기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
클러스터 HSM의 자격 증명 및 신뢰성 확인(선택 사항)
클러스터를 초기화하려면 클러스터의 첫 번째 HSM이 생성한 인증서 서명 요청(CSR)에 서명합니다. 이에 앞서 HSM의 ID와 신뢰성을 확인하고 싶을 수 있습니다.
참고
이 프로세스는 선택 사항입니다. 하지만 이 프로세스는 클러스터가 초기화될 때까지만 유효합니다. 클러스터가 초기화된 후에는 이 프로세스를 사용하여 인증서를 가져오거나 HSM을 확인할 수 없습니다.
개요
다음 단계를 완료하여 클러스터의 첫 번째 HSM의 ID를 확인할 수 있습니다.
-
인증서 및 CSR 가져오기 – 이 단계에서는 HSM으로부터 세 개의 인증서와 CSR을 가져옵니다. 또한 HSM 하드웨어 제조업체에서 발급한 루트 인증서와 HSM 하드웨어 제조업체에서 AWS CloudHSM 발급한 루트 인증서를 각각 두 개 받을 수 있습니다.
-
인증서 체인 확인 - 이 단계에서는 두 개의 인증서 체인을 구성합니다. 하나는 루트 인증서에, 다른 하나는 제조업체 AWS CloudHSM 루트 인증서에 대한 것입니다. 그런 다음 이러한 인증서 체인으로 HSM 인증서를 확인하여 HSM의 ID 및 신뢰성을 보증하는지, AWS CloudHSM 그리고 하드웨어 제조업체가 모두 HSM의 ID 및 신뢰성을 증명하는지 확인합니다.
-
퍼블릭 키 비교 – 이 단계에서는 HSM 인증서 및 클러스터 CSR에서 퍼블릭 키를 추출 및 비교하여 둘이 동일한지 확인합니다. 이렇게 하면 CSR가 신뢰할 수 있는 인증된 HSM에 의해 생성되었음에 안심할 수 있습니다.
다음 다이어그램은 CSR, 인증서 및 이들의 상호 관계를 보여줍니다. 다음에 나오는 목록은 각 인증서를 정의합니다.
- AWS 루트 인증서
-
루트 AWS CloudHSM인증서입니다.
- 제조업체 루트 인증서
-
이것은 하드웨어 제조업체의 루트 인증서입니다.
- AWS 하드웨어 인증서
-
AWS CloudHSM HSM 하드웨어가 플릿에 추가될 때 이 인증서를 생성했습니다. 이 인증서는 하드웨어를 AWS CloudHSM 소유하고 있다고 주장합니다.
- 제조업체 하드웨어 인증서
-
HSM 하드웨어 제조업체가 HSM 하드웨어를 생산할 때 이 인증서를 만들었습니다. 이 인증서는 제조업체가 하드웨어를 만들었음을 어셜션합니다.
- HSM 인증서
-
HSM 인증서는 클러스터에서 처음 HSM을 생성할 때 FIPS 검증 하드웨어에 의해 생성됩니다. 이 인증서는 HSM 하드웨어가 HSM을 생성했음을 어셜션합니다.
- 클러스터 CSR
-
첫 번째 HSM이 클러스터 CSR을 생성합니다. 클러스터 CSR에 서명할 때 클러스터를 클레임합니다. 그런 다음 서명된 CSR을 사용하여 클러스터를 초기화할 수 있습니다.
HSM에서 인증서 가져오기
HSM의 ID와 신뢰성을 확인하려면 CSR과 5개의 인증서를 얻는 것부터 시작합니다. HSM에서 인증서 세 개를 받을 수 있으며, AWS CloudHSM 콘솔
CSR 및 HSM 인증서를 가져오려면(콘솔)
https://console.aws.amazon.com/cloudhsm/home
에서 AWS CloudHSM 콘솔을 엽니다. -
확인할 HSM의 클러스터 자격 증명 옆의 라디오 버튼을 선택합니다.
-
작업을 선택합니다. 드롭다운 메뉴에서 초기화를 선택합니다.
-
HSM을 생성하기 위한 이전 단계를 완료하지 않은 경우, 생성 중인 HSM의 가용 영역을 선택합니다. 그런 다음 생성을 선택합니다.
-
인증서 및 CSR가 이미 있는 경우에는 이들을 다운로드할 수 있는 링크가 나타납니다.
-
각 링크를 선택하여 CSR 및 인증서를 다운로드하고 저장합니다. 후속 단계를 간소화하려면 모든 파일을 같은 디렉터리에 저장하고 기본 파일 이름을 사용합니다.
CSR 및 HSM 인증서를 가져오는 방법(AWS CLI)
-
명령 프롬프트에서 describe-clusters 명령을 네 번 실행하여 매번 CSR 및 다른 인증서를 추출하고 파일에 저장합니다.
-
다음 명령을 실행하여 클러스터 CSR을 추출합니다.
<cluster ID>를 이전에 생성한 클러스터의 ID로 바꿉니다.$aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID>\ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ ><cluster ID>_ClusterCsr.csr -
다음 명령을 실행하여 HSM 인증서를 추출합니다.
<cluster ID>를 이전에 생성한 클러스터의 ID로 바꿉니다.$aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID>\ --output text \ --query 'Clusters[].Certificates.HsmCertificate' \ ><cluster ID>_HsmCertificate.crt -
다음 명령을 실행하여 AWS 하드웨어 인증서를 추출합니다.
<cluster ID>를 이전에 생성한 클러스터의 ID로 바꿉니다.$aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID>\ --output text \ --query 'Clusters[].Certificates.AwsHardwareCertificate' \ ><cluster ID>_AwsHardwareCertificate.crt -
다음 명령을 실행하여 제조업체 하드웨어 인증서를 추출합니다.
<cluster ID>를 이전에 생성한 클러스터의 ID로 바꿉니다.$aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID>\ --output text \ --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \ ><cluster ID>_ManufacturerHardwareCertificate.crt
-
CSR 및 HSM 인증서 (AWS CloudHSM API) 를 가져오려면
-
DescribeClusters 요청을 전송한 다음, 응답에서 CSR 및 인증서를 추출하여 저장합니다.
루트 인증서 가져오기
다음 단계에 따라 제조업체의 루트 인증서를 받으십시오 AWS CloudHSM . 루트 인증서 파일을 CSR 및 HSM 인증서 파일이 들어 있는 디렉터리에 저장합니다.
AWS CloudHSM 및 제조업체 루트 인증서를 받으려면
-
AWS CloudHSM 루트 인증서 다운로드: AWS_CloudHSM_Root-G1.zip
-
제조업체 루트 인증서 다운로드: liquid_security_certificate.zip
랜딩 페이지 https://www.marvell.com/products/security-solutions/ liquid-security-hsm-adapters -and-appliances/liquidsecurity-certificate.html
에서 인증서를 다운로드한 다음 인증서 다운로드를 선택합니다. [Download Certificate] 링크를 마우스 오른쪽 버튼으로 클릭한 후 [Save Link As...]를 선택해서 인증서 파일을 저장해야 할 수 있습니다.
-
파일을 다운로드한 후 압축을 풉니다.
인증서 체인 확인
이 단계에서는 두 개의 인증서 체인을 구성합니다. 하나는 AWS CloudHSM 루트 인증서에, 다른 하나는 제조업체 루트 인증서에 사용됩니다. 그런 다음 OpenSSL을 사용하여 각 인증서 체인으로 HSM 인증서를 확인합니다.
인증서 체인을 생성하려면 Linux 셸을 엽니다. OpenSSL(대부분의 Linux 셸에서 제공)이 필요하고, 다운로드한 루트 인증서 및 HSM 인증서 파일이 필요합니다. 하지만 이 단계에는 이 AWS CLI 필수가 없으며 셸을 AWS 계정과 연결할 필요도 없습니다.
AWS CloudHSM 루트 인증서로 HSM 인증서를 확인하려면
-
다운로드한 루트 인증서 및 HSM 인증서 파일을 저장한 디렉터리로 이동합니다. 다음 명령은 모든 인증서가 현재 디렉터리에 위치하고 기본 파일 이름을 사용한다고 가정합니다.
다음 명령을 사용하여 AWS 하드웨어 인증서와 AWS CloudHSM 루트 인증서를 순서대로 포함하는 인증서 체인을 생성합니다.
<cluster ID>를 이전에 생성한 클러스터의 ID로 바꿉니다.$cat<cluster ID>_AwsHardwareCertificate.crt \ AWS_CloudHSM_Root-G1.crt \ ><cluster ID>_AWS_chain.crt -
다음 OpenSSL 명령을 사용하여 AWS 인증서 체인으로 HSM 인증서를 확인합니다.
<cluster ID>를 이전에 생성한 클러스터의 ID로 바꿉니다.$openssl verify -CAfile<cluster ID>_AWS_chain.crt<cluster ID>_HsmCertificate.crt<cluster ID>_HsmCertificate.crt: OK
제조업체 루트 인증서로 HSM 인증서를 확인하려면
-
다음 명령을 사용하여 제조업체 하드웨어 인증서와 제조업체 루트 인증서를 순서대로 포함시켜 인증서 체인을 생성합니다.
<cluster ID>를 이전에 생성한 클러스터의 ID로 바꿉니다.$cat<cluster ID>_ManufacturerHardwareCertificate.crt \ liquid_security_certificate.crt \ ><cluster ID>_manufacturer_chain.crt -
다음 OpenSSL 명령을 사용하여 제조업체 인증서 체인으로 HSM 인증서를 확인합니다.
<cluster ID>를 이전에 생성한 클러스터의 ID로 바꿉니다.$openssl verify -CAfile<cluster ID>_manufacturer_chain.crt<cluster ID>_HsmCertificate.crt<cluster ID>_HsmCertificate.crt: OK
퍼블릭 키 추출 및 비교
OpenSSL을 사용하여 HSM 인증서 및 클러스터 CSR에서 퍼블릭 키를 추출 및 비교하여 둘이 동일한지 확인합니다.
퍼블릭 키를 비교하려면 Linux 셸을 사용합니다. 대부분의 Linux 셸에서 사용할 수 있는 OpenSSL이 필요하지만 이 AWS CLI 단계에는 필요하지 않습니다. 셸을 AWS 계정과 연결할 필요는 없습니다.
퍼블릭 키를 추출 및 비교하려면
-
다음 명령을 사용하여 HSM 인증서에서 퍼블릭 키를 추출합니다.
$openssl x509 -in<cluster ID>_HsmCertificate.crt -pubkey -noout ><cluster ID>_HsmCertificate.pub -
다음 명령을 사용하여 클러스터 CSR에서 퍼블릭 키를 추출합니다.
$openssl req -in<cluster ID>_ClusterCsr.csr -pubkey -noout ><cluster ID>_ClusterCsr.pub -
다음 명령을 사용하여 퍼블릭 키를 비교합니다. 퍼블릭 키들이 동일한 경우 다음 명령을 실행해도 출력이 생성되지 않습니다.
$diff<cluster ID>_HsmCertificate.pub<cluster ID>_ClusterCsr.pub
HSM의 ID 및 신뢰성을 확인한 후에는 클러스터 초기화로 넘어갑니다.
