AWS CloudHSM による SSL/TLS オフロードの仕組み - AWS CloudHSM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudHSM による SSL/TLS オフロードの仕組み

HTTPS 接続を確立するため、ウェブサーバーはクライアントとハンドシェークプロセスを実行します。次の図に示すように、このプロセスの一環として、サーバーはいくつかの暗号化処理を HSM にオフロードします。プロセスの各ステップについて、図の下に説明があります。

注記

次のイメージとプロセスでは、サーバーの検証とキーの交換に RSA を使用することを想定しています。このプロセスは、RSA の代わりに Diffie—Hellman が使用される場合に少し異なります。


			HSM への暗号化オフロードを含む、クライアントとサーバー間の TLS ハンドシェイクプロセスの図。
  1. クライアントはサーバーに Hello メッセージを送信します。

  2. サーバーは Hello メッセージで応答し、サーバーの証明書を送信します。

  3. クライアントは以下のアクションを実行します。

    1. SSL/TLS サーバーの証明書がクライアントの信頼するルート証明書により署名されていることを確認します。

    2. サーバーの証明書からパブリックキーを抽出します。

    3. プリマスタシークレットを生成し、サーバーのパブリックキーで暗号化します。

    4. 暗号化されたプリマスターシークレットをサーバーに送信します。

  4. クライアントのプリマスターシークレットを復号するため、サーバーはそれを HSM に送信します。HSM は、HSM のプライベートキーを使用してプリマスターシークレットを復号し、プリマスターシークレットをサーバーに送信します。クライアントとサーバーはそれぞれ独立してプリマスターシークレットおよび Hello メッセージからのいくつかの情報を使用して、マスターシークレットを計算します。

  5. ハンドシェイクプロセスは終了します。残りのセッションでは、クライアントとサーバーの間で送信されたすべてのメッセージは、マスターシークレットのデリバティブで暗号化されます。

AWS CloudHSM を使用して、SSL/TLS オフロードを設定する方法については、以下のいずれかのトピックを参照してください。