새 인증서와 프라이빗 키로 SSL 재구성(선택 사항) - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

새 인증서와 프라이빗 키로 SSL 재구성(선택 사항)

AWS CloudHSM은 SSL 인증서를 사용하여 HSM에 연결합니다. 기본 키와 SSL 인증서는 클라이언트를 설치할 때 포함됩니다. 하지만 직접 만들어서 사용할 수도 있습니다. 자체 서명 인증서 (customerCA.crt) 를 만들 때 만든초기화클러스터를 배포합니다.

상위 레벨에서는 다음과 같은 두 단계를 거쳐야 합니다.

  1. 먼저 프라이빗 키를 생성한 다음 해당 키를 사용하여 인증서 서명 요청 (CSR) 을 생성하십시오. 클러스터를 초기화할 때 만든 인증서인 발급 인증서를 사용하여 CSR에 서명합니다.

  2. 그런 다음 구성 도구를 사용하여 키와 인증서를 적절한 디렉터리에 복사합니다.

키, CSR 및 CSR을 만든 다음 CSR에 서명

이 단계는 클라이언트 SDK 3 또는 클라이언트 SDK 5에 대해 동일합니다.

새 인증서와 프라이빗 키로 SSL 재구성하려면

  1. 다음 OpenSSL 명령을 사용하여 프라이빗 키를 만듭니다.

    openssl genrsa -out ssl-client.key 2048 Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001)
  2. 다음 OpenSSL 명령을 사용하여 인증서 서명 요청(CSR)을 생성합니다. 인증서에 대해 일련의 질문을 받게 됩니다.

    openssl req -new -sha256 -key ssl-client.key -out ssl-client.csr Enter pass phrase for ssl-client.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
  3. 클러스터를 초기화할 때 만든 customerCA.crt 인증서를 사용하여 CSR에 서명합니다.

    openssl x509 -req -days 3652 -in ssl-client.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out ssl-client.crt Signature ok subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales Getting CA Private Key

사용자 지정 SSL 활성화AWS CloudHSM

클라이언트 SDK 3 또는 클라이언트 SDK 5 단계는 다릅니다. 명령줄 구성 도구 작업에 대한 자세한 내용은 단원을 참조하십시오.Configure 도구.

클라이언트 SDK 3용 사용자 지정 SSL

클라이언트 SDK 3에 대한 구성 도구를 사용하여 사용자 지정 SSL을 사용하도록 설정합니다. 클라이언트 SDK 3의 구성 도구에 대한 자세한 내용은 단원을 참조하십시오.클라이언트 SDK 3 구성 도구.

Linux에서 클라이언트 SDK 3을 사용하여 TLS 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면

  1. 키와 인증서를 적절한 디렉터리로 복사합니다.

    sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. 구성 도구를 사용하여ssl-client.crtssl-client.key.

    sudo /opt/cloudhsm/bin/configure --ssl \ --pkey /opt/cloudhsm/etc/ssl-client.key \ --cert /opt/cloudhsm/etc/ssl-client.crt
  3. customerCA.crt 인증서를 트러스트 스토어에 추가합니다. 인증서 주체 이름 해시를 생성합니다. 이 해시는 해당 이름으로 인증서를 찾을 수 있는 인덱스를 생성합니다.

    openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1 1234abcd

    디렉터리를 생성합니다.

    mkdir /opt/cloudhsm/etc/certs

    해당 해시 이름의 인증서를 포함하는 파일을 만듭니다.

    sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0

클라이언트 SDK 5용 사용자 지정 SSL

클라이언트 SDK 5 구성 도구를 사용하여 사용자 지정 SSL을 사용하도록 설정합니다. 클라이언트 SDK 5용 구성 도구에 대한 자세한 내용은클라이언트 SDK 5 구성 도구.

PKCS #11 library

Linux에서 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면

  1. 키와 인증서를 적절한 디렉터리로 복사합니다.

    sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. 구성 도구를 사용하여ssl-client.crtssl-client.key.

    sudo /opt/cloudhsm/bin/configure-pkcs11 \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Windows에서 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면

  1. 키와 인증서를 적절한 디렉터리로 복사합니다.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. PowerShell 인터프리터를 사용하여 구성 도구를 사용하여ssl-client.crtssl-client.key.

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" ` --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt ` --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine

Linux에서 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면

  1. 키와 인증서를 적절한 디렉터리로 복사합니다.

    sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. 구성 도구를 사용하여ssl-client.crtssl-client.key.

    sudo /opt/cloudhsm/bin/configure-dyn \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key