Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esegui la migrazione del tuo Key Storage Provider (KSP) da AWS CloudHSM Client SDK 3 a Client SDK 5
Questo argomento spiega come migrare il Key Storage Provider (KSP) da AWS CloudHSM Client SDK 3 a Client SDK 5. L'ultima versione di AWS CloudHSM Client SDK è la 5.16. Per informazioni sui vantaggi della migrazione, consulta. Vantaggi di AWS CloudHSM Client SDK 5
In AWS CloudHSM, si utilizza il AWS CloudHSM Client Software Development Kit (SDK) per eseguire operazioni crittografiche. Client SDK 5 è l'SDK principale che riceve nuove funzionalità e aggiornamenti del supporto della piattaforma.
Per le istruzioni sulla migrazione per tutti i provider, consulta. Migrazione da AWS CloudHSM Client SDK 3 a Client SDK 5
Esegui la migrazione a Client SDK 5
-
Installa Client SDK 5 Key Storage Provider (KSP) sulla tua istanza di Windows Server. Per istruzioni, consultare Installa il Key Storage Provider (KSP) per AWS CloudHSM Client SDK 5.
-
Configura il tuo Client SDK 5 Key Storage Provider (KSP) utilizzando il nuovo formato di file di configurazione e lo strumento di avvio da riga di comando. Per istruzioni, consultare Esegui il bootstrap di Client SDK.
-
Key Storage Provider (KSP) per AWS CloudHSM Client SDK 5 include la modalità di SDK3 compatibilità per supportare i file di riferimento chiave generati in. SDK3 Per ulteriori informazioni, consulta SDK3 modalità di compatibilità per Key Storage Provider (KSP) per AWS CloudHSM.
Nota
È necessario abilitare la modalità di SDK3 compatibilità quando si utilizzano i file di riferimento chiave generati da Client SDK 3 con Client SDK 5.
Esegui la migrazione a nuove istanze di Windows Server
-
Completa tutti i passaggi descritti in Migrazione a Client SDK 5 sulle tue nuove istanze di Windows Server.
-
Verifica la presenza di file di riferimento chiave esistenti
Nell'istanza originale di Windows Server, verifica la presenza di file di riferimento chiave in
C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition.-
Se esistono file di riferimento chiave, copia tutti i contenuti in
C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSPGlobalPartitionIncludi nello stesso percorso di directory sulla nuova istanza di Windows Server. Crea la directory se non esiste. -
Se i file di riferimento chiave non esistono, utilizzali
cloudhsm-cli key generate-file --encoding ksp-key-referencesulla nuova istanza di Windows Server per crearli. Per istruzioni, consultare Generazione di riferimenti chiave KSP (Windows).
-
-
Verifica il certificato principale
Controlla il tuo certificato principale presso le autorità di certificazione root affidabili:
PS C:\Users\Administrator\Desktop> certutil -store Root Root "Trusted Root Certification Authorities" ================ Certificate 0 ================ Serial Number:certificate-serial-numberIssuer: CN=MYRootCA NotBefore: 2/5/2020 1:38 PM NotAfter: 2/5/2021 1:48 PM Issuer: CN=MYRootCA Signature matches Public Key Root Certificate: Subject matches Issuer Cert Hash(sha1):cert-hashNo key provider information Cannot find the certificate and private key for decryption. CertUtil: -store command completed successfully.Nota
Annota il numero di serie del certificato da utilizzare nel passaggio successivo.
-
Esporta il certificato principale
Esporta il certificato principale in un file:
certutil -store Rootcertificate-serial-numberroot-certificate-name.cer -
Verifica il certificato HSM-backend
Controlla il tuo certificato HSM-Backend nel Personal Certificate Store:
PS C:\Users\Administrator\Desktop> certutil -store My my "Personal" ================ Certificate 0 ================ Serial Number:certificate-serial-numberIssuer: CN=MYRootCA NotBefore: 2/5/2020 1:38 PM NotAfter: 2/5/2021 1:48 PM Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US Non-root Certificate Cert Hash(sha1):cert-hashKey Container =key-container-nameProvider = Cavium Key Storage Provider Private key is NOT exportable Encryption test passed CertUtil: -store command completed successfully.Nota
Annota il numero di serie del certificato da utilizzare nel passaggio successivo.
-
Esporta il certificato HSM-Backend
Esporta il certificato HSM-Backend in un file:
certutil -store Mycertificate-serial-numbersigned-certificate-name.cer -
Importa il certificato principale
Sulla tua nuova istanza di Windows:
-
Copia il file CA principale nella tua nuova istanza di Windows
-
Importa il certificato:
certutil -addstore Rootroot-certificate-name.cer
-
-
Verifica l'installazione del certificato principale
Conferma che il certificato principale sia installato correttamente:
PS C:\Users\Administrator\Desktop> certutil -store Root Root "Trusted Root Certification Authorities" ================ Certificate 0 ================ Serial Number:certificate-serial-numberIssuer: CN=MYRootCA NotBefore: 2/5/2020 1:38 PM NotAfter: 2/5/2021 1:48 PM Issuer: CN=MYRootCA Signature matches Public Key Root Certificate: Subject matches Issuer Cert Hash(sha1):cert-hashNo key provider information Cannot find the certificate and private key for decryption. CertUtil: -store command completed successfully. -
Importa il certificato HSM-backend
Sulla tua nuova istanza di Windows:
-
Copia il certificato HSM-Backend nella tua nuova istanza di Windows
-
Importa il certificato:
certutil -addstore Mysigned-certificate-name.cer
-
-
Verifica l'installazione del certificato HSM-backend
Conferma che il certificato HSM-Backend sia installato correttamente:
PS C:\Users\Administrator\Desktop> certutil -store My my "Personal" ================ Certificate 0 ================ Serial Number:certificate-serial-numberIssuer: CN=MYRootCA NotBefore: 2/5/2020 1:38 PM NotAfter: 2/5/2021 1:48 PM Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US Non-root Certificate Cert Hash(sha1):cert-hashNo key provider information Cannot find the certificate and private key for decryption. CertUtil: -store command completed successfully.Nota
Annota il numero di serie del certificato da utilizzare nei passaggi successivi.
-
Crea un file di riferimento chiave (opzionale)
Completate questo passaggio solo se dovete creare un nuovo file di riferimento chiave. Altrimenti, passa alla fase successiva.
Nota
Questa funzionalità è disponibile solo nella versione SDK 5.16.0 e successive.
-
Installa OpenSSL
ed estrai il modulo: openssl x509 -insigned-certificate-name.cer -modulus -nooutNota
Il comando OpenSSL restituisce il modulo nel formato:.
Modulus=Nota che devemodulus-valuemodulus-valueessere utilizzato nel comando successivo. -
Crea un file di riferimento chiave con la CLI di CloudHSM, vedi: Generazione di riferimenti chiave KSP (Windows)
& "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" key generate-file --encoding ksp-key-reference --filter attr.class=private-key attr.modulus=0xmodulus-valueNota
Gli
modulus-valueargomenti del comando CLI di CloudHSM devono avere il0xprefisso per indicare il formato esadecimale.I file di riferimento chiave vengono creati in.
C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition
-
-
Crea una configurazione di riparazione
Crea un file denominato
repair.txtcon i seguenti contenuti:[Properties] 11 = "" ; Add friendly name property 2 = "{text}" ; Add Key Provider Information property _continue_="Container=key-container-name&" _continue_="Provider=Cavium Key Storage Provider&" _continue_="Flags=0&" _continue_="KeySpec=2"Nota
Sostituisci
key-container-namecon il nome del file di riferimento della chiave da.C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition -
Ripara l'archivio dei certificati
Esegui il comando di riparazione:
certutil -repairstore Mycertificate-serial-numberrepair.txtNota
Il numero di serie del certificato viene ottenuto dai passaggi precedenti durante la verifica dell'installazione del certificato HSM-Backend.
-
Verifica l'associazione dei certificati
Conferma che il certificato sia associato correttamente:
PS C:\Users\Administrator\Desktop> certutil -store My my "Personal" ================ Certificate 0 ================ Serial Number:certificate-serial-numberIssuer: CN=MYRootCA NotBefore: 2/5/2020 1:38 PM NotAfter: 2/5/2021 1:48 PM Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US Non-root Certificate Cert Hash(sha1):cert-hashKey Container =key-container-nameProvider = Cavium Key Storage Provider Private key is NOT exportable ERROR: Could not verify certificate public key against private key CertUtil: -store command completed successfully.Verifica che l'output mostri:
-
Il nome corretto del contenitore delle chiavi
-
Il provider di archiviazione delle chiavi Cavium
-
ERROR: Could not verify certificate public key against private keyÈ un problema noto, vedi Problema: la verifica di un archivio di certificati non riesce
-
-
Testa la tua applicazione
Prima di completare la migrazione:
-
Testa la tua applicazione nel tuo ambiente di sviluppo
-
Aggiorna il codice per risolvere eventuali modifiche sostanziali
-
Per indicazioni specifiche sull'applicazione, consulta Integrazione di applicazioni di terze parti con AWS CloudHSM
-
Verifica la migrazione
Dopo aver completato i passaggi di migrazione, verifica che:
-
I certificati sono installati correttamente negli archivi di certificati corretti
-
I file di riferimento chiave sono presenti nella posizione corretta
-
L'applicazione può eseguire operazioni crittografiche utilizzando i certificati migrati
Risoluzione dei problemi
Se riscontri problemi durante la migrazione, verifica:
-
Tutti i certificati vengono esportati correttamente dal sistema di origine
-
I numeri di serie dei certificati corrispondono tra i sistemi
-
I nomi dei contenitori delle chiavi nel file repair.txt corrispondono ai file di riferimento delle chiavi
-
SDK3 la modalità di compatibilità è abilitata se si utilizzano SDK3 file di riferimento chiave generati
Argomenti correlati
