기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
새 인증서 및 프라이빗 키로 SSL 재구성(선택 사항)
AWS CloudHSM은 SSL 인증서를 사용하여 HSM에 연결합니다. 기본 키와 SSL 인증서는 클라이언트를 설치할 때 포함됩니다. 하지만 직접 만들어서 사용할 수도 있습니다. 클러스터를 초기화할 때 만든 자체 서명 인증서(customerCA.crt)가 필요합니다.
상위 레벨에서는 다음과 같은 2단계 프로세스입니다.
-
먼저 프라이빗 키를 생성한 다음 해당 키를 사용하여 인증서 서명 요청(CSR)을 생성합니다. 클러스터를 초기화할 때 생성한 인증서인 발급 인증서를 사용하여 CSR에 서명합니다.
-
다음으로 구성 도구를 사용하여 키와 인증서를 적절한 디렉터리에 복사합니다.
키와 CSR을 생성한 다음 CSR에 서명합니다.
Client SDK 3 또는 Client SDK 5의 단계는 동일합니다.
새 인증서와 프라이빗 키로 SSL 재구성하려면
-
다음 OpenSSL 명령을 사용하여 프라이빗 키를 만듭니다.
openssl genrsa -out ssl-client.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
-
다음 OpenSSL 명령을 사용하여 인증서 서명 요청(CSR)을 생성합니다. 인증서에 대해 일련의 질문을 받게 됩니다.
openssl req -new -sha256 -key ssl-client.key -out ssl-client.csr
Enter pass phrase for ssl-client.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
-
클러스터를 초기화할 때 만든 customerCA.crt 인증서를 사용하여 CSR에 서명합니다.
openssl x509 -req -days 3652 -in ssl-client.csr \
-CA customerCA.crt \
-CAkey customerCA.key \
-CAcreateserial \
-out ssl-client.crt
Signature ok
subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales
Getting CA Private Key
AWS CloudHSM에 대해 맞춤 SSL을 활성화합니다.
Client SDK 3 또는 Client SDK 5의 단계는 동일합니다. 구성 명령줄 도구 작업에 대한 자세한 내용은 구성 도구 단원을 참조하십시오.
Client SDK 3용 사용자 정의 SSL
사용자 지정 SSL을 활성화하려면 Client SDK 3용 구성 도구를 사용하세요. Client SDK 3의 구성 도구에 대한 자세한 내용은 클라이언트 SDK 3 구성 도구 단원을 참조하십시오.
Linux용 Client SDK 3을 사용한 TLS 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면
-
키와 인증서를 적절한 디렉터리로 복사합니다.
sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
sudo /opt/cloudhsm/bin/configure --ssl \
--pkey /opt/cloudhsm/etc/ssl-client.key \
--cert /opt/cloudhsm/etc/ssl-client.crt
-
customerCA.crt 인증서를 트러스트 스토어에 추가합니다. 인증서 주체 이름 해시를 생성합니다. 이 해시는 해당 이름으로 인증서를 찾을 수 있는 인덱스를 생성합니다.
openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1
1234abcd
디렉터리를 생성합니다.
mkdir /opt/cloudhsm/etc/certs
해당 해시 이름의 인증서를 포함하는 파일을 만듭니다.
sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0
Client SDK 5용 사용자 지정 SSL
사용자 지정 SSL을 활성화하려면 Client SDK 5용 구성 도구를 사용하세요. Client SDK 5의 구성 도구에 대한 자세한 내용은 클라이언트 SDK 5 구성 도구 단원을 참조하십시오.
- PKCS #11 library
-
Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면
-
키와 인증서를 적절한 디렉터리로 복사합니다.
$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
$ sudo /opt/cloudhsm/bin/configure-pkcs11 \
--server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
--server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면
-
키와 인증서를 적절한 디렉터리로 복사합니다.
cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
& "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
--server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
--server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
- OpenSSL Dynamic Engine
-
Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면
-
키와 인증서를 적절한 디렉터리로 복사합니다.
$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
$ sudo /opt/cloudhsm/bin/configure-dyn \
--server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
--server-client-key-file /opt/cloudhsm/etc/ssl-client.key
- JCE provider
-
Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면
-
키와 인증서를 적절한 디렉터리로 복사합니다.
$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
$ sudo /opt/cloudhsm/bin/configure-jce \
--server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
--server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면
-
키와 인증서를 적절한 디렉터리로 복사합니다.
cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
& "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
--server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
--server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
- CloudHSM CLI
-
Linux용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증을 위한 사용자 지정 인증서 및 키를 사용하려면
-
키와 인증서를 적절한 디렉터리로 복사합니다.
$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
$ sudo /opt/cloudhsm/bin/configure-cli \
--server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
--server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows용 클라이언트 SDK 5를 사용하여 TLS 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면
-
키와 인증서를 적절한 디렉터리로 복사합니다.
cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
& "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
--server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
--server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
