ステップ 1: 前提条件の設定 - AWS CloudHSM
Client SDK 5 の前提条件クライアント SDK 3 の前提条件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1: 前提条件の設定

プラットフォームごとに、異なる前提条件が必要です。以下の前提条件セクションのうち、お使いのプラットフォームに合ったものをご利用ください。

Client SDK 5 の前提条件

クライアント SDK 5でウェブサーバー SSL/TLS オフロードを設定するには、以下が必要です。

  • 少なくとも 2 つのハードウェアセキュリティモジュール(HSM)があるアクティブ AWS CloudHSM クラスターです。

    注記

    HSM クラスターは1つでも使用できますが、まずクライアントキーの耐久性を無効にする必要があります。詳細については、クライアントキーの耐久性設定の管理 そして クライアント SDK 5 設定ツール を参照してください。

  • Amazon EC2 インスタンスが Linux オペレーティングシステムを実行します。インスタンスに次のソフトウェアがインストールされていることを確認します。

    • ウェブサーバー (NGINX または Apache)

    • クライアント SDK 5 の OpenSSL 動的エンジン

  • HSM でこのウェブサーバーのプライベートキーを所有および管理する Crypto User (CU)。

Linux ウェブサーバーインスタンスをセットアップし、HSM で CU を作成するには

  1. AWS CloudHSM の OpenSSL Dynamic Engine をインストールして設定します。OpenSSL ダイナミックエンジンのインストールの詳細については、クライアント SDK 5 の OpenSSL 動的エンジン を参照してください。

  2. クラスターにアクセスできる EC2 Linux インスタンスで、NGINX または Apache ウェブサーバーをインストールします。

    Amazon Linux

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2

    • Amazon Linux 2 で最新バージョンの NGINX をダウンロードする方法については、NGINX のウェブサイト を参照してください。

      Amazon Linux 2 で入手可能な NGINX の最新バージョンは、システムバージョンの OpenSSL よりも新しいバージョンの OpenSSL を使用しています。NGINX をインストールしたら、AWS CloudHSM OpenSSL Dynamic Engine ライブラリから、このバージョンの OpenSSL が想定する場所へのシンボリックリンクを作成する必要があります 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7

    • CentOS 7 で最新バージョンの NGINX をダウンロードする方法については、NGINX のウェブサイト を参照してください。

      CentOS 7 で入手可能な NGINX の最新バージョンは、システムバージョンの OpenSSL よりも新しいバージョンの OpenSSL を使用しています。NGINX をインストールしたら、AWS CloudHSM OpenSSL Dynamic Engine ライブラリから、このバージョンの OpenSSL が想定する場所へのシンボリックリンクを作成する必要があります 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7

    • Red Hat 7 で最新バージョンの NGINX をダウンロードする方法については、NGINX のウェブサイト を参照してください。

      RedHat 7 で入手可能な NGINX の最新バージョンは、システムバージョンの OpenSSL よりも新しいバージョンの OpenSSL を使用しています。NGINX をインストールしたら、AWS CloudHSM OpenSSL Dynamic Engine ライブラリから、このバージョンの OpenSSL が想定する場所へのシンボリックリンクを作成する必要があります 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache 

      $ sudo yum install httpd mod_ssl
    CentOS 8

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 8

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 18.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 20.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 22.04

    OpenSSL Dynamic Engine はまだサポートされていません。

  3. CloudHSM CLI を使用して CU を作成します。HSM ユーザーの管理の詳細については、CloudHSM CLI を使用した HSM ユーザー管理について を参照してください。

    ヒント

    CU のユーザー名とパスワードを書き留めます。後に、ウェブサーバーの HTTPS プライベートキーや証明書を生成またはインポートするときに必要になります。

以上のステップが完了したら、「ステップ 2: プライベートキーと SSL/TLS 証明書を生成またはインポートする」に進みます。

メモ

  • セキュリティ強化 Linux (SELinux) および Web サーバーを使用するには、クライアント SDK 5 が HSM と通信するために使用するポート 2223 でアウトバウンド TCP 接続を許可する必要があります。

  • クラスターを作成してアクティブ化し、EC2 インスタンスにクラスターへのアクセス権を付与するには、AWS CloudHSM の使用開始 の手順を実行します。「はじめに」では、1 つの HSM と Amazon EC2 クライアント インスタンスを含むアクティブなクラスターを作成するための段階的な手順が説明されています。このクライアントインスタンスをウェブサーバーとして使用することができます。

  • クライアントキーの耐久性を無効化しないようにするには、クラスターに複数の HSM を追加します。詳細については、「HSM の追加」を参照してください。

  • クライアントインスタンスに接続するには、SSH または PuTTY を使用することができます。詳細については、「Amazon EC2 ドキュメント」の「SSH を使用した Linux インスタンスへの接続」または「PuTTY を使用した Windows から Linux インスタンスへの接続」を参照してください。

クライアント SDK 3 の前提条件

Client SDK 3 でウェブサーバー SSL/TLS オフロードを設定するには、以下が必要です。

  • 少なくとも 1 つの HSM があるアクティブな AWS CloudHSM クラスター。

  • Amazon EC2 インスタンスが Linux オペレーティングシステムを実行します。インスタンスに次のソフトウェアがインストールされていることです。

    • AWS CloudHSM クライアントとコマンドラインツール。

    • NGINX または Apache ウェブサーバーアプリケーション。

    • OpenSSL 用の AWS CloudHSM 動的エンジン。

  • HSM でこのウェブサーバーのプライベートキーを所有および管理する Crypto User (CU)。

Linux ウェブサーバーインスタンスをセットアップし、HSM で CU を作成するには

  1. 開始方法 のステップを完了します。1 つの HSM と Amazon EC2 クライアントインスタンスを持つアクティブなクラスターが作成されます。EC2 インスタンスは、コマンドラインツールで構成されます。このクライアントインスタンスをウェブサーバーとして使用します。

  2. クライアントインスタンスに接続します。詳細については、「Amazon EC2 ドキュメント」の「SSH を使用した Linux インスタンスへの接続」または「PuTTY を使用した Windows から Linux インスタンスへの接続」を参照してください。

  3. クラスターにアクセスできる EC2 Linux インスタンスで、NGINX または Apache ウェブサーバーをインストールします。

    Amazon Linux

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2

    • NGINX バージョン 1.19 は Amazon Linux 2 のClient SDK 3 エンジンと互換性のある NGINX の最新バージョンです。

      詳細と NGINX バージョン 1.19 のダウンロードについては、NGINX のウェブサイト を参照してください。

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7

    • NGINX バージョン 1.19 は、CentOS 7 のClient SDK 3 エンジンと互換性のある NGINX の最新バージョンです。

      詳細と NGINX バージョン 1.19 のダウンロードについては、NGINX のウェブサイト を参照してください。

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7

    • NGINX バージョン 1.19 は Red Hat 7 のClient SDK 3 エンジンと互換性のある NGINX の最新バージョンです。

      詳細と NGINX バージョン 1.19 のダウンロードについては、NGINX のウェブサイト を参照してください。

    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 16.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 18.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2

  4. (オプション) 他の HSM をクラスターに追加します。詳細については、「HSM の追加」を参照してください。

  5. cloudhsm_mgmt_util を使用して CU を作成します。詳細については、「HSM ユーザーの管理」を参照してください。CU のユーザー名とパスワードを書き留めます。後に、ウェブサーバーの HTTPS プライベートキーや証明書を生成またはインポートするときに必要になります。

以上のステップが完了したら、「ステップ 2: プライベートキーと SSL/TLS 証明書を生成またはインポートする」に進みます。