Langkah 2: Buat permintaan penandatanganan sertifikat (CSR) dan sertifikat - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 2: Buat permintaan penandatanganan sertifikat (CSR) dan sertifikat

Untuk mengaktifkan HTTPS, server web Anda memerlukan sertifikat SSL/TLS dan kunci privat yang sesuai. Untuk menggunakan SSL/TLS offload dengan AWS CloudHSM, Anda menyimpan kunci pribadi di HSM di cluster Anda. AWS CloudHSM Untuk melakukannya, Anda menggunakan penyedia penyimpanan kunci (KSP)AWS CloudHSM untuk API Kriptografi Microsoft: Next Generation (CNG) untuk membuat permintaan penandatanganan sertifikat (CSR). Kemudian, Anda memberikan CSR ke otoritas sertifikat (CA), yang menandatangani CSR untuk menghasilkan sertifikat.

Buat CSR

Gunakan AWS CloudHSM KSP di Windows Server Anda untuk membuat CSR.

Untuk membuat CSR
  1. Jika Anda belum melakukannya, hubungkan ke server Windows server Anda. Untuk informasi selengkapnya, lihat Hubungkan ke Instans Anda dalam Panduan Pengguna Amazon EC2 untuk Instans Windows.

  2. Gunakan perintah berikut untuk memulai daemon AWS CloudHSM klien.

    Amazon Linux
    $ sudo start cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client start
    CentOS 7
    $ sudo service cloudhsm-client start
    CentOS 8
    $ sudo service cloudhsm-client start
    RHEL 7
    $ sudo service cloudhsm-client start
    RHEL 8
    $ sudo service cloudhsm-client start
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client start
    Windows
    • Untuk klien Windows 1.1.2+:

      C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient
    • Untuk klien Windows 1.1.1 dan yang lebih lama:

      C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
  3. Pada Windows Server Anda, gunakan editor teks untuk membuat file permintaan sertifikat bernama IISCertRequest.inf. Hal berikut menunjukkan isi contoh file IISCertRequest.inf. Untuk informasi lebih lanjut tentang bagian, kunci, dan nilai-nilai yang dapat Anda tentukan dalam file, lihat Dokumentasi Microsoft. Jangan ubah nilai ProviderName.

    [Version] Signature = "$Windows NT$" [NewRequest] Subject = "CN=example.com,C=US,ST=Washington,L=Seattle,O=ExampleOrg,OU=WebServer" HashAlgorithm = SHA256 KeyAlgorithm = RSA KeyLength = 2048 ProviderName = "Cavium Key Storage Provider" KeyUsage = 0xf0 MachineKeySet = True [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1
  4. Gunakan Perintah certreq Windows untuk membuat CSR dari file IISCertRequest.inf yang Anda buat pada langkah sebelumnya. Contoh berikut menyimpan CSR ke file bernama IISCertRequest.csr. Jika Anda menggunakan nama file yang berbeda untuk file permintaan sertifikat Anda, ganti IIS CertRequest .inf dengan nama file yang sesuai. Anda dapat secara opsional mengganti IIS CertRequest .csr dengan nama file yang berbeda untuk file CSR Anda.

    C:\>certreq -new IISCertRequest.inf IISCertRequest.csr SDK Version: 2.03 CertReq: Request Created

    File IISCertRequest.csr berisi CSR Anda. Anda memerlukan CSR ini untuk mendapatkan sertifikat yang ditandatangani.

Dapatkan sertifikat yang ditandatangani dan impor

Di lingkungan produksi, Anda biasanya menggunakan sertifikat otoritas (CA) untuk membuat sertifikat dari CSR. CA tidak diperlukan untuk lingkungan pengujian. Jika Anda menggunakan CA, kirim file CSR (IISCertRequest.csr) ke sana dan gunakan CA untuk membuat sertifikat SSL/TLS yang ditandatangani.

Sebagai alternatif untuk menggunakan CA, Anda dapat menggunakan alat seperti OpenSSL untuk membuat sertifikat yang ditandatangani sendiri.

Awas

Sertifikat yang ditandatangani sendiri tidak dipercaya oleh peramban dan tidak boleh digunakan dalam lingkungan produksi. Sertifikat dapat digunakan dalam lingkungan pengujian.

Prosedur berikut menunjukkan cara membuat sertifikat yang ditandatangani sendiri dan menggunakannya untuk menandatangani CSR server web Anda.

Untuk membuat sertifikat yang ditandatangani sendiri
  1. Gunakan perintah OpenSSL berikut untuk membuat kunci privat. Anda dapat secara opsional mengganti SelfSignedCA.key dengan nama file untuk memuat kunci pribadi Anda.

    openssl genrsa -aes256 -out SelfSignedCA.key 2048 Generating RSA private key, 2048 bit long modulus ......................................................................+++ .........................................+++ e is 65537 (0x10001) Enter pass phrase for SelfSignedCA.key: Verifying - Enter pass phrase for SelfSignedCA.key:
  2. Gunakan berikut ini perintah OpenSSL untuk membuat sertifikat yang ditandatangani sendiri menggunakan kunci privat yang Anda buat pada langkah sebelumnya. Ini adalah perintah interaktif. Baca petunjuk di layar dan ikuti prompt-nya. Ganti SelfSignedCA.key dengan nama file yang berisi kunci pribadi Anda (jika berbeda). Anda dapat secara opsional mengganti SelfSignedCA.crt dengan nama file untuk berisi sertifikat yang ditandatangani sendiri.

    openssl req -new -x509 -days 365 -key SelfSignedCA.key -out SelfSignedCA.crt Enter pass phrase for SelfSignedCA.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []:
Untuk menggunakan sertifikat yang ditandatangani sendiri untuk menandatangani CSR server web
  • Gunakan perintah OpenSSL berikut untuk menggunakan kunci privat dan sertifikat yang ditandatangani sendiri untuk menandatangani CSR. Ganti yang berikut dengan nama file yang berisi data yang sesuai (jika berbeda).

    • IIS CertRequest .csr — Nama file yang berisi CSR server web Anda

    • SelfSignedCa.crt — Nama file yang berisi sertifikat yang ditandatangani sendiri

    • SelfSignedCA.key - Nama file yang berisi kunci pribadi Anda

    • IISCert.crt — Nama file yang berisi sertifikat ditandatangani server web Anda

    openssl x509 -req -days 365 -in IISCertRequest.csr \ -CA SelfSignedCA.crt \ -CAkey SelfSignedCA.key \ -CAcreateserial \ -out IISCert.crt Signature ok subject=/ST=IIS-HSM/L=IIS-HSM/OU=IIS-HSM/O=IIS-HSM/CN=IIS-HSM/C=IIS-HSM Getting CA Private Key Enter pass phrase for SelfSignedCA.key:

Setelah Anda menyelesaikan langkah sebelumnya, Anda memiliki sertifikat yang ditandatangani untuk server web Anda (IISCert.crt) dan sertifikat yang ditandatangani sendiri (SelfSignedCA.crt). Bila Anda memiliki file-file ini, buka Langkah 3: Konfigurasikan server web.