1단계: 필수 구성 요소 설정 - AWS CloudHSM

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

1단계: 필수 구성 요소 설정

플랫폼마다 각기 다른 전제 조건이 필요합니다. 아래 플랫폼과 일치하는 필수 구성 요소 섹션을 사용하십시오.

클라이언트 SDK 5를 위한 사전 요구 사항

클라이언트 SDK 5로 웹 서버 SSL/TLS 오프로드를 설정하려면 다음이 필요합니다.

  • 활성 상태AWS CloudHSMHSM (하드웨어 보안 모듈) 이 2개 이상 있는 클러스터

    참고

    단일 HSM 클러스터를 사용할 수 있지만 먼저 클라이언트 키 내구성을 비활성화해야 합니다. 자세한 내용은 단원을 참조하십시오.클라이언트 키 내구성 설정 관리클라이언트 SDK 5 구성 도구.

  • 다음 소프트웨어가 설치된 Linux 운영 체제를 실행하는 Amazon EC2 인스턴스

    • 웹 서버 (NGINX 또는 아파치)

    • 클라이언트 SDK 5용 OpenSSL 다이내믹 엔진

  • HSM에서 웹 서버의 프라이빗 키를 소유하고 관리할 CU(Crypto User)입니다.

HSM에서 Linux 웹 서버 인스턴스를 설정하고 CU를 생성하려면

  1. OpenSSL Dynamic Engine 설치 및 구성AWS CloudHSM. OpenSSL Dynamic Engine 설치에 대한 자세한 내용은 단원을 참조하십시오클라이언트 SDK 5용 OpenSSL 다이내믹 엔진.

  2. 클러스터에 액세스할 수 있는 EC2 Linux 인스턴스에서 NGINX 또는 Apache 웹 서버를 설치합니다.

    Amazon Linux
    • NGINX

      $ sudo yum install nginx
    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2
    • Amazon Linux 2에서 NGINX 최신 버전을 다운로드하는 방법에 대한 자세한 내용은 단원을 참조하십시오.NGINX 웹 사이트.

      아마존 리눅스 2에서 사용할 수 있는 NGINX의 최신 버전은 OpenSSL의 시스템 버전보다 최신 버전의 OpenSSL 버전을 사용합니다. NGINX를 설치 한 후에는AWS CloudHSMOpenSSL 다이내믹 엔진 라이브러리를 이 버전의 OpenSSL에서 기대할 수 있는 위치에

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so
    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7
    • CentOS 7에서 NGINX 최신 버전을 다운로드하는 방법에 대한 자세한 내용은NGINX 웹 사이트.

      CentOS 7에 사용할 수 있는 NGINX의 최신 버전은 OpenSSL의 시스템 버전보다 최신 버전의 OpenSSL 버전을 사용합니다. NGINX를 설치 한 후에는AWS CloudHSMOpenSSL 다이내믹 엔진 라이브러리를 이 버전의 OpenSSL에서 기대할 수 있는 위치에

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so
    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7
    • Red Hat 7에서 최신 버전의 NGINX를 다운로드하는 방법에 대한 자세한 내용은NGINX 웹 사이트.

      Red Hat 7에서 사용할 수 있는 NGINX의 최신 버전은 OpenSSL의 시스템 버전보다 최신 버전의 OpenSSL 버전을 사용합니다. NGINX를 설치 한 후에는AWS CloudHSMOpenSSL 다이내믹 엔진 라이브러리를 이 버전의 OpenSSL에서 기대할 수 있는 위치에

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so
    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 8
    • NGINX

      $ sudo yum install nginx
    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 8
    • NGINX

      $ sudo yum install nginx
    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 18.04
    • NGINX

      $ sudo apt install nginx
    • Apache

      $ sudo apt install apache2
  3. CloudHSM 관리 유틸리티 (CMU) 를 사용하여 CU를 생성합니다. HSM 사용자 관리에 대한 자세한 내용은 단원을 참조하십시오.CMU를 통한 HSM 사용자 관리 이해.

    작은 정보

    CU의 사용자 이름과 암호를 기록합니다. 나중에 웹 서버용 HTTPS 프라이빗 키와 인증서를 생성하거나 가져올 때 이 정보가 필요합니다.

이 단계들을 완료한 후 2단계: 개인 키 및 SSL/TLS 인증서 생성 또는 가져오기으로 이동합니다.

참고

  • 보안 강화 Linux (SELinux) 와 웹 서버를 사용하려면 클라이언트 SDK 5가 HSM과 통신하는 데 사용하는 포트인 포트 2223에서 아웃바운드 TCP 연결을 허용해야 합니다.

  • 클러스터를 생성 및 활성화하고 EC2 인스턴스에 클러스터에 대한 액세스 권한을 부여하려면 다음 단계를 완료하십시오.시작하기AWS CloudHSM. 시작하기에서는 클라이언트 SDK 3 명령줄 도구를 사용하여 하나의 HSM과 Amazon EC2 클라이언트 인스턴스를 사용하여 활성 클러스터를 생성하는 단계별 지침을 제공합니다. 이 클라이언트 인스턴스를 웹 서버로 사용할 수 있습니다.

  • 클라이언트 키 내구성을 사용하지 않도록 설정하려면 클러스터에 HSM을 두 개 이상 추가하십시오. 자세한 정보는 HSM 추가을 참조하십시오.

  • 클라이언트 인스턴스에 연결하려면 SSH 또는 PuTTY를 사용할 수 있습니다. 자세한 내용은 단원을 참조하십시오.SSH를 사용하여 Linux 인스턴스에 연결또는PuTTY를 사용하여 Windows에서 Linux 인스턴스에 연결Amazon EC2 설명서에서 확인할 수 있습니다.

클라이언트 SDK 3에 대한 사전 요구 사항

클라이언트 SDK 3으로 웹 서버 SSL/TLS 오프로드를 설정하려면 다음이 필요합니다.

  • HSM이 하나 이상 있는 활성 AWS CloudHSM 클러스터

  • 다음 소프트웨어가 설치된 Linux 운영 체제를 실행하는 Amazon EC2 인스턴스

    • AWS CloudHSM 클라이언트 및 명령줄 도구

    • NGINX 또는 Apache 웹 서버 애플리케이션.

    • OpenSSL용 AWS CloudHSM Dynamic Engine

  • HSM에서 웹 서버의 프라이빗 키를 소유하고 관리할 CU(Crypto User)입니다.

HSM에서 Linux 웹 서버 인스턴스를 설정하고 CU를 생성하려면

  1. 시작하기의 단계를 수행합니다. 그러면 하나의 HSM과 Amazon EC2 클라이언트 인스턴스가 있는 활성 클러스터가 생깁니다. EC2 인스턴스는 명령줄 도구를 사용하여 구성됩니다. 이 클라이언트 인스턴스를 웹 서버로 사용합니다.

  2. 클라이언트 인스턴스에 연결합니다. 자세한 내용은 단원을 참조하십시오.SSH를 사용하여 Linux 인스턴스에 연결또는PuTTY를 사용하여 Windows에서 Linux 인스턴스에 연결Amazon EC2 설명서에서 확인할 수 있습니다.

  3. 클러스터에 액세스할 수 있는 EC2 Linux 인스턴스에서 NGINX 또는 Apache 웹 서버를 설치합니다.

    Amazon Linux
    • NGINX

      $ sudo yum install nginx
    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2
    • NGINX 버전 1.19는 아마존 리눅스 2의 클라이언트 SDK 3 엔진과 호환되는 NGINX의 최신 버전입니다.

      NGINX 버전 1.19를 다운로드하려면NGINX 웹 사이트.

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7
    • NGINX 버전 1.19는 CentOS 7의 클라이언트 SDK 3 엔진과 호환되는 NGINX의 최신 버전입니다.

      NGINX 버전 1.19를 다운로드하려면NGINX 웹 사이트.

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7
    • NGINX 버전 1.19는 레드햇 7의 클라이언트 SDK 3 엔진과 호환되는 NGINX의 최신 버전입니다.

      NGINX 버전 1.19를 다운로드하려면NGINX 웹 사이트.

    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 16.04
    • NGINX

      $ sudo apt install nginx
    • Apache

      $ sudo apt install apache2
  4. (선택 사항) 클러스터에 HSM을 더 추가합니다. 자세한 정보는 HSM 추가을 참조하십시오.

  5. cloudhsm_mgmt_util을 사용하여 CU를 생성합니다. 자세한 정보는 HSM 사용자 관리을 참조하십시오. CU의 사용자 이름과 암호를 기록합니다. 나중에 웹 서버용 HTTPS 프라이빗 키와 인증서를 생성하거나 가져올 때 이 정보가 필요합니다.

이 단계들을 완료한 후 2단계: 개인 키 및 SSL/TLS 인증서 생성 또는 가져오기으로 이동합니다.