Connessione a più slot con PKCS #11 - AWS CloudHSM
Prerequisiti per slot multipliConfigura la libreria PKCS #11 per la funzionalità multislotconfigure-pkcs11 add-clusterconfigure-pkcs11 remove-cluster

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione a più slot con PKCS #11

Un singolo slot nella libreria PKCS #11 di Client SDK 5 rappresenta una singola connessione a un cluster in AWS CloudHSM. Con Client SDK 5, è possibile configurare la libreria PKCS11 per consentire a più slot di connettere gli utenti a più cluster CloudHSM da una singola applicazione PKCS #11.

Utilizza le istruzioni riportate in questo argomento per fare in modo che l'applicazione utilizzi la funzionalità multislot per connettersi a più cluster.

Prerequisiti per slot multipli

  • Due o più cluster AWS CloudHSM a cui desideri connetterti, insieme ai relativi certificati di cluster (ovvero il file CustomerCA.crt per ciascun cluster)

  • Un'istanza EC2 con i gruppi di sicurezza configurata correttamente per connettersi a tutti i cluster riportati sopra. Per ulteriori informazioni su come configurare un cluster e l'istanza del client, consulta la pagina Getting started with AWS CloudHSM.

  • Per configurare la funzionalità multislot, è necessario aver già scaricato e installato la libreria PKCS #11. Se non lo hai ancora fatto, consulta le istruzioni riportate in Installa Client SDK 5 per la libreria PKCS #11.

Configura la libreria PKCS #11 per la funzionalità multislot

Per configurare la libreria PKCS #11 per la funzionalità multislot, segui questa procedura:

  1. Individua i cluster a cui desideri connetterti utilizzando la funzionalità multislot.

  2. Aggiungi tali cluster alla configurazione PKCS #11 seguendo le istruzioni riportate in configure-pkcs11 add-cluster

  3. La prossima volta che l'applicazione PKCS #11 verrà eseguita, la funzionalità multislot sarà abilitata.

configure-pkcs11 add-cluster

Quando ti connetti a più slot con PKCS #11, utilizza il comando configure-pkcs11 add-cluster per aggiungere un cluster alla tua configurazione.

Sintassi

configure-pkcs11 add-cluster [OPTIONS]
        --cluster-id <CLUSTER ID> 
        [--region <REGION>]
        [--endpoint <ENDPOINT>]
        [--hsm-ca-cert <HSM CA CERTIFICATE FILE>]
        [--server-client-cert-file <CLIENT CERTIFICATE FILE>]
        [--server-client-key-file <CLIENT KEY FILE>]
        [-h, --help]

Esempi

Utilizza il parametro configure-pkcs11 add-cluster insieme a cluster-id per aggiungere un cluster (con l'ID del cluster-1234567) alla tua configurazione.

Linux
$ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id cluster-1234567
Windows
C:\Program Files\Amazon\CloudHSM\> .\configure-pkcs11.exe add-cluster --cluster-id cluster-1234567
Suggerimento

Se l'utilizzo del parametro configure-pkcs11 add-cluster con cluster-id non dà come risultato l'aggiunta del cluster, consulta l'esempio seguente per una versione più lunga del comando che richiede anche i parametri --region e endpoint per identificare il cluster che si sta aggiungendo. Se, ad esempio, la regione del cluster è diversa da quella configurata come impostazione predefinita per la CLI di AWS, è necessario impiegare il parametro --region per utilizzare la regione corretta. Inoltre, hai la possibilità di specificare l'endpoint API AWS CloudHSM da utilizzare per la chiamata, che potrebbe essere necessario per varie configurazioni di rete, ad esempio per endpoint di interfaccia VPC che non utilizzano il nome host DNS predefinito per. AWS CloudHSM

Utilizza configure-pkcs11 add-cluster insieme ai parametri cluster-id, endpoint e region per aggiungere un cluster (con l'ID del cluster-1234567) alla tua configurazione.

Linux

        $ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Windows

        C:\Program Files\Amazon\CloudHSM\> .\configure-pkcs11.exe add-cluster --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

Per ulteriori informazioni sui parametri --cluster-id, --region e --endpoint, vedi Parametri.

Parametri

--cluster-id <Cluster ID>

Effettua una chiamata DescribeClusters per trovare tutti gli indirizzi IP a interfaccia di rete elastica (ENI) HSM del cluster associati all'ID del cluster. Il sistema aggiunge gli indirizzi IP ENI ai file di configurazione AWS CloudHSM.

Nota

Se utilizzi il parametro --cluster-id da un'istanza EC2 all'interno di un VPC che non ha accesso alla rete Internet pubblica, devi creare un endpoint VPC di interfaccia da collegare a AWS CloudHSM. Per ulteriori informazioni sugli endpoint VPC, consulta la pagina AWS CloudHSM ed endpoint VPC.

Campo obbligatorio: sì

--endpoint <Endpoint>

Specifica l'endpoint API AWS CloudHSM utilizzato per effettuare la chiamata DescribeClusters. È necessario impostare questa opzione insieme a --cluster-id.

Campo obbligatorio: no

-- hsm-ca-cert <HsmCA/Certificate/file>

Specifica il file del certificato CA HSM

Campo obbligatorio: no

--region <Region>

Specifica la regione del cluster. È necessario impostare questa opzione insieme a --cluster-id.

Se non indichi il parametro --region, il sistema sceglie la regione tentando di leggere le variabili di ambiente AWS_DEFAULT_REGION o AWS_REGION. Se queste variabili non sono impostate, il sistema controlla la regione associata al tuo profilo indicata nel tuo file di AWS Config (generalmente ~/.aws/config) a meno che non sia stato specificato un file diverso nella variabile di ambiente AWS_CONFIG_FILE. Se non è stata impostata nessuna delle variabili precedenti, il sistema utilizza la regione us-east-1 per impostazione predefinita.

Campo obbligatorio: no

-- server-client-cert-file <Client/certificate/file>

Percorso al certificato client utilizzato per l'autenticazione reciproca client-server TLS.

Utilizza questa opzione solo se non desideri utilizzare la chiave predefinita e il certificato SSL/TLS inclusi in Client SDK 5. È necessario impostare questa opzione insieme a --server-client-key-file.

Campo obbligatorio: no

-- server-client-key-file <Client/key/file>

Percorso alla chiave del client utilizzato per l'autenticazione reciproca client-server TLS

Utilizza questa opzione solo se non desideri utilizzare la chiave predefinita e il certificato SSL/TLS inclusi in Client SDK 5. È necessario impostare questa opzione insieme a --server-client-cert-file.

Campo obbligatorio: no

configure-pkcs11 remove-cluster

Quando ti connetti a più slot con PKCS #11, utilizza il comando configure-pkcs11 remove-cluster per rimuovere un cluster dagli slot PKCS #11 disponibili.

Sintassi

configure-pkcs11 remove-cluster [OPTIONS]
        --cluster-id <CLUSTER ID>
        [-h, --help]

Esempi

Utilizza il parametro configure-pkcs11 remove-cluster insieme a cluster-id per rimuovere un cluster (con l'ID del cluster-1234567) dalla tua configurazione.

Linux

$ sudo /opt/cloudhsm/bin/configure-pkcs11 remove-cluster --cluster-id cluster-1234567
Windows

C:\Program Files\Amazon\CloudHSM\> .\configure-pkcs11.exe remove-cluster --cluster-id cluster-1234567

Per ulteriori informazioni sul parametro --cluster-id, vedi Parametri.

Parametro

--cluster-id <Cluster ID>

L'ID del cluster da rimuovere dalla configurazione

Campo obbligatorio: sì