Gambaran Umum Dapatkan sertifikat dari HSM Dapatkan sertifikat root Verifikasi rantai sertifikat Ekstrak dan bandingkan kunci publik

Verifikasi identitas dan keaslian HSM klaster Anda (opsional)

Untuk menginisialisasi klaster Anda, Anda menandatangani permintaan penandatanganan sertifikat (CSR) yang dihasilkan oleh HSM klaster pertama. Sebelum Anda melakukan ini, Anda mungkin perlu memverifikasi identitas dan keaslian HSM.

catatan

Proses ini opsional. Namun, ini bekerja hanya sampai sebuah klaster diinisialisasi. Setelah klaster diinisialisasi, Anda tidak dapat menggunakan proses ini untuk mendapatkan sertifikat atau memverifikasi HSM.

Gambaran Umum

Untuk memverifikasi identitas HSM klaster Anda, selesaikan langkah-langkah berikut:

Dapatkan sertifikat dan CSR — Pada langkah ini, Anda mendapatkan tiga sertifikat dan CSR dari HSM. Anda juga mendapatkan dua sertifikat root, satu dari AWS CloudHSM dan satu dari produsen perangkat keras HSM.
Verifikasi rantai sertifikat — Pada langkah ini, Anda membuat dua rantai sertifikat, satu ke sertifikat AWS CloudHSM root dan satu ke sertifikat root pabrikan. Kemudian Anda memverifikasi sertifikat HSM dengan rantai sertifikat ini untuk menentukan itu AWS CloudHSM dan produsen perangkat keras membuktikan identitas dan keaslian HSM.
Bandingkan kunci publik — Pada langkah ini, Anda mengekstraksi dan membandingkan kunci publik dalam sertifikat HSM dan klaster CSR, untuk memastikan bahwa mereka adalah sama. Hal ini akan memberi Anda keyakinan bahwa CSR dihasilkan oleh HSM yang autentik, tepercaya .

Diagram berikut menunjukkan CSR, sertifikat, dan hubungan mereka satu sama lain. Daftar berikutnya mendefinisikan setiap sertifikat.

AWS Sertifikat Root: Ini AWS CloudHSM adalah sertifikat root.
Sertifikat Root Produsen: Ini adalah sertifikat root pabrik perangkat keras.
AWS Sertifikat Perangkat Keras: AWS CloudHSM membuat sertifikat ini ketika perangkat keras HSM ditambahkan ke armada. Sertifikat ini menegaskan bahwa AWS CloudHSM memiliki perangkat keras.
Sertifikat Perangkat Keras Produsen: Produsen perangkat keras HSM membuat sertifikat ini ketika memproduksi perangkat keras HSM. Sertifikat ini menegaskan bahwa produsen membuat perangkat keras.
Sertifikat HSM: Sertifikat HSM dihasilkan oleh perangkat keras divalidasi FIPS ketika Anda membuat HSM pertama di klaster. Sertifikat ini menegaskan bahwa perangkat keras HSM membuat HSM.
CSR Klaster: HSM pertama membuat CSR klaster. Saat Anda tandatangani CSR klaster, Anda mengklaim klaster. Kemudian, Anda dapat menggunakan CSR yang ditandatangani untuk menginisialisasi klaster.

Dapatkan sertifikat dari HSM

Untuk memverifikasi identitas dan keaslian HSM Anda, mulailah dengan mendapatkan CSR dan lima sertifikat. Anda mendapatkan tiga sertifikat dari HSM, yang dapat Anda lakukan dengan AWS CloudHSM konsol, AWS Command Line Interface (CLI), atau AWS CloudHSM API.

Untuk mendapatkan CSR dan sertifikat HSM (konsol)

Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/home.
Pilih tombol radio di sebelah ID cluster dengan HSM yang ingin Anda verifikasi.
Pilih Tindakan. Dari menu tarik-turun, pilih Inisialisasi.
Jika Anda tidak menyelesaikan langkah sebelumnya untuk membuat HSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih Buat.
Saat sertifikat dan CSR siap, Anda akan melihat tautan untuk mengunduhnya.
Pilih setiap tautan untuk mengunduh dan menyimpan CSR dan sertifikat. Untuk menyederhanakan langkah-langkah berikutnya, simpan semua file ke direktori yang sama dan menggunakan nama file default.

Untuk mendapatkan sertifikat CSR dan HSM (CLI)

Pada prompt perintah, jalankan perintah describe-clusters empat kali, mengekstraksi CSR dan sertifikat yang berbeda setiap kalinya dan menyimpannya ke file.

Keluarkan perintah berikut untuk mengekstraksi CSR klaster. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr

Keluarkan perintah berikut untuk mengekstraksi sertifikat HSM. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.HsmCertificate' \
                                   > <cluster ID>_HsmCertificate.crt

Keluarkan perintah berikut untuk mengekstrak sertifikat AWS perangkat keras. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.AwsHardwareCertificate' \
                                   > <cluster ID>_AwsHardwareCertificate.crt

Keluarkan perintah berikut untuk mengekstrak sertifikat perangkat keras produsen. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \
                                   > <cluster ID>_ManufacturerHardwareCertificate.crt

Untuk mendapatkan sertifikat CSR dan HSM (API)AWS CloudHSM

Kirim permintaan DescribeClusters, lalu ekstrak dan simpan CSR dan sertifikat dari respons.

Dapatkan sertifikat root

Ikuti langkah-langkah ini untuk mendapatkan sertifikat root untuk AWS CloudHSM dan pabrikan. Simpan berkas sertifikat root ke direktori yang berisi file CSR dan sertifikat HSM.

Untuk mendapatkan sertifikat root AWS CloudHSM dan produsen

Unduh sertifikat AWS CloudHSM root: AWS_CloudHSM_Root-G1.zip
Unduh sertifikat root produsen: liquid_security_certificate.zip

Untuk mengunduh sertifikat dari halaman arahan, https://www.marvell.com/products/security-solutions/ liquid-security-hsm-adapters -and-appliances/liquidsecurity-certificate.html, lalu pilih Unduh Sertifikat.

Anda mungkin harus mengeklik kanan Unduh Sertifikat dan kemudian pilih Simpan Tautan Sebagai... untuk menyimpan file sertifikat.
Setelah Anda mengunduh file, ekstrak (unzip) konten.

Verifikasi rantai sertifikat

Pada langkah ini, Anda membangun dua rantai sertifikat, satu ke sertifikat AWS CloudHSM root dan satu ke sertifikat root pabrikan. Kemudian, gunakan OpenSSL untuk memverifikasi sertifikat HSM dengan setiap rantai sertifikat.

Untuk membuat rantai sertifikat, buka shell Linux. Anda membutuhkan OpenSSL, yang tersedia di sebagian besar shell Linux, dan Anda memerlukan sertifikat root dan file sertifikat HSM yang Anda unduh. Namun, Anda tidak memerlukan CLI untuk langkah ini, dan shell tidak perlu dikaitkan dengan akun Anda AWS .

Untuk memverifikasi sertifikat HSM dengan sertifikat AWS CloudHSM root

Navigasi ke direktori tempat Anda menyimpan Sertifikat root dan file sertifikat HSM yang Anda unduh. Perintah berikut menganggap bahwa semua sertifikat dalam direktori saat ini dan menggunakan nama file default.

Gunakan perintah berikut untuk membuat rantai sertifikat yang mencakup sertifikat AWS perangkat keras dan sertifikat AWS CloudHSM root, dalam urutan itu. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.
```
$ cat <cluster ID>_AwsHardwareCertificate.crt \
      AWS_CloudHSM_Root-G1.crt \
      > <cluster ID>_AWS_chain.crt
```
Gunakan perintah OpenSSL berikut ini untuk memverifikasi sertifikat HSM dengan rantai sertifikat AWS . Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.
```
$ openssl verify -CAfile <cluster ID>_AWS_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK
```

Untuk memverifikasi sertifikat HSM dengan sertifikat root produsen

Gunakan perintah berikut untuk membuat rantai sertifikat yang mencakup sertifikat perangkat keras produsen dan sertifikat root produsen, dalam urutan itu. Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.
```
$ cat <cluster ID>_ManufacturerHardwareCertificate.crt \
      liquid_security_certificate.crt \
      > <cluster ID>_manufacturer_chain.crt
```
Gunakan perintah OpenSSL berikut ini untuk memverifikasi sertifikat HSM dengan rantai sertifikat . Ganti <ID klaster> dengan ID klaster yang telah Anda buat sebelumnya.
```
$ openssl verify -CAfile <cluster ID>_manufacturer_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK
```

Ekstrak dan bandingkan kunci publik

Gunakan OpenSSL untuk mengekstraksi dan membandingkan kunci publik dalam sertifikat HSM dan CSR klaster, untuk memastikan bahwa mereka adalah sama.

Untuk membandingkan kunci publik, gunakan shell Linux Anda. Anda memerlukan OpenSSL, yang tersedia di sebagian besar shell Linux, tetapi Anda tidak memerlukan CLI untuk langkah ini. Shell tidak perlu dikaitkan dengan AWS akun Anda.

Untuk mengekstraksi dan membandingkan kunci publik

Gunakan perintah berikut untuk mengekstraksi kunci publik dari sertifikat HSM.


$ openssl x509 -in <cluster ID>_HsmCertificate.crt -pubkey -noout > <cluster ID>_HsmCertificate.pub

Gunakan perintah berikut untuk mengekstraksi kunci publik dari klaster CSR.


$ openssl req -in <cluster ID>_ClusterCsr.csr -pubkey -noout > <cluster ID>_ClusterCsr.pub

Gunakan perintah berikut untuk membandingkan kunci publik. Jika kunci publik identik, perintah berikut tidak menghasilkan output.
```
$ diff <cluster ID>_HsmCertificate.pub <cluster ID>_ClusterCsr.pub
```

Setelah Anda memverifikasi identitas dan keaslian HSM, lanjutkan ke Inisialisasi cluster.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Buat HSM

Inisialisasi cluster