でクラスターを初期化する AWS CloudHSM - AWS CloudHSM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でクラスターを初期化する AWS CloudHSM

クラスターを作成し、 にハードウェアセキュリティモジュール (HSM) を追加すると AWS CloudHSM、クラスターを初期化できます。 クラスターを初期化するには、以下のトピックの手順を実行します。

注記

クラスターを初期化する前に、 のアイデンティティと信頼性を検証HSMsできるプロセスを確認してください。このプロセスはオプションですが、使用期間はクラスターが初期化されるまでの間に限ります。クラスターが初期化された後は、このプロセスを使用して証明書を取得したり、 を検証したりすることはできませんHSMs。

ステップ 1. クラスターを取得する CSR

クラスターを初期化する前に、クラスターの最初の によって生成された証明書署名リクエスト (CSR) をダウンロードして署名する必要がありますHSM。クラスターの の ID を検証するHSMステップに従った場合、既に がありCSR、署名できます。それ以外の場合は、AWS CloudHSM コンソール AWS Command Line Interface (AWS CLI)、または CSRを使用して を取得します AWS CloudHSM API。

重要

クラスターを初期化するには、信頼アンカーが RFC5280 に準拠し、以下の要件を満たしている必要があります。

  • X509v3 エクステンションを使用する場合は、X509v3 基本制約エクステンションが必要です。

  • トラストアンカーは自己署名証明書でなければなりません。

  • エクステンションの値は互いに矛盾してはいけません。

Console
を取得するには CSR (コンソール)
  1. https://console.aws.amazon.com/cloudhsm/ホーム で AWS CloudHSM コンソールを開きます。

  2. 検証HSMする を使用して、クラスター ID の横にあるラジオボタンを選択します。

  3. アクション を選択します。ドロップダウンメニューから 初期化 を選択します。

  4. 前のステップを完了して を作成しなかった場合HSMはHSM、作成する のアベイラビリティーゾーン (AZ) を選択します。次に、作成 を選択します。

  5. の準備CSRができたら、ダウンロードするためのリンクが表示されます。

    AWS CloudHSM コンソールで証明書署名リクエストページをダウンロードします。
  6. クラスターCSRを選択して、 をダウンロードして保存しますCSR。

AWS CLI
CSR (AWS CLI) を取得するには
  • コマンドプロンプトで、次のdescribe-clustersコマンドを実行します。これにより、 が抽出CSRされ、ファイルに保存されます。置換 <cluster ID> 以前に を作成したクラスターの ID。

    $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ > <cluster ID>_ClusterCsr.csr
AWS CloudHSM API
CSR (AWS CloudHSM API) を取得するには
  1. DescribeClusters リクエスト。

  2. レスポンスCSRから を抽出して保存します。

ステップ 2. に署名する CSR

現在、自己署名署名証明書を作成し、それを使用してクラスターCSRの に署名する必要があります。このステップ AWS CLI には は必要ありません。また、シェルを AWS アカウントに関連付ける必要はありません。に署名するにはCSR、以下を実行する必要があります。

  1. 前のセクションを完了してください (「ステップ 1. クラスターを取得する CSR」を参照)。

  2. プライベートキーを作成します。

  3. プライベートキー を使用して、署名証明書を作成します。

  4. クラスター に署名しますCSR。

プライベートキーを作成する

注記

実稼働用クラスターでは、作成しようとしているキーはランダム性の信頼できるソースを使用して安全な方法で作成されている必要があります。安全なオフサイトおよびオフライン、HSMまたは同等のものを使用することをお勧めします。キーを安全に保存します。キーは、クラスターの ID とHSMs、それに含まれる に対する唯一のコントロールを確立します。

開発とテストには、任意の便利なツール (Open などSSL) を使用してクラスター証明書を作成して署名できます。以下の例では、 キーを作成する方法を示します。キーを使用して自己署名証明書 (以下を参照) を作成したら、安全な方法でキーを保存する必要があります。 AWS CloudHSM インスタンスにサインインするには、証明書が存在している必要がありますが、プライベートキーは存在しません。

次のコマンドを使用して、プライベートキーを作成します。 AWS CloudHSM クラスターを初期化するときは、2048 RSA 証明書または 4096 RSA 証明書を使用する必要があります。

$ openssl genrsa -aes256 -out customerCA.key 2048 Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) Enter pass phrase for customerCA.key: Verifying - Enter pass phrase for customerCA.key:

プライベートキーを使用して、自己署名証明書を作成します。

本稼働のクラスター用のプライベートキーの作成に使用する信頼できるハードウェアも、このキーを使用した自己署名証明書を生成するソフトウェアツールを提供していることが必要です。次の例では、前のステップで作成した OpenSSL キーとプライベートキーを使用して署名証明書を作成します。証明書の有効期間は 10 年 (3652 日) です。画面の指示を読み、プロンプトに従います。

$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt Enter pass phrase for customerCA.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []:

このコマンドは customerCA.crt という名前の証明書を作成します。この証明書は、 AWS CloudHSM クラスターに接続するすべてのホストに配置します。ファイルに別の名前を付与した場合、またはホストのルート以外のパスにファイルを保存した場合には、それぞれに応じてクライアント設定ファイルを編集する必要があります。作成した証明書とプライベートキーを使用して、次のステップでクラスター証明書署名リクエスト (CSR) に署名します。

クラスターに署名する CSR

本番稼働用クラスターのプライベートキーの作成に使用する信頼できるハードウェアには、そのキーCSRを使用して に署名するためのツールも用意されている必要があります。次の例では、OpenSSL を使用してクラスターの に署名しますCSR。この例では、プライベートキーと前のステップで作成した自己署名証明書を使用します。

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out <cluster ID>_CustomerHsmCertificate.crt Signature ok subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifer>:PARTN:<partition number>, for FIPS mode Getting CA Private Key Enter pass phrase for customerCA.key:

完了すると、このコマンドは <cluster ID>_CustomerHsmCertificate.crt という名前のファイルを作成します。クラスターを初期化する際は、これを署名済み証明書として使用します。

ステップ 3. クラスターの初期化

署名付きHSM証明書と署名付き証明書を使用してクラスターを初期化します。AWS CloudHSM コンソールAWS CLI、または を使用できます AWS CloudHSM API。

Console
クラスターを初期化するには (コンソール)
  1. https://console.aws.amazon.com/cloudhsm/ホーム で AWS CloudHSM コンソールを開きます。

  2. 検証HSMする を使用して、クラスター ID の横にあるラジオボタンを選択します。

  3. アクション を選択します。ドロップダウンメニューから 初期化 を選択します。

  4. を作成する前のステップを完了していない場合HSMはHSM、作成する のアベイラビリティーゾーン (AZ) を選択します。次に、作成 を選択します。

  5. [Download certificate signing request] ページで、[Next] を選択します。Next が利用できない場合は、まず CSRまたは証明書リンクのいずれかを選択します。次いで、[次へ] を選択します。

  6. 署名証明書署名リクエスト (CSR) ページで、次へ を選択します。

  7. [Upload the certificates] ページで、以下の作業を行います。

    1. [Cluster certificate (クラスター証明書)] の横にある [Upload file (ファイルのアップロード)] を選択します。次に、以前に署名したHSM証明書を見つけて選択します。前のセクションのステップを完了したら、<cluster ID>_CustomerHsmCertificate.crt という名前のファイルを選択します。

    2. [証明書の発行] の横にある [ファイルのアップロード] を選択します。次に、署名証明書を選択します。前のセクションのステップを完了したら、customerCA.crt という名前のファイルを選択します。

    3. [Upload and initialize] を選択します。

AWS CLI
クラスターを初期化するには (AWS CLI)
  • コマンドラインプロンプトで、initialize-cluster コマンドを実行します。以下を指定します。

    • 前に作成したクラスターの ID。

    • 以前に署名したHSM証明書。前のセクションのステップを完了すると、<cluster ID>_CustomerHsmCertificate.crt というファイル名で保存されています。

    • 署名用証明書。 前のセクションのステップを完了すると、署名証明書は「customerCA.crt」というファイル名で保存されています。

    $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \ --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \ --trust-anchor file://customerCA.crt { "State": "INITIALIZE_IN_PROGRESS", "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion." }
AWS CloudHSM API
クラスターを初期化するには (AWS CloudHSM API)
  • 以下を指定して InitializeCluster リクエストを送信します。

    • 前に作成したクラスターの ID。

    • 以前に署名したHSM証明書。

    • 署名用証明書。