翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でクラスターを初期化する AWS CloudHSM
クラスターを作成し、 にハードウェアセキュリティモジュール (HSM) を追加すると AWS CloudHSM、クラスターを初期化できます。 クラスターを初期化するには、以下のトピックの手順を実行します。
注記
クラスターを初期化する前に、 のアイデンティティと信頼性を検証HSMsできるプロセスを確認してください。このプロセスはオプションですが、使用期間はクラスターが初期化されるまでの間に限ります。クラスターが初期化された後は、このプロセスを使用して証明書を取得したり、 を検証したりすることはできませんHSMs。
ステップ 1. クラスターを取得する CSR
クラスターを初期化する前に、クラスターの最初の によって生成された証明書署名リクエスト (CSR) をダウンロードして署名する必要がありますHSM。クラスターの の ID を検証するHSMステップに従った場合、既に がありCSR、署名できます。それ以外の場合は、AWS CloudHSM コンソール
重要
クラスターを初期化するには、信頼アンカーが RFC5280
X509v3 エクステンションを使用する場合は、X509v3 基本制約エクステンションが必要です。
トラストアンカーは自己署名証明書でなければなりません。
エクステンションの値は互いに矛盾してはいけません。
ステップ 2. に署名する CSR
現在、自己署名署名証明書を作成し、それを使用してクラスターCSRの に署名する必要があります。このステップ AWS CLI には は必要ありません。また、シェルを AWS アカウントに関連付ける必要はありません。に署名するにはCSR、以下を実行する必要があります。
前のセクションを完了してください (「ステップ 1. クラスターを取得する CSR」を参照)。
プライベートキーを作成します。
プライベートキー を使用して、署名証明書を作成します。
クラスター に署名しますCSR。
プライベートキーを作成する
注記
実稼働用クラスターでは、作成しようとしているキーはランダム性の信頼できるソースを使用して安全な方法で作成されている必要があります。安全なオフサイトおよびオフライン、HSMまたは同等のものを使用することをお勧めします。キーを安全に保存します。キーは、クラスターの ID とHSMs、それに含まれる に対する唯一のコントロールを確立します。
開発とテストには、任意の便利なツール (Open などSSL) を使用してクラスター証明書を作成して署名できます。以下の例では、 キーを作成する方法を示します。キーを使用して自己署名証明書 (以下を参照) を作成したら、安全な方法でキーを保存する必要があります。 AWS CloudHSM インスタンスにサインインするには、証明書が存在している必要がありますが、プライベートキーは存在しません。
次のコマンドを使用して、プライベートキーを作成します。 AWS CloudHSM クラスターを初期化するときは、2048 RSA 証明書または 4096 RSA 証明書を使用する必要があります。
$
openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) Enter pass phrase for customerCA.key: Verifying - Enter pass phrase for customerCA.key:
プライベートキーを使用して、自己署名証明書を作成します。
本稼働のクラスター用のプライベートキーの作成に使用する信頼できるハードウェアも、このキーを使用した自己署名証明書を生成するソフトウェアツールを提供していることが必要です。次の例では、前のステップで作成した OpenSSL キーとプライベートキーを使用して署名証明書を作成します。証明書の有効期間は 10 年 (3652 日) です。画面の指示を読み、プロンプトに従います。
$
openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []:
このコマンドは customerCA.crt
という名前の証明書を作成します。この証明書は、 AWS CloudHSM クラスターに接続するすべてのホストに配置します。ファイルに別の名前を付与した場合、またはホストのルート以外のパスにファイルを保存した場合には、それぞれに応じてクライアント設定ファイルを編集する必要があります。作成した証明書とプライベートキーを使用して、次のステップでクラスター証明書署名リクエスト (CSR) に署名します。
クラスターに署名する CSR
本番稼働用クラスターのプライベートキーの作成に使用する信頼できるハードウェアには、そのキーCSRを使用して に署名するためのツールも用意されている必要があります。次の例では、OpenSSL を使用してクラスターの に署名しますCSR。この例では、プライベートキーと前のステップで作成した自己署名証明書を使用します。
$
openssl x509 -req -days 3652 -in
<cluster ID>
_ClusterCsr.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out<cluster ID>
_CustomerHsmCertificate.crtSignature ok subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:
<HSM identifer>
:PARTN:<partition number>
, for FIPS mode Getting CA Private Key Enter pass phrase for customerCA.key:
完了すると、このコマンドは
という名前のファイルを作成します。クラスターを初期化する際は、これを署名済み証明書として使用します。<cluster ID>
_CustomerHsmCertificate.crt
ステップ 3. クラスターの初期化
署名付きHSM証明書と署名付き証明書を使用してクラスターを初期化します。AWS CloudHSM コンソール