翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
クラスターの HSM のアイデンティティと正当性の確認 (オプション)
クラスターを初期化するには、クラスターの最初の HSM によって生成された証明書署名リクエスト (CSR) に署名する必要があります。その前に、HSM のアイデンティティと正当性を確認することをお勧めします。
注記
このプロセスはオプションです。ただし、使用できるのはクラスターが初期化される前に限られます。クラスターの初期化後は、このプロセスを使用して証明書の取得や HSM の検証を行うことはできません。
概要
クラスターの最初の HSM のアイデンティティを確認するには、次のステップを実行します。
-
証明書と CSR の取得 - このステップでは、3 つの証明書と CSR を HSM から取得します。また、HSM ハードウェアメーカーから 1 AWS CloudHSM つと HSM ハードウェアメーカーから 1 つずつ、合計 2 つのルート証明書を入手します。
-
証明書チェーンの検証 — このステップでは、2 つの証明書チェーンを作成します。1 AWS CloudHSM つはルート証明書用、もう 1 つは製造元のルート証明書用です。次に、HSM AWS CloudHSM 証明書をこれらの証明書チェーンで検証して確認し、ハードウェアメーカーが HSM のアイデンティティと信頼性を証明します。
-
パブリックキーの比較 - このステップでは、HSM 証明書とクラスター CSR のパブリックキーを抽出および比較し、それらが同じであることを確認します。これにより、CSR は認証され、信頼された HSM によって生成されていることを確信できます。
次の図は、CSR、証明書、およびその相互関係を示しています。以下のリストでは、各証明書を定義します。
- AWS [ルート証明書]
-
AWS CloudHSMこれはのルート証明書です。
- 製造元のルート証明書
-
これは、ハードウェア製造元のルート証明書です。
- AWS ハードウェア証明書
-
AWS CloudHSM HSM ハードウェアがフリートに追加されたときにこの証明書を作成しました。この証明書は、 AWS CloudHSM そのハードウェアの所有権を証明するものです。
- 製造元のハードウェア証明書
-
この証明書は、HSM ハードウェア製造元が HSM ハードウェアを製造したときに作成したものです。この証明書は、製造元がハードウェアを作成したことを主張しています。
- HSM 証明書
-
クラスターの最初の HSM を作成すると、FIPS 検証済みハードウェアが HSM 証明書を生成します。この証明書は、HSM ハードウェアが HSM の作成元であることを証明します。
- クラスター CSR
-
最初の HSM によってクラスター CSR が作成されます。クラスター CSR に署名する と、クラスターがクレームされます。次に、署名した CSR を使用して クラスターを初期化 できます。
HSM からの証明書の取得
HSM のアイデンティティと正当性を確認するには、最初に CSR と 5 つの証明書を取得します。HSM から 3 つの証明書を取得できます。これらの証明書は、AWS CloudHSM コンソール
CSR および HSM 証明書を取得するには (コンソール)
https://console.aws.amazon.com/cloudhsm/home AWS CloudHSM
でコンソールを開きます。 -
検証する HSM のクラスター ID の横にあるラジオボタンをオンにします。
-
アクション を選択します。ドロップダウンメニューから 初期化 を選択します。
-
HSM を作成する 前のステップ を完了していない場合は、作成する HSM のアベイラビリティーゾーン (AZ) を選択します。次に、作成 を選択します。
-
証明書と CSR の準備ができると、それらをダウンロードするためのリンクが表示されます。
-
各リンクを選択し、CSR と証明書をダウンロードして保存します。以降のステップを簡素化するために、すべてのファイルを同じディレクトリに保存し、デフォルトのファイル名を使用します。
CSR 証明書と HSM 証明書を取得するには (CLI)
-
コマンドプロンプトで、describe-clusters コマンドを 4 回実行し、毎回 CSR と異なる証明書を抽出してファイルに保存します。
-
次のコマンドを発行してクラスター CSR を抽出します。
<cluster ID>を、前に作成したクラスターの ID に置き換えます。$aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID>\ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ ><cluster ID>_ClusterCsr.csr -
次のコマンドを発行して HSM 証明書を抽出します。
<cluster ID>を、前に作成したクラスターの ID に置き換えます。$aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID>\ --output text \ --query 'Clusters[].Certificates.HsmCertificate' \ ><cluster ID>_HsmCertificate.crt -
AWS 以下のコマンドを実行してハードウェア証明書を抽出します。
<cluster ID>を、前に作成したクラスターの ID に置き換えます。$aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID>\ --output text \ --query 'Clusters[].Certificates.AwsHardwareCertificate' \ ><cluster ID>_AwsHardwareCertificate.crt -
次のコマンドを発行して製造元のハードウェア証明書を抽出します。
<cluster ID>を、前に作成したクラスターの ID に置き換えます。$aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID>\ --output text \ --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \ ><cluster ID>_ManufacturerHardwareCertificate.crt
-
CSR 証明書と HSM 証明書 (AWS CloudHSM API) を取得するには
-
DescribeClusters リクエストを送信し、レスポンスから CSR と証明書を抽出して保存します。
ルート証明書の取得
次の手順に従って、 AWS CloudHSM および製造元のルート証明書を入手してください。ルート証明書ファイルを、CSR と HSM 証明書ファイルが含まれているディレクトリに保存します。
AWS CloudHSM および製造元のルート証明書を取得するには
-
AWS CloudHSM ルート証明書をダウンロードします:AWS_CloudHSM_Root-G1.zip
-
製造元ルート証明書をダウンロードします。: liquid_security_certificate.zip
ランディングページ https://www.marvell.com/products/security-solutions/ liquid-security-hsm-adapters-and-appliances/liquidsecurity-certificate.html
から証明書をダウンロードするには、[証明書のダウンロード] を選択します。 [Download Certificate] リンクを右クリックしてから、[Save Link As...] を選択して証明書ファイルを保存することが必要になる場合があります。
-
ファイルをダウンロードした後、内容を抽出 (解凍) します。
証明書チェーンの確認
このステップでは、2 つの証明書チェーンを作成します。1 AWS CloudHSM つはルート証明書用、もう 1 つは製造元のルート証明書用です。次に、OpenSSL を使用して各証明書チェーンの HSM 証明書を検証します。
証明書チェーンを作成するには、Linux シェルを開きます。OpenSSL が必要です (ほとんどの Linux シェルにあります)。さらに、ダウンロードしたルート証明書と HSM 証明書ファイルが必要です。ただし、このステップにはCLI は必要なく、 AWS シェルをアカウントに関連付ける必要もありません。
HSM AWS CloudHSM 証明書をルート証明書で検証するには
-
ダウンロードしたルート証明書と HSM 証明書ファイルの保存先のディレクトリに移動します。以下のコマンドでは、すべての証明書が現在のディレクトリにあり、デフォルトのファイル名を使用しているものとします。
次のコマンドを使用して、 AWS AWS CloudHSM ハードウェア証明書とルート証明書を順番に含む証明書チェーンを作成します。
<cluster ID>を、前に作成したクラスターの ID に置き換えます。$cat<cluster ID>_AwsHardwareCertificate.crt \ AWS_CloudHSM_Root-G1.crt \ ><cluster ID>_AWS_chain.crt -
AWS 証明書チェーンで HSM 証明書を検証するには、次の OpenSSL コマンドを使用します。
<cluster ID>を、前に作成したクラスターの ID に置き換えます。$openssl verify -CAfile<cluster ID>_AWS_chain.crt<cluster ID>_HsmCertificate.crt<cluster ID>_HsmCertificate.crt: OK
製造元のルート証明書で HSM 証明書を検証するには
-
次のコマンドを使用して、製造元のハードウェア証明書と、製造元のルート証明書が含まれている証明書チェーンを、その順番で作成します。
<cluster ID>を、前に作成したクラスターの ID に置き換えます。$cat<cluster ID>_ManufacturerHardwareCertificate.crt \ liquid_security_certificate.crt \ ><cluster ID>_manufacturer_chain.crt -
製造元の証明書チェーンで HSM 証明書を検証するには、次の OpenSSL コマンドを使用します。
<cluster ID>を、前に作成したクラスターの ID に置き換えます。$openssl verify -CAfile<cluster ID>_manufacturer_chain.crt<cluster ID>_HsmCertificate.crt<cluster ID>_HsmCertificate.crt: OK
パブリックキーの抽出と比較
OpenSSL を使用して HSM 証明書とクラスター CSR のパブリックキーを抽出および比較して、それらが同じであることを確認します。
パブリックキーを比較するには、Linux シェルを使用します。ほとんどの Linux シェルで使用できる OpenSSL が必要ですが、このステップでは CLI は必要ありません。 AWS シェルをアカウントに関連付ける必要はありません。
パブリックキーを抽出して比較するには
-
次のコマンドを使用して、HSM 証明書からパブリックキーを抽出します。
$openssl x509 -in<cluster ID>_HsmCertificate.crt -pubkey -noout ><cluster ID>_HsmCertificate.pub -
次のコマンドを使用して、クラスター CSR からパブリックキーを抽出します。
$openssl req -in<cluster ID>_ClusterCsr.csr -pubkey -noout ><cluster ID>_ClusterCsr.pub -
次のコマンドを使用してパブリックキーを比較します。パブリックキーが同じである場合、次のコマンドによる出力はありません。
$diff<cluster ID>_HsmCertificate.pub<cluster ID>_ClusterCsr.pub
HSM のアイデンティティと正当性を確認したら、「クラスターの初期化」に進みます。
