Ottenere la CSR del cluster Firma la CSR Inizializzazione del cluster

Inizializzazione del cluster

Completa le fasi descritte negli argomenti seguenti per inizializzare il cluster AWS CloudHSM.

Nota

Prima di inizializzare il cluster, rivedi la procedura di verifica dell'identità e dell'autenticità dei moduli HSM. Questa procedura è facoltativa e puoi seguirla solo finché non inizializzi il cluster. In seguito all'inizializzazione del cluster, non potrai utilizzare questa procedura per ottenere i certificati o verificare i moduli HSM.

Ottenere la CSR del cluster

Prima di inizializzare il cluster, occorre scaricare e firmare una richiesta di firma del certificato (CSR) generata dal primo HSM del cluster. Se hai seguito le fasi per verificare l'identità dell'HSM del cluster, disponi già della CSR e puoi quindi firmarla. In caso contrario, puoi scaricare subito la CSR tramite la console AWS CloudHSM, AWS Command Line Interface (AWS CLI) o l'API AWS CloudHSM.

Importante

Per inizializzare il cluster, l'ancora di fiducia deve essere conforme alla RFC 5280 e soddisfare i seguenti requisiti:

Se si utilizzano estensioni X509v3, deve essere presente l'estensione X509v3 Basic Constraints.
L'ancora di fiducia deve essere un certificato autofirmato.
I valori delle estensioni non devono essere in conflitto tra loro.

Per ottenere la CSR (console)

Apri la console AWS CloudHSM all'indirizzo https://console.aws.amazon.com/cloudhsm/home.
Seleziona il pulsante di opzione accanto all'ID del cluster con l'HSM che desideri verificare.
Seleziona Azioni. Dal menu a tendina, scegli Inizializza.
Se non hai completato il passaggio precedente per creare un HSM, scegli una zona di disponibilità (AZ) per l'HSM che stai creando. Quindi seleziona Crea.
Quando la CSR è pronta, verrà visualizzato un collegamento per scaricarla.
Sceglie CSR del cluster per scaricare e salvare la CSR.

Per ottenere la CSR (AWS CLI)

Al prompt dei comandi, esegui il seguente comando describe-clusters, che estrae la CSR e la salva in un file. Sostituire l'<ID del cluster> con l'ID del cluster che hai creato in precedenza.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr

Per ottenere la CSR (API AWS CloudHSM)

Inviare una richiesta DescribeClusters.
Estrai e salva la CSR dalla risposta.

Firma la CSR

Al momento, per firmare la CSR per il cluster, devi creare un certificato di firma autofirmato e utilizzarlo. Per questa fase non serve la AWS CLI e non occorre associare la shell all'account AWS. Per firmare la CSR, completa le attività seguenti:

Completa la sezione precedente (vediOttenere la CSR del cluster).
Crea una chiave privata.
Utilizza la chiave privata per creare un certificato di firma.
Firma la CSR del cluster.

Crea una chiave privata

Nota

Per i cluster di produzione, la chiave deve essere creata in modo sicuro tramite una fonte attendibile di casualità. Ti consigliamo di utilizzare un HSM offline e fuori sede protetto o un equivalente. Archivia la chiave in modo sicuro. La chiave stabilisce l'identità del cluster e il controllo esclusivo dell'utente sui moduli HSM in esso contenuti.

Durante le fasi di sviluppo e di testing, puoi utilizzare qualsiasi strumento adatto (come OpenSSL) per creare e firmare il certificato del cluster. Nell'esempio seguente viene illustrato come creare una chiave. Dopo aver creato un certificato autofirmato usando la chiave (vedi sotto), archivialo in modo sicuro. Per l'accesso all'istanza AWS CloudHSM, deve essere presente il certificato, ma non la chiave privata.

Utilizza il comando seguente per creare una chiave privata. Quando si inizializza un cluster AWS CloudHSM, è necessario utilizzare il certificato RSA 2048 o il certificato RSA 4096.


$ openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerCA.key:
Verifying - Enter pass phrase for customerCA.key:

Utilizza la chiave privata per creare un certificato autofirmato

L'hardware attendibile che usi per creare la chiave privata per il cluster di produzione deve fornire inoltre uno strumento software per la generazione di un certificato autofirmato tramite tale chiave. Nell'esempio seguente vengono utilizzati OpenSSL e la chiave privata creata nella fase precedente per creare un certificato di firma. Il certificato è valido per 10 anni (3652 giorni). Leggi le istruzioni a video e segui i prompt.


$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Questo comando crea un file di certificato denominato customerCA.crt. Inserisci questo certificato su ogni host da cui ti connetterai al cluster AWS CloudHSM. Se dai un nome diverso al file o se lo archivi in un percorso diverso dalla radice dell'host, devi modificare il file di configurazione del client di conseguenza. Utilizza il certificato e la chiave privata appena creati per firmare la richiesta di firma del certificato (CSR) del cluster nella fase successiva.

Firma della CSR del cluster

L'hardware attendibile che hai utilizzato per creare la chiave privata per il cluster di produzione deve fornire inoltre uno strumento software per la firma della CSR tramite tale chiave. Nell'esempio seguente viene utilizzato OpenSSL per la firma della CSR del cluster. Nell'esempio vengono utilizzati la chiave privata e il certificato autofirmato creati nella fase precedente.


$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
                              -CA customerCA.crt \
                              -CAkey customerCA.key \
                              -CAcreateserial \
                              -out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifer>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for customerCA.key:

Questo comando crea un file denominato <cluster ID>_CustomerHsmCertificate.crt. Utilizzalo come certificato firmato durante l'inizializzazione del cluster.

Inizializzazione del cluster

Utilizza il certificato firmato dell'HSM e il certificato di firma per inizializzare il cluster. Puoi utilizzare la console AWS CloudHSM, AWS CLI o l'API AWS CloudHSM.

Per inizializzare un cluster (console)

Apri la console AWS CloudHSM all'indirizzo https://console.aws.amazon.com/cloudhsm/home.
Seleziona il pulsante di opzione accanto all'ID del cluster con l'HSM che desideri verificare.
Seleziona Azioni. Dal menu a tendina, scegli Inizializza.
Se non hai completato il passaggio precedente per creare un HSM, scegli una zona di disponibilità (AZ) per l'HSM che stai creando. Quindi seleziona Crea.
Nella pagina Scarica richiesta di firma del certificato, scegli Successivo. Se l'opzione Successivo non è disponibile, scegli innanzitutto uno dei collegamenti alla CSR o al certificato. Quindi scegli Successivo.
Nella pagina Firma richiesta di firma del certificato (CSR), scegli Successivo.
Nella pagina Carica certificati, procedi come segue:
1. Accanto a Certificato cluster, scegli Carica file. Quindi, individua e seleziona il certificato dell'HSM firmato in precedenza. Se sono state effettuate le fasi riportate nella sezione precedente, selezionare il file denominato <cluster ID>_CustomerHsmCertificate.crt.
2. Accanto a Certificazione, scegli Carica file. Quindi, seleziona il certificato di firma. Se sono state effettuate le fasi riportate nella sezione precedente, seleziona il file denominato customerCA.crt.
3. Scegli Carica e inizializza.

Per inizializzare un cluster (AWS CLI)

Al prompt dei comandi, esegui il comando initialize-cluster. Specifica quanto segue:
- L'ID del cluster creato in precedenza.
- Il certificato dell'HSM che hai firmato in precedenza. Se sono state effettuate le fasi riportate nella sezione precedente, quest'ultimo è salvato in un file denominato <cluster ID>_CustomerHsmCertificate.crt.
- Il certificato di firma. Se sono state effettuate le fasi riportate nella sezione precedente, il certificato di firma è salvato in un file denominato customerCA.crt.
```
$ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                    --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                    --trust-anchor file://customerCA.crt
{
    "State": "INITIALIZE_IN_PROGRESS",
    "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
}
```

Per inizializzare un cluster (API AWS CloudHSM)

Invia una richiesta InitializeCluster con quanto segue:
- L'ID del cluster creato in precedenza.
- Il certificato dell'HSM che hai firmato in precedenza.
- Il certificato di firma.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Verifica dell'identità dell'HSM (facoltativo)

Installazione della CLI di CloudHSM