Langkah 2: Membuat permintaan penandatanganan sertifikat (CSR) dan sertifikat - AWS CloudHSM
Buat CSRDapatkan sertifikat yang ditandatangani dan impor

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 2: Membuat permintaan penandatanganan sertifikat (CSR) dan sertifikat

Untuk mengaktifkan HTTPS, server web Anda memerlukan sertifikat SSL/TLS dan kunci privat yang sesuai. Untuk menggunakan pembongkaran SSL/TLS dengan AWS CloudHSM, Anda menyimpan kunci privat di HSM di klaster AWS CloudHSM. Untuk melakukannya, Anda menggunakan penyedia penyimpanan kunci (KSP) AWS CloudHSM untuk API Kriptografi Microsoft: Next Generation (CNG) untuk membuat permintaan penandatanganan sertifikat (CSR). Kemudian, Anda memberikan CSR ke otoritas sertifikat (CA), yang menandatangani CSR untuk menghasilkan sertifikat.

Buat CSR

Gunakan AWS CloudHSM KSP pada Windows Server untuk membuat CSR.

Untuk membuat CSR

  1. Jika Anda belum melakukannya, hubungkan ke server Windows server Anda. Untuk informasi selengkapnya, lihat Hubungkan ke Instans Anda dalam Panduan Pengguna Amazon EC2 untuk Instans Windows.

  2. Gunakan perintah berikut untuk memulai daemonAWS CloudHSM klien.

    Amazon Linux
    $ sudo start cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client start
    CentOS 7
    $ sudo service cloudhsm-client start
    CentOS 8
    $ sudo service cloudhsm-client start
    RHEL 7
    $ sudo service cloudhsm-client start
    RHEL 8
    $ sudo service cloudhsm-client start
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client start
    Windows

    • Untuk klien Windows 1.1.2+:

      C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

    • Untuk klien Windows 1.1.1 dan yang lebih lama:

      C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  3. Pada Windows Server Anda, gunakan editor teks untuk membuat file permintaan sertifikat bernama IISCertRequest.inf. Hal berikut menunjukkan isi contoh file IISCertRequest.inf. Untuk informasi lebih lanjut tentang bagian, kunci, dan nilai-nilai yang dapat Anda tentukan dalam file, lihat Dokumentasi Microsoft. Jangan ubah nilai ProviderName.

    [Version]
Signature = "$Windows NT$"
[NewRequest]
Subject = "CN=example.com,C=US,ST=Washington,L=Seattle,O=ExampleOrg,OU=WebServer"
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "Cavium Key Storage Provider"
KeyUsage = 0xf0
MachineKeySet = True
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1

  4. Gunakan Perintah certreq Windows untuk membuat CSR dari file IISCertRequest.inf yang Anda buat pada langkah sebelumnya. Contoh berikut menyimpan CSR ke file bernama IISCertRequest.csr. Jika Anda menggunakan nama file yang berbeda untuk file permintaan sertifikat Anda, ganti CertRequestIIS.inf dengan nama file yang sesuai. Anda dapat mengganti CertRequestIIS.csr dengan nama file yang berbeda untuk file CSR Anda.

    C:\>certreq -new IISCertRequest.inf IISCertRequest.csr
        SDK Version: 2.03

CertReq: Request Created

    File IISCertRequest.csr berisi CSR Anda. Anda memerlukan CSR ini untuk mendapatkan sertifikat yang ditandatangani.

Dapatkan sertifikat yang ditandatangani dan impor

Di lingkungan produksi, Anda biasanya menggunakan sertifikat otoritas (CA) untuk membuat sertifikat dari CSR. CA tidak diperlukan untuk lingkungan pengujian. Jika Anda menggunakan CA, kirim file CSR (IISCertRequest.csr) ke sana dan gunakan CA untuk membuat sertifikat SSL/TLS yang ditandatangani.

Sebagai alternatif untuk menggunakan CA, Anda dapat menggunakan alat seperti OpenSSL untuk membuat sertifikat yang ditandatangani sendiri.

Awas

Sertifikat yang ditandatangani sendiri tidak dipercaya oleh peramban dan tidak boleh digunakan dalam lingkungan produksi. Sertifikat dapat digunakan dalam lingkungan pengujian.

Prosedur berikut menunjukkan cara membuat sertifikat yang ditandatangani sendiri dan menggunakannya untuk menandatangani CSR server web Anda.

Untuk membuat sertifikat yang ditandatangani sendiri

  1. Gunakan perintah OpenSSL berikut untuk membuat kunci privat. Anda dapat mengganti SelfSignedCA.key dengan nama file berisi kunci privat Anda.

    openssl genrsa -aes256 -out SelfSignedCA.key 2048
Generating RSA private key, 2048 bit long modulus
......................................................................+++
.........................................+++
e is 65537 (0x10001)
Enter pass phrase for SelfSignedCA.key:
Verifying - Enter pass phrase for SelfSignedCA.key:

  2. Gunakan berikut ini perintah OpenSSL untuk membuat sertifikat yang ditandatangani sendiri menggunakan kunci privat yang Anda buat pada langkah sebelumnya. Ini adalah perintah interaktif. Baca petunjuk di layar dan ikuti prompt-nya. Ganti SelfSignedCA.key dengan nama file yang berisi kunci privat Anda (jika berbeda). Anda dapat mengganti SelfSignedCA.crt dengan nama file berisi sertifikat yang Anda tanda tangani sendiri.

    openssl req -new -x509 -days 365 -key SelfSignedCA.key -out SelfSignedCA.crt
Enter pass phrase for SelfSignedCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
Untuk menggunakan sertifikat yang ditandatangani sendiri untuk menandatangani CSR server web

  • Gunakan perintah OpenSSL berikut untuk menggunakan kunci privat dan sertifikat yang ditandatangani sendiri untuk menandatangani CSR. Ganti yang berikut dengan nama file yang berisi data yang sesuai (jika berbeda).

    • CertRequestIIS.csr — Nama file yang berisi CSR server web Anda

    • SelfSignedCA.crt — Nama file yang berisi sertifikat yang Anda tanda tangani sendiri

    • SelfSignedCA.key — Nama file yang berisi kunci privat Anda

    • IISCert.crt — Nama file yang berisi sertifikat ditandatangani server web Anda

    openssl x509 -req -days 365 -in IISCertRequest.csr \
                            -CA SelfSignedCA.crt \
                            -CAkey SelfSignedCA.key \
                            -CAcreateserial \
                            -out IISCert.crt
Signature ok
subject=/ST=IIS-HSM/L=IIS-HSM/OU=IIS-HSM/O=IIS-HSM/CN=IIS-HSM/C=IIS-HSM
Getting CA Private Key
Enter pass phrase for SelfSignedCA.key:

Setelah Anda menyelesaikan langkah sebelumnya, Anda memiliki sertifikat yang ditandatangani untuk server web Anda (IISCert.crt) dan sertifikat yang ditandatangani sendiri (SelfSignedCA.crt). Bila Anda memiliki file-file ini, buka Langkah 3: Konfigurasi server web.