Verifikasi identitas dan keaslian HSM klaster Anda (opsional) - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Verifikasi identitas dan keaslian HSM klaster Anda (opsional)

Untuk menginisialisasi klaster Anda, Anda menandatangani permintaan penandatanganan sertifikat (CSR) yang dihasilkan oleh HSM klaster pertama. Sebelum Anda melakukan ini, Anda mungkin perlu memverifikasi identitas dan keaslian HSM.

catatan

Proses ini opsional. Namun, ini bekerja hanya sampai sebuah klaster diinisialisasi. Setelah klaster diinisialisasi, Anda tidak dapat menggunakan proses ini untuk mendapatkan sertifikat atau memverifikasi HSM.

Gambaran Umum

Untuk memverifikasi identitas HSM klaster Anda, selesaikan langkah-langkah berikut:

  1. Dapatkan sertifikat dan CSR — Pada langkah ini, Anda mendapatkan tiga sertifikat dan CSR dari HSM. Anda juga mendapatkan dua sertifikat root, satu dari AWS CloudHSM dan satu dari produsen perangkat keras HSM.

  2. Verifikasi rantai sertifikat — Pada langkah ini, Anda membuat dua rantai sertifikat, satu ke sertifikat AWS CloudHSM root dan satu ke sertifikat root pabrikan. Kemudian Anda memverifikasi sertifikat HSM dengan rantai sertifikat ini untuk menentukan itu AWS CloudHSM dan produsen perangkat keras membuktikan identitas dan keaslian HSM.

  3. Bandingkan kunci publik — Pada langkah ini, Anda mengekstraksi dan membandingkan kunci publik dalam sertifikat HSM dan klaster CSR, untuk memastikan bahwa mereka adalah sama. Hal ini akan memberi Anda keyakinan bahwa CSR dihasilkan oleh HSM yang autentik, tepercaya .

Diagram berikut menunjukkan CSR, sertifikat, dan hubungan mereka satu sama lain. Daftar berikutnya mendefinisikan setiap sertifikat.

Sertifikat HSM dan hubungannya.
AWS Sertifikat Root

Ini AWS CloudHSM adalah sertifikat root.

Sertifikat Root Produsen

Ini adalah sertifikat root pabrik perangkat keras.

AWS Sertifikat Perangkat Keras

AWS CloudHSM membuat sertifikat ini ketika perangkat keras HSM ditambahkan ke armada. Sertifikat ini menegaskan bahwa AWS CloudHSM memiliki perangkat keras.

Sertifikat Perangkat Keras Produsen

Produsen perangkat keras HSM membuat sertifikat ini ketika memproduksi perangkat keras HSM. Sertifikat ini menegaskan bahwa produsen membuat perangkat keras.

Sertifikat HSM

Sertifikat HSM dihasilkan oleh perangkat keras divalidasi FIPS ketika Anda membuat HSM pertama di klaster. Sertifikat ini menegaskan bahwa perangkat keras HSM membuat HSM.

CSR Klaster

HSM pertama membuat CSR klaster. Saat Anda tandatangani CSR klaster, Anda mengklaim klaster. Kemudian, Anda dapat menggunakan CSR yang ditandatangani untuk menginisialisasi klaster.

Dapatkan sertifikat dari HSM

Untuk memverifikasi identitas dan keaslian HSM Anda, mulailah dengan mendapatkan CSR dan lima sertifikat. Anda mendapatkan tiga sertifikat dari HSM, yang dapat Anda lakukan dengan AWS CloudHSM konsol, AWS Command Line Interface (AWS CLI), atau AWS CloudHSM API.

Untuk mendapatkan CSR dan sertifikat HSM (konsol)
  1. Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/home.

  2. Pilih tombol radio di sebelah ID cluster dengan HSM yang ingin Anda verifikasi.

  3. Pilih Tindakan. Dari menu tarik-turun, pilih Inisialisasi.

  4. Jika Anda tidak menyelesaikan langkah sebelumnya untuk membuat HSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih Buat.

  5. Saat sertifikat dan CSR siap, Anda akan melihat tautan untuk mengunduhnya.

    Halaman permintaan penandatanganan sertifikat unduhan di AWS CloudHSM konsol.
  6. Pilih setiap tautan untuk mengunduh dan menyimpan CSR dan sertifikat. Untuk menyederhanakan langkah-langkah berikutnya, simpan semua file ke direktori yang sama dan menggunakan nama file default.

Untuk mendapatkan CSR dan sertifikat HSM (AWS CLI)
  • Pada prompt perintah, jalankan perintah describe-clusters empat kali, mengekstraksi CSR dan sertifikat yang berbeda setiap kalinya dan menyimpannya ke file.

    1. Keluarkan perintah berikut untuk mengekstraksi CSR klaster. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ > <cluster ID>_ClusterCsr.csr
    2. Keluarkan perintah berikut untuk mengekstraksi sertifikat HSM. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \ --output text \ --query 'Clusters[].Certificates.HsmCertificate' \ > <cluster ID>_HsmCertificate.crt
    3. Keluarkan perintah berikut untuk mengekstrak sertifikat AWS perangkat keras. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \ --output text \ --query 'Clusters[].Certificates.AwsHardwareCertificate' \ > <cluster ID>_AwsHardwareCertificate.crt
    4. Keluarkan perintah berikut untuk mengekstrak sertifikat perangkat keras produsen. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \ --output text \ --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \ > <cluster ID>_ManufacturerHardwareCertificate.crt
Untuk mendapatkan sertifikat CSR dan HSM (API)AWS CloudHSM
  • Kirim permintaan DescribeClusters, lalu ekstrak dan simpan CSR dan sertifikat dari respons.

Dapatkan sertifikat root

Ikuti langkah-langkah ini untuk mendapatkan sertifikat root untuk AWS CloudHSM dan pabrikan. Simpan berkas sertifikat root ke direktori yang berisi file CSR dan sertifikat HSM.

Untuk mendapatkan sertifikat root AWS CloudHSM dan produsen
  1. Unduh sertifikat AWS CloudHSM root: AWS_CloudHSM_Root-G1.zip

  2. Unduh sertifikat root pabrikan yang tepat untuk jenis HSM Anda:

    catatan

    Untuk mengunduh setiap sertifikat dari halaman arahnya, gunakan tautan berikut:

    Anda mungkin harus mengeklik kanan Unduh Sertifikat dan kemudian pilih Simpan Tautan Sebagai... untuk menyimpan file sertifikat.

  3. Setelah Anda mengunduh file, ekstrak (unzip) konten.

Verifikasi rantai sertifikat

Pada langkah ini, Anda membangun dua rantai sertifikat, satu ke sertifikat AWS CloudHSM root dan satu ke sertifikat root pabrikan. Kemudian, gunakan OpenSSL untuk memverifikasi sertifikat HSM dengan setiap rantai sertifikat.

Untuk membuat rantai sertifikat, buka shell Linux. Anda membutuhkan OpenSSL, yang tersedia di sebagian besar shell Linux, dan Anda memerlukan sertifikat root dan file sertifikat HSM yang Anda unduh. Namun, Anda tidak perlu AWS CLI untuk langkah ini, dan shell tidak perlu dikaitkan dengan AWS akun Anda.

Untuk memverifikasi sertifikat HSM dengan sertifikat AWS CloudHSM root
  1. Navigasi ke direktori tempat Anda menyimpan Sertifikat root dan file sertifikat HSM yang Anda unduh. Perintah berikut menganggap bahwa semua sertifikat dalam direktori saat ini dan menggunakan nama file default.

    Gunakan perintah berikut untuk membuat rantai sertifikat yang mencakup sertifikat AWS perangkat keras dan sertifikat AWS CloudHSM root, dalam urutan itu. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.

    $ cat <cluster ID>_AwsHardwareCertificate.crt \ AWS_CloudHSM_Root-G1.crt \ > <cluster ID>_AWS_chain.crt
  2. Gunakan perintah OpenSSL berikut ini untuk memverifikasi sertifikat HSM dengan rantai sertifikat AWS . Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.

    $ openssl verify -CAfile <cluster ID>_AWS_chain.crt <cluster ID>_HsmCertificate.crt <cluster ID>_HsmCertificate.crt: OK
Untuk memverifikasi sertifikat HSM dengan sertifikat root produsen
  1. Gunakan perintah berikut untuk membuat rantai sertifikat yang mencakup sertifikat perangkat keras produsen dan sertifikat root produsen, dalam urutan itu. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.

    $ cat <cluster ID>_ManufacturerHardwareCertificate.crt \ liquid_security_certificate.crt \ > <cluster ID>_manufacturer_chain.crt
  2. Gunakan perintah OpenSSL berikut ini untuk memverifikasi sertifikat HSM dengan rantai sertifikat . Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.

    $ openssl verify -CAfile <cluster ID>_manufacturer_chain.crt <cluster ID>_HsmCertificate.crt <cluster ID>_HsmCertificate.crt: OK

Ekstrak dan bandingkan kunci publik

Gunakan OpenSSL untuk mengekstraksi dan membandingkan kunci publik dalam sertifikat HSM dan CSR klaster, untuk memastikan bahwa mereka adalah sama.

Untuk membandingkan kunci publik, gunakan shell Linux Anda. Anda memerlukan OpenSSL, yang tersedia di sebagian besar shell Linux, tetapi Anda tidak perlu untuk langkah AWS CLI ini. Shell tidak perlu dikaitkan dengan AWS akun Anda.

Untuk mengekstraksi dan membandingkan kunci publik
  1. Gunakan perintah berikut untuk mengekstraksi kunci publik dari sertifikat HSM.

    $ openssl x509 -in <cluster ID>_HsmCertificate.crt -pubkey -noout > <cluster ID>_HsmCertificate.pub
  2. Gunakan perintah berikut untuk mengekstraksi kunci publik dari klaster CSR.

    $ openssl req -in <cluster ID>_ClusterCsr.csr -pubkey -noout > <cluster ID>_ClusterCsr.pub
  3. Gunakan perintah berikut untuk membandingkan kunci publik. Jika kunci publik identik, perintah berikut tidak menghasilkan output.

    $ diff <cluster ID>_HsmCertificate.pub <cluster ID>_ClusterCsr.pub

Setelah Anda memverifikasi identitas dan keaslian HSM, lanjutkan ke Inisialisasi cluster.