1단계: 사전 조건 설정 - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

1단계: 사전 조건 설정

플랫폼마다 각기 다른 전제 조건이 필요합니다. 아래 플랫폼과 일치하는 필수 구성 요소 섹션을 사용하십시오.

CentOS에 대한 전제 조건 8, 레드햇 8, 우분투 18.04 LTS

클라이언트 SDK 5로 웹 서버 SSL/TLS 오프로드를 설정하려면 다음이 필요합니다.

  • 활성 상태AWS CloudHSMHSM (하드웨어 보안 모듈) 이 2개 이상 있는 클러스터

    참고

    단일 HSM 클러스터를 사용할 수 있지만 먼저 클라이언트 키 내구성을 비활성화해야 합니다. 자세한 내용은 단원을 참조하십시오.클라이언트 키 내구성 설정 관리클라이언트 SDK 5 구성 도구.

  • 다음 소프트웨어가 설치된 Linux 운영 체제를 실행하는 Amazon EC2 인스턴스

    • 웹 서버 (NGINX 또는 아파치)

    • 클라이언트 SDK 5용 OpenSSL 다이내믹 엔진

  • HSM에서 웹 서버의 프라이빗 키를 소유하고 관리할 CU(Crypto User)입니다.

HSM에서 Linux 웹 서버 인스턴스를 설정하고 CU를 생성하려면

  1. 클러스터에 액세스할 수 있는 EC2 Linux 인스턴스에서 NIGINX 또는 Apache 웹 서버를 설치합니다.

    CentOS 8
    • NGINX

      $ sudo yum install nginx
    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 8
    • NGINX

      $ sudo yum install nginx
    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 18.04
    • NGINX

      $ sudo apt install nginx
    • Apache

      $ sudo apt install apache2
  2. OpenSSL Dynamic Engine 설치 및 구성AWS CloudHSM. OpenSSL Dynamic Engine 설치에 대한 자세한 내용은 단원을 참조하십시오클라이언트 SDK 5용 OpenSSL 다이내믹 엔진.

  3. CloudHSM 관리 유틸리티 (CMU) 를 사용하여 CU를 생성합니다. HSM 사용자 관리에 대한 자세한 내용은 단원을 참조하십시오.CMU를 통한 HSM 사용자 관리 이해.

    작은 정보

    CU의 사용자 이름과 암호를 기록합니다. 나중에 웹 서버용 HTTPS 프라이빗 키와 인증서를 생성하거나 가져올 때 이 정보가 필요합니다.

이 단계들을 완료한 후 2단계: 프라이빗 키 및 SSL/TLS 인증서 생성 또는 가져오기으로 이동합니다.

Notes

  • 보안 강화 Linux (SELinux) 와 웹 서버를 사용하려면 클라이언트 SDK 5가 HSM과 통신하는 데 사용하는 포트인 포트 2223에서 아웃바운드 TCP 연결을 허용해야 합니다.

  • 클러스터를 생성 및 활성화하고 EC2 인스턴스에 클러스터에 대한 액세스 권한을 부여하려면 다음 단계를 완료하십시오.시작하기AWS CloudHSM. 시작하기에서는 클라이언트 SDK 3 명령줄 도구를 사용하여 하나의 HSM과 Amazon EC2 클라이언트 인스턴스를 사용하여 활성 클러스터를 생성하는 단계별 지침을 제공합니다. 이 클라이언트 인스턴스를 웹 서버로 사용할 수 있습니다.

  • 클라이언트 키 내구성을 사용하지 않도록 설정하려면 클러스터에 HSM을 두 개 이상 추가하십시오. 자세한 정보는 HSM 추가을 참조하십시오.

  • 클라이언트 인스턴스에 연결하려면 SSH 또는 PuTTY를 사용할 수 있습니다. 자세한 내용은 단원을 참조하십시오.SSH를 사용하여 Linux 인스턴스에 연결또는PuTTY를 사용하여 Windows에서 Linux 인스턴스에 연결Amazon EC2 설명서에서 확인할 수 있습니다.

Amazon Linux, Amazon Linux 2, CentOS 7, 레드햇 7 및 Ubuntu 16.04 LTS용 전제 조건

AWS CloudHSM으로 웹 서버 SSL/TLS 오프로드를 설정하려면 다음이 필요합니다.

  • HSM이 하나 이상 있는 활성 AWS CloudHSM 클러스터

  • 다음 소프트웨어가 설치된 Linux 운영 체제를 실행하는 Amazon EC2 인스턴스

    • AWS CloudHSM 클라이언트 및 명령줄 도구

    • NGINX 또는 Apache 웹 서버 애플리케이션.

    • OpenSSL용 AWS CloudHSM Dynamic Engine

  • HSM에서 웹 서버의 프라이빗 키를 소유하고 관리할 CU(Crypto User)입니다.

HSM에서 Linux 웹 서버 인스턴스를 설정하고 CU를 생성하려면

  1. 시작하기의 단계를 수행합니다. 그런 다음 하나의 HSM과 Amazon EC2 클라이언트 인스턴스가 있는 활성 클러스터가 생깁니다. EC2 인스턴스는 명령줄 도구를 사용하여 구성됩니다. 이 클라이언트 인스턴스를 웹 서버로 사용합니다.

  2. 클라이언트 인스턴스에 연결합니다. 자세한 내용은 단원을 참조하십시오.SSH를 사용하여 Linux 인스턴스에 연결또는PuTTY를 사용하여 Windows에서 Linux 인스턴스에 연결Amazon EC2 설명서에서 확인할 수 있습니다.

  3. 클러스터에 액세스할 수 있는 EC2 Linux 인스턴스에서 NIGINX 또는 Apache 웹 서버를 설치합니다.

    Amazon Linux
    • NGINX

      $ sudo yum install nginx
    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2
    • NGINX

      $ sudo yum install nginx
    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7
    • NGINX

      $ sudo yum install nginx
    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7
    • NGINX

      $ sudo yum install nginx
    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 16.04
    • NGINX

      $ sudo apt install nginx
    • Apache

      $ sudo apt install apache2
  4. (선택 사항) 클러스터에 HSM을 더 추가합니다. 자세한 정보는 HSM 추가을 참조하십시오.

  5. cloudhsm_mgmt_util을 사용하여 CU를 생성합니다. 자세한 정보는 HSM 사용자 관리을 참조하십시오. CU의 사용자 이름과 암호를 기록합니다. 나중에 웹 서버용 HTTPS 프라이빗 키와 인증서를 생성하거나 가져올 때 이 정보가 필요합니다.

이 단계들을 완료한 후 2단계: 프라이빗 키 및 SSL/TLS 인증서 생성 또는 가져오기으로 이동합니다.