Ferramenta de configuração do Client SDK 5

Use a ferramenta de configuração do Client SDK 5 para atualizar os arquivos de configuração do lado do cliente.

Cada componente no Client SDK 5 inclui uma ferramenta de configuração com um designador do componente no nome do arquivo da ferramenta de configuração. Por exemplo, a biblioteca PKCS #11 do Client SDK 5 inclui uma ferramenta de configuração chamada configure-pkcs11 no Linux ou configure-pkcs11.exe no Windows.

Sintaxe

PKCS #11

configure-pkcs11[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-pkcs11.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-pkcs11.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
             [--enable-validate-key-at-init]
                  This is the default for PKCS #11

OpenSSL

configure-dyn[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <error>
             [--log-type <file | term>]
                  Default is <term>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for OpenSSL
             [--enable-validate-key-at-init]

JCE

configure-jce[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-jce.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-jce.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for JCE
             [--enable-validate-key-at-init]

CloudHSM CLI

configure-cli[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default for Linux is </opt/cloudhsm/run/cloudhsm-cli.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-cli.log>
             [--log-type <file | term>]
                  Default setting is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for CloudHSM CLI
             [--enable-validate-key-at-init]

Configurações avançadas

Para obter uma lista de configurações avançadas específicas da ferramenta de configuração do Client SDK 5, consulte Configurações avançadas para a ferramenta de configuração do Client SDK 5.

Importante

Depois de fazer qualquer alteração na configuração, você precisará reiniciar o aplicativo para que as alterações entrem em vigor.

Exemplos

Esses exemplos mostram como usar a ferramenta de configuração para o Client SDK 5.

Bootstrap do Client SDK 5

Este exemplo usa o parâmetro -a para atualizar os dados HSM do Client SDK 5. Para usar o parâmetro -a, você deve ter o endereço IP de um dos HSMs no seu cluster.

PKCS #11 library

Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 5

• Use a ferramenta de configuração para especificar o endereço IP de um HSM no seu cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
              

Para fazer o bootstrap de uma instância do EC2 do Windows para o Client SDK 5

• Use a ferramenta de configuração para especificar o endereço IP de um HSM no seu cluster.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
              

OpenSSL Dynamic Engine

Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 5

• Use a ferramenta de configuração para especificar o endereço IP de um HSM no seu cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
              

JCE provider

Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 5

• Use a ferramenta de configuração para especificar o endereço IP de um HSM no seu cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
              

Para fazer o bootstrap de uma instância do EC2 do Windows para o Client SDK 5

• Use a ferramenta de configuração para especificar o endereço IP de um HSM no seu cluster.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
              

CloudHSM CLI

Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 5

• Use a ferramenta de configuração para especificar o endereço IP do(s) HSM(s) em seu cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
              

Para fazer o bootstrap de uma instância do EC2 do Windows para o Client SDK 5

• Use a ferramenta de configuração para especificar o endereço IP do(s) HSM(s) em seu cluster.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
              

nota

você pode usar o parâmetro –-cluster-id no lugar de -a <HSM_IP_ADDRESSES>. Para ver os requisitos de uso de –-cluster-id, consulte Ferramenta de configuração do Client SDK 5.

Para obter mais informações sobre o parâmetro -a, consulte Parâmetros.

Especifique cluster, região e endpoint para o Client SDK 5

Este exemplo usa o parâmetro cluster-id para fazer o bootstrap do Client SDK 5 fazendo uma chamada DescribeClusters.

PKCS #11 library

Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 5 com cluster-id

• Use o ID do cluster cluster-1234567 para especificar o endereço IP de um HSM no seu cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567
              

Para fazer o bootstrap de uma instância do EC2 do Windows para o Client SDK 5 com cluster-id

• Use o ID do cluster cluster-1234567 para especificar o endereço IP de um HSM no seu cluster.

  
  "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --cluster-id cluster-1234567
              

OpenSSL Dynamic Engine

Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 5 com cluster-id

• Use o ID do cluster cluster-1234567 para especificar o endereço IP de um HSM no seu cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567
              

JCE provider

Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 5 com cluster-id

• Use o ID do cluster cluster-1234567 para especificar o endereço IP de um HSM no seu cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567
              

Para fazer o bootstrap de uma instância do EC2 do Windows para o Client SDK 5 com cluster-id

• Use o ID do cluster cluster-1234567 para especificar o endereço IP de um HSM no seu cluster.

  
  "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567
              

CloudHSM CLI

Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 5 com cluster-id

• Use o ID do cluster cluster-1234567 para especificar o endereço IP de um HSM no seu cluster.

  
  $ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567
              

Para fazer o bootstrap de uma instância do EC2 do Windows para o Client SDK 5 com cluster-id

• Use o ID do cluster cluster-1234567 para especificar o endereço IP de um HSM no seu cluster.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id cluster-1234567
              

Você pode usar os parâmetros --region e --endpoint em combinação com o parâmetro cluster-id para especificar como o sistema faz a chamada DescribeClusters. Por exemplo, se a região do cluster for diferente daquela configurada como padrão do AWS CLI, você deve usar o parâmetro --region para usar essa região. Além disso, você pode especificar o endpoint da AWS CloudHSM API a ser usado na chamada, o que pode ser necessário para várias configurações de rede, como usar endpoints de interface VPC que não usam o nome de host DNS padrão para. AWS CloudHSM

PKCS #11 library

Para fazer o bootstrap de uma instância Linux EC2 com um endpoint e uma região personalizados

• Use a ferramenta de configuração para especificar o endereço IP de um HSM em seu cluster com uma região e um endpoint personalizados.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

Para fazer o bootstrap de uma instância Windows EC2 com um endpoint e uma região

• Use a ferramenta de configuração para especificar o endereço IP de um HSM em seu cluster com uma região e um endpoint personalizados.

  
  C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

OpenSSL Dynamic Engine

Para fazer o bootstrap de uma instância Linux EC2 com um endpoint e uma região personalizados

• Use a ferramenta de configuração para especificar o endereço IP de um HSM em seu cluster com uma região e um endpoint personalizados.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

JCE provider

Para fazer o bootstrap de uma instância Linux EC2 com um endpoint e uma região personalizados

• Use a ferramenta de configuração para especificar o endereço IP de um HSM em seu cluster com uma região e um endpoint personalizados.

  
  $ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

Para fazer o bootstrap de uma instância Windows EC2 com um endpoint e uma região

• Use a ferramenta de configuração para especificar o endereço IP de um HSM em seu cluster com uma região e um endpoint personalizados.

  
  "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

CloudHSM CLI

Para fazer o bootstrap de uma instância Linux EC2 com um endpoint e uma região personalizados

• Use a ferramenta de configuração para especificar o endereço IP de um HSM em seu cluster com uma região e um endpoint personalizados.

  
  $ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

Para fazer o bootstrap de uma instância Windows EC2 com um endpoint e uma região

• Use a ferramenta de configuração para especificar o endereço IP de um HSM em seu cluster com uma região e um endpoint personalizados.

  
  "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
              

Para obter mais informações sobre os parâmetros --endpoint, --cluster-id e --region, consulte Parâmetros.

Atualize o certificado e a chave do cliente para autenticação mútua TLS cliente-servidor

Este exemplo mostra como usar os --server-client-key-file parâmetros server-client-cert-file e para reconfigurar o SSL especificando uma chave personalizada e um certificado SSL para AWS CloudHSM

PKCS #11 library

Para usar um certificado e uma chave personalizados para autenticação mútua TLS cliente-servidor com o Client SDK 5 no Linux

1. Copie a chave e o certificado para o diretório apropriado.

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. Use a ferramenta de configuração para especificar ssl-client.crt e ssl-client.key.

   $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Para usar um certificado e uma chave personalizados para autenticação mútua TLS cliente-servidor com o Client SDK 5 no Windows

1. Copie a chave e o certificado para o diretório apropriado.

   cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
   cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

2. Com um PowerShell intérprete, use a ferramenta de configuração para especificar ssl-client.crt e. ssl-client.key

   & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
               --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
               --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

OpenSSL Dynamic Engine

Para usar um certificado e uma chave personalizados para autenticação mútua TLS cliente-servidor com o Client SDK 5 no Linux

1. Copie a chave e o certificado para o diretório apropriado.

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. Use a ferramenta de configuração para especificar ssl-client.crt e ssl-client.key.

   $ sudo /opt/cloudhsm/bin/configure-dyn \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

JCE provider

Para usar um certificado e uma chave personalizados para autenticação mútua TLS cliente-servidor com o Client SDK 5 no Linux

1. Copie a chave e o certificado para o diretório apropriado.

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. Use a ferramenta de configuração para especificar ssl-client.crt e ssl-client.key.

   $ sudo /opt/cloudhsm/bin/configure-jce \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Para usar um certificado e uma chave personalizados para autenticação mútua TLS cliente-servidor com o Client SDK 5 no Windows

1. Copie a chave e o certificado para o diretório apropriado.

   cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
   cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

2. Com um PowerShell intérprete, use a ferramenta de configuração para especificar ssl-client.crt e. ssl-client.key

   & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
               --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
               --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

CloudHSM CLI

Para usar um certificado e uma chave personalizados para autenticação mútua TLS cliente-servidor com o Client SDK 5 no Linux

1. Copie a chave e o certificado para o diretório apropriado.

   $ sudo cp ssl-client.crt /opt/cloudhsm/etc
   sudo cp ssl-client.key /opt/cloudhsm/etc

2. Use a ferramenta de configuração para especificar ssl-client.crt e ssl-client.key.

   $ sudo /opt/cloudhsm/bin/configure-cli \
               --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
               --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Para usar um certificado e uma chave personalizados para autenticação mútua TLS cliente-servidor com o Client SDK 5 no Windows

1. Copie a chave e o certificado para o diretório apropriado.

   cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
   cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

2. Com um PowerShell intérprete, use a ferramenta de configuração para especificar ssl-client.crt e. ssl-client.key

   & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
               --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
               --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Para obter mais informações sobre os parâmetros server-client-cert-file e --server-client-key-file, consulte Parâmetros.

Configurações de durabilidade da chave do cliente

Este exemplo usa o parâmetro --disable-key-availability-check para desativar as configurações de durabilidade da chave do cliente. Para executar um cluster com um único HSM, você deve desativar as configurações de durabilidade da chave do cliente.

PKCS #11 library

Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Linux

• Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
              

Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Windows

• Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
              

OpenSSL Dynamic Engine

Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Linux

• Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
              

JCE provider

Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Linux

• Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.

  
  $ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
              

Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Windows

• Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
              

CloudHSM CLI

Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Linux

• Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.

  
  $ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
              

Para desativar a durabilidade de chave do cliente para o Client SDK 5 no Windows

• Use a ferramenta de configuração para desativar as configurações de durabilidade de chave do cliente.

  
  "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
              

Para obter mais informações sobre o parâmetro --disable-key-availability-check, consulte Parâmetros.

Gerenciar opções de registro em logging

O Client SDK 5 usa os parâmetros log-file, log-level, log-rotation e log-type para gerenciar o logging.

nota

Para configurar seu SDK para ambientes sem servidor, como AWS Fargate ou AWS Lambda, recomendamos que você configure seu tipo de log como. AWS CloudHSM term Os registros do cliente serão enviados stderr e capturados no grupo de CloudWatch registros de registros configurado para esse ambiente.

PKCS #11 library

Local dos logs padrão

• Se você não especificar um local para o arquivo, o sistema gravará os registros no local padrão:

  Linux

  /opt/cloudhsm/run/cloudhsm-pkcs11.log

  Windows

  C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log

Para configurar o nível de logging e deixar outras opções de logging definidas como padrão

• $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info

Para configurar as opções de logging de arquivos

• $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file <file name with path> --log-rotation daily --log-level info

Para configurar as opções de logging do terminal

• $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info

OpenSSL Dynamic Engine

Local dos logs padrão

• Se você não especificar um local para o arquivo, o sistema gravará os registros no local padrão:

  Linux

  stderr

Para configurar o nível de logging e deixar outras opções de logging definidas como padrão

• $ sudo /opt/cloudhsm/bin/configure-dyn --log-level info

Para configurar as opções de logging de arquivos

• $ sudo /opt/cloudhsm/bin/configure-dyn --log-type <file name> --log-file file --log-rotation daily --log-level info

Para configurar as opções de logging do terminal

• $ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info

JCE provider

Local dos logs padrão

• Se você não especificar um local para o arquivo, o sistema gravará os registros no local padrão:

  Linux

  /opt/cloudhsm/run/cloudhsm-jce.log

  Windows

  C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log

Para configurar o nível de logging e deixar outras opções de logging definidas como padrão

• $ sudo /opt/cloudhsm/bin/configure-jce --log-level info

Para configurar as opções de logging de arquivos

• $ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file <file name> --log-rotation daily --log-level info

Para configurar as opções de logging do terminal

• $ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info

CloudHSM CLI

Local dos logs padrão

• Se você não especificar um local para o arquivo, o sistema gravará os registros no local padrão:

  Linux

  /opt/cloudhsm/run/cloudhsm-cli.log

  Windows

  C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log

Para configurar o nível de logging e deixar outras opções de logging definidas como padrão

• $ sudo /opt/cloudhsm/bin/configure-cli --log-level info

Para configurar as opções de logging de arquivos

• $ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file <file name> --log-rotation daily --log-level info

Para configurar as opções de logging do terminal

• $ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info

Para obter mais informações sobre os parâmetros log-rotation, log-file, log-level e log-type, consulte Parâmetros.

Coloque o certificado de emissão para o Client SDK 5

Este exemplo usa o parâmetro --hsm-ca-cert para atualizar a localização do certificado de emissão do Client SDK 5.

PKCS #11 library

Para colocar o certificado de emissão no Linux para o Client SDK 5

• Use a ferramenta de configuração para especificar um local para o certificado de emissão.

  
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
              

Para colocar o certificado de emissão no Windows para o Client SDK 5

• Use a ferramenta de configuração para especificar um local para o certificado de emissão.

  
  "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
              

OpenSSL Dynamic Engine

Para colocar o certificado de emissão no Linux para o Client SDK 5

• Use a ferramenta de configuração para especificar um local para o certificado de emissão.

  
  $ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
              

JCE provider

Para colocar o certificado de emissão no Linux para o Client SDK 5

• Use a ferramenta de configuração para especificar um local para o certificado de emissão.

  
  $ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
              

Para colocar o certificado de emissão no Windows para o Client SDK 5

• Use a ferramenta de configuração para especificar um local para o certificado de emissão.

  
  "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
              

CloudHSM CLI

Para colocar o certificado de emissão no Linux para o Client SDK 5

• Use a ferramenta de configuração para especificar um local para o certificado de emissão.

  
  $ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
              

Para colocar o certificado de emissão no Windows para o Client SDK 5

• Use a ferramenta de configuração para especificar um local para o certificado de emissão.

  
  "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>
              

Para obter mais informações sobre o parâmetro --hsm-ca-cert, consulte Parâmetros.

Parâmetros

-a <ENI IP address>

Adiciona o endereço IP especificado aos arquivos de configuração do SDK do cliente 5. Insira qualquer endereço IP ENI de um HSM do cluster. Para obter mais informações sobre como usar essa opção, consulte o Bootstrap o Client SDK 5.

Obrigatório: Sim

-- hsm-ca-cert <customerCA certificate file path>

Caminho para o diretório que armazena o certificado da autoridade de certificação (CA) usado para conectar instâncias do cliente EC2 ao cluster. Esse é o arquivo que você criou ao inicializar o cluster. Por padrão, o sistema procura esse arquivo no seguinte local:

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Para obter mais informações sobre como inicializar o cluster ou colocar o certificado, consulte Coloque um certificado de emissão em cada instância do EC2 e Inicializar o cluster.

Obrigatório: Não

--cluster-id <Cluster ID>

Faz uma chamada DescribeClusters para encontrar todos os endereços IP da interface de rede elástica (ENI) do HSM no cluster associado ao ID do cluster. O sistema adiciona os endereços IP ENI aos arquivos de AWS CloudHSM configuração.

nota

Se você usar o --cluster-id parâmetro de uma instância do EC2 em uma VPC que não tem acesso à Internet pública, deverá criar uma interface VPC endpoint à qual se conectar. AWS CloudHSM Para obter mais informações sobre os endpoints da VPC, consulte AWS CloudHSM e VPC endpoints.

Obrigatório: Não

--endpoint <Endpoint>

Especifique o endpoint AWS CloudHSM da API usado para fazer a DescribeClusters chamada. Você deve definir essa opção em combinação com --cluster-id.

Obrigatório: Não

--region <Region>

Especifique a região do seu cluster. Você deve definir essa opção em combinação com --cluster-id.

Se você não fornecer o parâmetro --region, o sistema escolherá a região tentando ler as variáveis de ambiente AWS_DEFAULT_REGION ou AWS_REGION. Se essas variáveis não estiverem definidas, o sistema verificará a região associada ao seu perfil no seu arquivo de AWS Config (normalmente ~/.aws/config), a menos que você tenha especificado um arquivo diferente na variável de ambiente AWS_CONFIG_FILE. Se nenhuma das opções acima for definida, o sistema usará a região us-east-1 como padrão.

Obrigatório: Não

-- server-client-cert-file <client certificate file path>

Caminho para o certificado de cliente usado para autenticação mútua entre cliente e servidor TLS.

Use essa opção somente se não quiser usar a chave padrão e o certificado SSL/TLS que incluímos no Client SDK 5. Você deve definir essa opção em combinação com --server-client-key-file.

Obrigatório: Não

-- server-client-key-file <client key file path>

Caminho para a chave do cliente usada para autenticação mútua entre cliente e servidor TLS.

Use essa opção somente se não quiser usar a chave padrão e o certificado SSL/TLS que incluímos no Client SDK 5. Você deve definir essa opção em combinação com --server-client-cert-file.

Obrigatório: Não

--log-level <error | warn | info | debug | trace>

Especifica o nível mínimo de registro que o sistema deve gravar no arquivo de log. Cada nível inclui os níveis anteriores, com erro como nível mínimo e rastreie o nível máximo. Isso significa que, se você especificar erros, o sistema só gravará erros no log. Se você especificar rastreamento, o sistema gravará mensagens de erros, avisos, informações (info) e de depuração no log. Para obter mais informações, consulte Atualização do Client SDK 5.

Obrigatório: Não

--log-rotation <daily | weekly>

Especifica a frequência com que o sistema gira os logs. Para obter mais informações, consulte Atualização do Client SDK 5.

Obrigatório: Não

--log-file <file name with path>

Especifica onde o sistema gravará o arquivo de log. Para obter mais informações, consulte Atualização do Client SDK 5.

Obrigatório: Não

--log-type <term | file>

Especifica se o sistema gravará o log em um arquivo ou terminal. Para obter mais informações, consulte Atualização do Client SDK 5.

Obrigatório: Não

-h | --help

Exibe ajuda.

Obrigatório: Não

-v, --version

Exibe a versão do .

Obrigatório: Não

--disable-key-availability-check

Sinalize para desativar o quórum de disponibilidade de chaves. Use esse sinalizador para indicar se AWS CloudHSM deve desativar o quórum de disponibilidade de chaves e você pode usar chaves que existem em apenas um HSM no cluster. Para obter mais informações sobre como usar esse sinalizador para definir o quórum de disponibilidade de chaves, consulte Gerenciando as configurações de durabilidade de chave do cliente.

Obrigatório: Não

--enable-key-availability-check

Sinalize para ativar o quórum de disponibilidade de chaves. Use esse sinalizador para indicar que você AWS CloudHSM deve usar o quorum de disponibilidade de chaves e não permitir que você use chaves até que essas chaves existam em dois HSMs no cluster. Para obter mais informações sobre como usar esse sinalizador para definir o quórum de disponibilidade de chaves, consulte Gerenciando as configurações de durabilidade de chave do cliente.

Habilitada por padrão.

Obrigatório: Não

-- disable-validate-key-at -init

Melhora o desempenho especificando que você pode pular uma chamada de inicialização para verificar as permissões em uma chave para chamadas subsequentes. Use com cautela.

Antecedentes: Alguns mecanismos na biblioteca PKCS #11 oferecem suporte a operações de várias partes em que uma chamada de inicialização verifica se você pode usar a chave para chamadas subsequentes. Isso requer uma chamada de verificação para o HSM, o que adiciona latência à operação geral. Essa opção permite que você desative a chamada subseqüente e potencialmente melhore o desempenho.

Obrigatório: Não

-- enable-validate-key-at -init

Especifica que você deve usar uma chamada de inicialização para verificar as permissões em uma chave para chamadas subsequentes. Esta é a opção padrão. Use enable-validate-key-at-init para retomar essas chamadas de inicialização depois de usar disable-validate-key-at-init para suspendê-las.

Obrigatório: Não

Tópicos relacionados da

• DescribeClusters Operação de API

• describe-clusters no &CLI;

• Get-HSM2Cluster PowerShell cmdlet

• Bootstrap do Client SDK 5

• AWS CloudHSM Endpoints da VPC

• Gerenciando as configurações de durabilidade da chave Client SDK 5

• Registro em log do Client SDK 5