새 인증서와 프라이빗 키로 SSL 재구성(선택 사항) - AWS CloudHSM

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

새 인증서와 프라이빗 키로 SSL 재구성(선택 사항)

AWS CloudHSM은 SSL 인증서를 사용하여 HSM에 연결합니다. 기본 키와 SSL 인증서는 클라이언트를 설치할 때 포함됩니다. 하지만 직접 만들어서 사용할 수도 있습니다. 클러스터를 초기화할 때 생성한 자체–서명 인증서(customerCA.crt)가 필요합니다.

새 인증서와 프라이빗 키로 SSL 재구성하려면

  1. 다음 OpenSSL 명령을 사용하여 프라이빗 키를 만듭니다.

    openssl genrsa -out ssl-client.key 2048 Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001)
  2. 다음 OpenSSL 명령을 사용하여 인증서 서명 요청(CSR)을 생성합니다. 인증서에 대해 일련의 질문을 받게 됩니다.

    openssl req -new -sha256 -key ssl-client.key -out ssl-client.csr Enter pass phrase for ssl-client.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
  3. 클러스터를 초기화할 때 만든 customerCA.crt 인증서를 사용하여 CSR에 서명합니다.

    openssl x509 -req -days 3652 -in ssl-client.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out ssl-client.crt Signature ok subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales Getting CA Private Key
  4. 키와 인증서를 적절한 디렉터리로 복사합니다. Linux의 경우 다음 명령을 사용합니다. configure --ssl 옵션은 1.0.14 버전의 AWS CloudHSM 클라이언트에서 사용할 수 있습니다.

    sudo cp ssl-client.crt /opt/cloudhsm/etc/ sudo cp ssl-client.key /opt/cloudhsm/etc/ sudo /opt/cloudhsm/bin/configure --ssl --pkey /opt/cloudhsm/etc/ssl-client.key --cert /opt/cloudhsm/etc/ssl-client.crt
  5. customerCA.crt 인증서를 트러스트 스토어에 추가합니다. 인증서 주체 이름 해시를 생성합니다. 이 해시는 해당 이름으로 인증서를 찾을 수 있는 인덱스를 생성합니다. 해당 해시 이름의 인증서를 포함하는 파일을 만듭니다.

    openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1 1234abcd sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0