Penyedia PKCS #11 - AWS IoT Greengrass

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penyedia PKCS #11

Komponen penyedia PKCS #11 (aws.greengrass.crypto.Pkcs11Provider) memungkinkan Anda untuk mengkonfigurasiAWS IoT GreengrassPerangkat lunak inti untuk menggunakan modul keamanan perangkat keras (HSM) melaluiAntarmuka PKCS #11. Komponen ini memungkinkan Anda menyimpan sertifikat dan file kunci pribadi dengan aman sehingga tidak terpapar atau digandakan dalam perangkat lunak. Untuk informasi selengkapnya, lihat Integrasi keamanan perangkat keras.

Untuk menyediakan perangkat inti Greengrass yang menyimpan sertifikat dan kunci privat di HSM, Anda harus menentukan komponen ini sebagai plugin penyediaan saat Anda menginstalAWS IoT GreengrassPerangkat lunak inti. Untuk informasi selengkapnya, lihat Instal perangkat lunak inti AWS IoT Greengrass dengan penyediaan sumber daya manual.

AWS IoT Greengrassmenyediakan komponen ini sebagai file JAR yang dapat Anda download untuk menentukan sebagai plugin provisioning selama instalasi. Anda dapat mengunduh versi terbaru file JAR komponen sebagai URL berikut:https://d2s8p88vqu9w66.cloudfront.net/releases/Pkcs11Provider/aws.greengrass.crypto.Pkcs11Provider-latest.jar.

Versi

Komponen ini memiliki versi berikut:

  • 2.0.x

Tipe

Komponen ini adalah komponen plugin (aws.greengrass.plugin). Inti Greengrass menjalankan komponen plugin dalam Java Virtual Machine (JVM) yang sama sebagai inti. Nucleus dimulai ulang saat Anda mengubah versi komponen ini di perangkat inti.

Komponen plugin menggunakan file log yang sama seperti inti Greengrass. Untuk informasi selengkapnya, lihat PemantauanAWS IoT Greengrasslog.

Untuk informasi selengkapnya, lihat Jenis komponen.

Sistem operasi

Komponen ini dapat diinstal pada perangkat inti Linux saja.

Persyaratan

Komponen ini memiliki persyaratan sebagai berikut:

  • Modul keamanan perangkat keras yang mendukungPKCS #1 v1.5skema tanda tangan dan kunci RSA dengan ukuran kunci RSA-2048 (atau lebih besar) atau kunci ECC.

    catatan

    Untuk menggunakan modul keamanan perangkat keras dengan kunci ECC, Anda harus menggunakanInti Greengrassv2.5.6 atau yang lebih baru.

    Untuk menggunakan modul keamanan perangkat keras danSecrets Manager, Anda harus menggunakan modul keamanan perangkat keras dengan kunci RSA.

  • Pustaka penyedia PKCS #11 yangAWS IoT GreengrassPerangkat lunak inti dapat dimuat saat runtime (menggunakan libdl) untuk memanggil fungsi PKCS #11. Pustaka penyedia PKCS #11 harus menerapkan operasi API PKCS #11 berikut:

    • C_Initialize

    • C_Finalize

    • C_GetSlotList

    • C_GetSlotInfo

    • C_GetTokenInfo

    • C_OpenSession

    • C_GetSessionInfo

    • C_CloseSession

    • C_Login

    • C_Logout

    • C_GetAttributeValue

    • C_FindObjectsInit

    • C_FindObjects

    • C_FindObjectsFinal

    • C_DecryptInit

    • C_Decrypt

    • C_DecryptUpdate

    • C_DecryptFinal

    • C_SignInit

    • C_Sign

    • C_SignUpdate

    • C_SignFinal

    • C_GetMechanismList

    • C_GetMechanismInfo

    • C_GetInfo

    • C_GetFunctionList

  • Modul perangkat keras harus dapat diatasi dengan label slot, sebagaimana ditentukan di dalam spesifikasi PKCS#11.

  • Anda harus menyimpan kunci pribadi dan sertifikat di HSM di slot yang sama, dan mereka harus menggunakan label objek dan ID objek yang sama, jika HSM mendukung ID objek.

  • Sertifikat dan kunci privat harus dapat diatasi dengan label objek.

  • Kunci privat harus memiliki izin berikut:

    • sign

    • decrypt

  • (Opsional) Untuk menggunakanKomponen Manager Secrets, Anda harus menggunakan versi 2.1.0 atau yang lebih baru, dan kunci pribadi harus memiliki izin berikut:

    • unwrap

    • wrap

Dependensi

Saat Anda men-deploy komponen, AWS IoT Greengrass juga men-deploy versi dependensinya yang kompatibel. Ini berarti bahwa Anda harus memenuhi persyaratan untuk komponen dan semua dependensinya untuk berhasil men-deploy komponen. Bagian ini berisi daftar dependensi untuk versi yang dirilis dari komponen ini dan kendala versi semantik yang menentukan versi komponen untuk setiap dependensi. Anda juga dapat melihat dependensi untuk setiap versi komponen di konsol AWS IoT Greengrass tersebut. Pada halaman detail komponen, cari daftar Dependensi.

2.0.2

Tabel berikut mencantumkan dependensi untuk versi 2.0.2 komponen ini.

Dependensi Versi yang kompatibel Jenis dependensi
Inti Greengrass >=2.5.3 <2.8.0 Lunak
2.0.1

Tabel berikut mencantumkan dependensi untuk versi 2.0.1 komponen ini.

Dependensi Versi yang kompatibel Jenis dependensi
Inti Greengrass > = 2.5.3 <2.7.0 Lunak
2.0.0

Tabel berikut mencantumkan dependensi untuk versi 2.0.0 komponen ini.

Dependensi Versi yang kompatibel Jenis dependensi
Inti Greengrass >=2.5.3 <2.6.0 Lunak

Untuk informasi selengkapnya tentang dependensi komponen, lihat referensi resep komponen.

Konfigurasi

Komponen ini menyediakan parameter konfigurasi berikut yang dapat Anda sesuaikan ketika Anda men-deploy komponen.

name

Nama untuk konfigurasi PKCS #11.

library

Jalur file absolut ke perpustakaan implementasi PKCS #11AWS IoT GreengrassPerangkat lunak inti dapat memuat dengan libdl.

slot

ID slot yang berisi kunci pribadi dan sertifikat perangkat. Nilai ini berbeda dari indeks slot atau label slot.

userPin

PIN pengguna yang digunakan untuk mengakses slot.

contoh Contoh: Pembaruan gabungan konfigurasi

{ "name": "softhsm_pkcs11", "library": "/usr/lib/softhsm/libsofthsm2.so", "slot": 1, "userPin": "1234" }

File log lokal

Komponen menggunakan file log yang sama sepertiInti Greengrasskomponen.

Linux
/greengrass/v2/logs/greengrass.log
Windows
C:\greengrass\v2\logs\greengrass.log

Untuk melihat log komponen ini

  • Jalankan perintah berikut pada perangkat inti untuk melihat file log komponen ini secara real time. Ganti/greengrass/v2atauC:\greengrass\v2dengan jalur keAWS IoT Greengrassfolder akar.

    Linux
    sudo tail -f /greengrass/v2/logs/greengrass.log
    Windows (PowerShell)
    Get-Content C:\greengrass\v2\logs\greengrass.log -Tail 10 -Wait

Changelog

Tabel berikut menjelaskan perubahan dalam setiap versi komponen.

Versi

Perubahan

2.0.2

Versi yang diperbarui untuk rilis inti Greengrass versi 2.7.0.

2.0.1

Versi yang diperbarui untuk rilis inti Greengrass versi 2.6.0.

2.0.0

Versi awal.