Strumento di configurazione Client SDK 3

Utilizza lo strumento di configurazione Client SDK 3 per avviare il client daemon e configurare la CloudHSM Management Utility.

Sintassi

configure -h | --help
          -a <ENI IP address>
          -m [-i <daemon_id>]
          --ssl --pkey <private key file> --cert <certificate file>
          --cmu <ENI IP address>

Esempi

Questi esempi mostrano come utilizzare lo strumento configure.

Esempio : aggiornare i dati HSM per il client AWS CloudHSM e key_mgmt_util

In questo esempio viene utilizzato il parametro -a di configure per aggiornare i dati HSM per il client AWS CloudHSM e key_mgmt_util. Per utilizzare il parametro -a, è necessario disporre dell'indirizzo IP di uno degli HSM del cluster. Usa la console o la CLI AWS per ottenere l'indirizzo IP.

Per ottenere un indirizzo IP per un HSM (console)

1. Apri la console dell'AWS CloudHSM all'indirizzo https://console.aws.amazon.com/cloudhsm/home.

2. Per modificare la regione AWS, utilizza l'apposito selettore nell’angolo in alto a destra della pagina.

3. Per aprire la pagina dei dettagli del cluster, nella tabella dei cluster, scegli l'ID del cluster.

4. Per ottenere l'indirizzo IP, nella scheda HSM, scegli uno degli indirizzi IP elencati in Indirizzo IP ENI.

Per ottenere un indirizzo IP per un HSM () AWS CLI

• Ottieni l'indirizzo IP di un HSM utilizzando il comando describe-clusters da AWS CLI. Nell'output del comando, l'indirizzo IP degli HSM sono i valori di EniIp.

  $  aws cloudhsmv2 describe-clusters
  	
  
  {
      "Clusters": [
          { ... }
              "Hsms": [
                  {
  ...
                      "EniIp": "10.0.0.9",
  ...
                  },
                  {
  ...
                      "EniIp": "10.0.1.6",
  ...
  

: aggiornare i dati HSM

1. Prima di aggiornare il parametro -a, interrompere il client AWS CloudHSM. In questo modo vengono evitati conflitti che potrebbero verificarsi mentre configure modifica il file di configurazione del client. Se il client è già stato arrestato, questo comando non ha alcun effetto, pertanto è possibile utilizzarlo in uno script.

   Amazon Linux

   $ sudo stop cloudhsm-client

   Amazon Linux 2

   $ sudo service cloudhsm-client stop

   CentOS 7

   $ sudo service cloudhsm-client stop

   CentOS 8

   $ sudo service cloudhsm-client stop

   RHEL 7

   $ sudo service cloudhsm-client stop

   RHEL 8

   $ sudo service cloudhsm-client stop

   Ubuntu 16.04 LTS

   $ sudo service cloudhsm-client stop

   Ubuntu 18.04 LTS

   $ sudo service cloudhsm-client stop

   Windows

   • Per client Windows 1.1.2+:

     C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient

   • Per client Windows 1.1.1 e versioni precedenti:

     Usa Ctrl + C nella finestra di comando in cui hai avviato il client AWS CloudHSM.

2. Questa fase impiega il parametro -a di configure per aggiungere l'indirizzo IP ENI 10.0.0.9 ai file di configurazione.

   Amazon Linux

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   Amazon Linux 2

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   CentOS 7

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   CentOS 8

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   RHEL 7

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   RHEL 8

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   Ubuntu 16.04 LTS

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   Ubuntu 18.04 LTS

   $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9

   Windows

   C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -a 10.0.0.9

3. Quindi, riavvia il client AWS CloudHSM. Quando viene avviato, il client utilizza l'indirizzo IP ENI nel proprio file di configurazione per eseguire query sul cluster. Quindi scrive gli indirizzi IP ENI di tutti i moduli HSM nel cluster sul file cluster.info.

   Amazon Linux

   $ sudo start cloudhsm-client

   Amazon Linux 2

   $ sudo service cloudhsm-client start

   CentOS 7

   $ sudo service cloudhsm-client start

   CentOS 8

   $ sudo service cloudhsm-client start

   RHEL 7

   $ sudo service cloudhsm-client start

   RHEL 8

   $ sudo service cloudhsm-client start

   Ubuntu 16.04 LTS

   $ sudo service cloudhsm-client start

   Ubuntu 18.04 LTS

   $ sudo service cloudhsm-client start

   Windows

   • Per client Windows 1.1.2+:

     C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

   • Per client Windows 1.1.1 e versioni precedenti:

     C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

   Quando il comando viene completato, i dati HSM che il client AWS CloudHSM e key_mgmt_util utilizzano risultano completi e accurati.

Esempio : Aggiorna i dati HSM per CMU dal client SDK 3.2.1 e versioni precedenti

Questo esempio usa il comando -m configure per copiare i dati HSM aggiornati dal file cluster.info al file cloudhsm_mgmt_util.cfg utilizzato da cloudhsm_mgmt_util. Utilizzalo con CMU fornito con Client SDK 3.2.1 e versioni precedenti.

• Prima di eseguire -m, arresta il client AWS CloudHSM, esegui il comando -a, quindi riavvia il client AWS CloudHSM, come mostrato nel precedente esempio. In questo modo, i dati copiati nel file cloudhsm_mgmt_util.cfg dal file cluster.info saranno completi e accurati.

  Linux

  $ sudo /opt/cloudhsm/bin/configure -m

  Windows

  C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -m

Esempio : aggiorna i dati HSM per CMU dal client SDK 3.3.0 e versioni successive

In questo esempio viene utilizzato il parametro --cmu di configure per aggiornare i dati HSM per CMU. Utilizzalo con CMU fornito con Client SDK 3.3.0 e versioni successive. Per ulteriori informazioni sull'utilizzo della CMU, vedi Usare CloudHSM Management Utility (CMU) per gestire gli utenti e Usare CMU con Client SDK 3.2.1 e versioni precedenti.

• Utilizza il --cmu parametro per passare l'indirizzo IP di un HSM nel cluster.

  Linux

  $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>

  Windows

  C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

Parametri

-h | --aiuto

Visualizza la sintassi del comando.

Campo obbligatorio: sì

-a <indirizzo IP ENI>

Aggiunge l'indirizzo IP dell'interfaccia di rete elastica (ENI) HSM specificata ai file di configurazione AWS CloudHSM. Inserisci l'indirizzo IP ENI di uno qualsiasi dei moduli HSM nel cluster. Non importa quale selezioni.

Per ottenere gli indirizzi IP ENI degli HSM nel cluster, utilizzare l'DescribeClustersoperazione, il AWS CLI comando describe-clusters o il cmdlet Get-HSM2Cluster. PowerShell

Nota

Prima di eseguire il comando -a configure, arresta il client AWS CloudHSM. Quindi, al completamento del comando -a, riavvia il client AWS CloudHSM. Per ulteriori informazioni, vedi gli esempi.

Questo parametro modifica i seguenti file di configurazione:

• /opt/cloudhsm/etc/cloudhsm_client.cfg: utilizzato dal client AWS CloudHSM e da key_mgmt_util.

• /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg: utilizzato da cloudhsm_mgmt_util.

Quando viene avviato, il client AWS CloudHSM utilizza l'indirizzo IP ENI nel relativo file di configurazione per eseguire query sul cluster e aggiornare il file cluster.info (/opt/cloudhsm/daemon/1/cluster.info) con gli indirizzi IP ENI corretti per tutti i moduli HSM nel cluster.

Campo obbligatorio: sì

-m

Aggiorna gli indirizzi IP ENI HSM nel file di configurazione utilizzato da CMU.

Nota

Il parametro -m è destinato all'uso con CMU di Client SDK 3.2.1 e versioni precedenti. Per CMU dal Client SDK 3.3.0 e versioni successive, vedi parametro --cmu, che semplifica il processo di aggiornamento dei dati HSM per CMU.

Quando viene aggiornato il parametro -a di configure e avviato il client AWS CloudHSM, il client daemon esegue query sul cluster e aggiorna i file cluster.info con gli indirizzi IP HSM corretti per tutti i moduli HSM nel cluster. Eseguendo il comando -m configure, l'aggiornamento viene completato copiando gli indirizzi IP HSM da cluster.info al file di configurazione cloudhsm_mgmt_util.cfg utilizzato da cloudhsm_mgmt_util uses.

Assicurati di eseguire il comando -a configure e di riavviare il client AWS CloudHSM prima dell'esecuzione del comando -m. In questo modo, i dati copiati nel file cloudhsm_mgmt_util.cfg dal file cluster.info saranno completi e accurati.

Campo obbligatorio: sì

-i

Specifica un client daemon alternativo. Il valore predefinito rappresenta il client AWS CloudHSM.

Impostazione predefinita: 1

Campo obbligatorio: no

--ssl

Sostituisce la chiave e il certificato SSL del cluster con la chiave privata e il certificato specificati. Quando utilizzi questo parametro, i parametri --pkey e --cert sono obbligatori.

Campo obbligatorio: no

--pkey

Specifica la nuova chiave privata. Inserisci il percorso e il nome del file contenente la chiave privata.

Campo obbligatorio: sì se -ssl è specificato. Altrimenti non deve essere utilizzato.

--certificato

Specifica il nuovo certificato. Inserisci il percorso e il nome del file contenente il certificato. Il certificato deve essere collegato al certificato customerCA.crt, ossia il certificato autofirmato utilizzato per inizializzare il cluster. Per ulteriori informazioni, vedi Inizializzazione del cluster.

Campo obbligatorio: sì se -ssl è specificato. Altrimenti non deve essere utilizzato.

-a <indirizzo IP ENI>

Combina i parametri -a e -m in un unico parametro. Aggiunge l'indirizzo IP dell'interfaccia di rete elastica (ENI) HSM specificata ai file di configurazione AWS CloudHSM. Immettere un indirizzo IP da un qualsiasi modulo HSM del cluster. Per Client SDK 3.2.1 e versioni precedenti, vedi Utilizzo di CMU con Client SDK 3.2.1 e versioni precedenti.

Campo obbligatorio: sì

Argomenti correlati

• Configurazione di key_mgmt_util