-langkah dalam Memulai dengan AWS CloudHSM. Memulai menawarkan step-by-step instruksi untuk membuat cluster aktif dengan satu HSM dan instans klien Amazon EC2. Anda dapat menggunakan instans klien ini sebagai server web Anda.

• Untuk menghindari menonaktifkan daya tahan kunci klien, tambahkan lebih dari satu HSM ke klaster Anda. Untuk informasi lebih lanjut, lihat Menambahkan HSM.

• Untuk terhubung ke instans klien Anda, Anda dapat menggunakan SSH atau PuTTY. Untuk informasi selengkapnya, lihat.Menghubungkan ke Instans Linux Anda Menggunakan SSH atau Menyambung ke Instans Linux Anda dari Windows Menggunakan PuTTY dalam dokumentasi Amazon EC2.

Prasyarat untuk Klien SDK 3

Untuk mengatur pembongkaran SSL/TLS server web dengan Client SDK 3, Anda memerlukan yang berikut ini:

• AWS CloudHSM Cluster aktif dengan setidaknya satu HSM.

• Instans Amazon EC2 menjalankan sistem operasi Linux dengan perangkat lunak berikut diinstal:

  • AWS CloudHSM Klien dan alat baris perintah.

  • Aplikasi server web NGINX atau Apache.

  • Mesin AWS CloudHSM dinamis untuk OpenSSL.

• Pengguna kripto (CU) harus memiliki dan mengelola kunci privat server web pada HSM.

Untuk mengatur sebuah instans server web Linux dan membuat CU pada HSM

1. Selesaikan langkah-langkah dalam Memulai. Anda kemudian akan memiliki klaster aktif dengan satu HSM dan instans klien Amazon EC2. Instans EC2 Anda akan dikonfigurasi dengan alat baris perintah. Gunakan instans klien ini sebagai server web Anda.

2. Hubungkan ke instans klien Anda. Untuk informasi selengkapnya, lihat.Menghubungkan ke Instans Linux Anda Menggunakan SSH atau Menyambung ke Instans Linux Anda dari Windows Menggunakan PuTTY dalam dokumentasi Amazon EC2.

3. Pada instans EC2 Linux yang memiliki akses ke cluster Anda, instal server web NGINX atau Apache:

   Amazon Linux

   • NGINX

     $ sudo yum install nginx

   • Apache

     $ sudo yum install httpd24 mod24_ssl

   Amazon Linux 2

   • NGINX versi 1.19 adalah versi terbaru dari NGINX yang kompatibel dengan mesin Client SDK 3 di Amazon Linux 2.

     Untuk informasi lebih lanjut dan untuk mengunduh NGINX versi 1.19, lihat situs web NGINX.

   • Apache

     $ sudo yum install httpd mod_ssl

   CentOS 7

   • NGINX versi 1.19 adalah versi terbaru dari NGINX yang kompatibel dengan mesin Client SDK 3 pada CentOS 7.

     Untuk informasi lebih lanjut dan untuk mengunduh NGINX versi 1.19, lihat situs web NGINX.

   • Apache

     $ sudo yum install httpd mod_ssl

   Red Hat 7

   • NGINX versi 1.19 adalah versi terbaru dari NGINX yang kompatibel dengan mesin Client SDK 3 pada Red Hat 7.

     Untuk informasi lebih lanjut dan untuk mengunduh NGINX versi 1.19, lihat situs web NGINX.

   • Apache

     $ sudo yum install httpd mod_ssl

   Ubuntu 16.04

   • NGINX

     $ sudo apt install nginx

   • Apache

     $ sudo apt install apache2

   Ubuntu 18.04

   • NGINX

     $ sudo apt install nginx

   • Apache

     $ sudo apt install apache2

4. (Opsional) Tambahkan lebih banyak HSM ke klaster Anda. Untuk informasi lebih lanjut, lihat Menambahkan HSM.

5. Gunakan cloudhsm_mgmt_util untuk membuat CU. Untuk informasi lebih lanjut, lihat Mengelola pengguna HSM. Lacak nama pengguna dan kata sandi CU. Anda akan membutuhkannya nanti ketika Anda membuat atau mengimpor kunci privat HTTPS dan sertifikat untuk server web Anda.

Setelah Anda menyelesaikan langkah ini, buka Langkah 2: Buat atau impor kunci pribadi dan sertifikat SSL/TLS.