ステップ 1: 前提条件の設定

Linux で SSL/TLS オフロード AWS CloudHSM に で Tomcat ウェブサーバーを使用するには、次の前提条件に従います。Client SDK 5 と Tomcat ウェブサーバーでウェブサーバー SSL/TLS オフロードを設定するには、これらの前提条件を満たす必要があります。

注記

プラットフォームごとに、異なる前提条件が必要です。使用しているプラットフォームに適したインストール手順を必ず実行してください。

前提条件

• Tomcat ウェブサーバーがインストールされた Linux オペレーティングシステムを実行する Amazon EC2 インスタンス。

• HSM でこのウェブサーバーのプライベートキーを所有および管理する Crypto User (CU)。

• JCE for Client SDK 5 がインストールされ、設定された 2 HSMs) を持つアクティブな AWS CloudHSM クラスター。 Client SDK 5 の AWS CloudHSM JCE プロバイダーをインストールして使用する

  注記

  HSM クラスターは1つでも使用できますが、まずクライアントキーの耐久性を無効にする必要があります。詳細については、クライアントキーの耐久性設定の管理 そして クライアント SDK 5 設定ツール を参照してください。

前提条件を満たすには

1. 少なくとも 2 つのハードウェアセキュリティモジュール (HSM) を持つアクティブな AWS CloudHSM クラスター AWS CloudHSM に の JCE をインストールして設定します。 HSMs インストールの詳細については、「Client SDK 5 向け JCE」を参照してください。

2. AWS CloudHSM クラスターにアクセスできる EC2 Linux インスタンスで、Apache Tomcat の指示に従って Tomcat ウェブサーバーをダウンロードしてインストールします。

3. CloudHSM CLI を使用して Crypto User (CU) を作成します。HSM ユーザーの管理の詳細については、CloudHSM CLI を使用した HSM ユーザー管理について を参照してください。

   ヒント

   CU のユーザー名とパスワードを書き留めます。後に、ウェブサーバーの HTTPS プライベートキーや証明書を生成またはインポートするときに必要になります。

4. Java キーツールを使用して JCE をセットアップするには、Client SDK 5 を使用して Java Keytool および Jarsigner と統合する に記載されている手順に従ってください。

以上のステップが完了したら、「ステップ 2: プライベートキーと SSL/TLS 証明書を生成またはインポートする」に進みます。

メモ

• セキュリティ強化 Linux (SELinux) および Web サーバーを使用するには、クライアント SDK 5 が HSM と通信するために使用するポート 2223 でアウトバウンド TCP 接続を許可する必要があります。

• クラスターを作成してアクティブ化し、EC2 インスタンスにクラスターへのアクセス権を付与するには、AWS CloudHSMの使用開始 の手順を実行します。このセクションでは、1 つの HSM と Amazon EC2 クライアントインスタンスを使用してアクティブなクラスターを作成する step-by-step 手順について説明します。このクライアントインスタンスをウェブサーバーとして使用することができます。

• クライアントキーの耐久性を無効化しないようにするには、クラスターに複数の HSM を追加します。詳細については、「HSM の追加」を参照してください。

• クライアントインスタンスに接続するには、SSH または PuTTY を使用することができます。詳細については、「Amazon EC2 ドキュメント」の「SSH を使用した Linux インスタンスへの接続」または「PuTTY を使用した Windows から Linux インスタンスへの接続」を参照してください。