Inicializar o cluster

Conclua as etapas nos tópicos a seguir para inicializar seu AWS CloudHSM cluster.

nota

Antes de inicializar o cluster, reveja o processo pelo qual você pode verificar a identidade e a autenticidade dos HSMs. Esse processo é opcional e funciona apenas até que um cluster seja inicializado. Depois que o cluster for inicializado, você não poderá usar esse processo para obter seus certificados ou verificar os HSMs.

Obter a Solicitação de assinatura de certificado (CSR) do cluster

Antes de inicializar o cluster, é necessário baixar e assinar uma solicitação de assinatura de certificado (CSR) gerada pelo primeiro HSM do cluster. Se tiver seguido as etapas para verificar a identidade do HSM do cluster, você já deverá ter a CSR e poderá assiná-la. Caso contrário, obtenha a CSR agora usando o AWS CloudHSM console, a AWS Command Line Interface (CLI) ou AWS CloudHSM a API.

Importante

Para inicializar seu cluster, sua âncora de confiança deve estar em conformidade com a RFC 5280 e atender aos seguintes requisitos:

• Se estiver usando extensões X509v3, a extensão X509v3 Basic Constraints deve estar presente.

• A âncora de confiança deve ser um certificado autoassinado.

• Os valores de extensão não devem entrar em conflito uns com os outros.

Para obter a CSR (console)

1. Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/home.

2. Selecione o botão de seleção ao lado do ID do cluster com o HSM que deseja verificar.

3. Selecione Ações. No menu suspenso, escolha Iniciar.

4. Se você não concluiu a etapa anterior para criar um HSM, escolha uma Zona de Disponibilidade (AZ) para o HSM que você está criando. Em seguida, selecione Criar.

5. Quando a CSR estiver pronta, você verá um link para fazer o download.

   

6. Selecione Cluster CSR para fazer o download e salvar a CSR.

Para obter o CSR (CLI)

• No prompt de comando, execute o seguinte comando describe-clusters, que extrai a CSR e a salva em um arquivo. Substitua o <cluster ID> pelo ID do cluster que tinha sido criado anteriormente.

  $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                     --output text \
                                     --query 'Clusters[].Certificates.ClusterCsr' \
                                     > <cluster ID>_ClusterCsr.csr
  

Para obter o CSR (AWS CloudHSM API)

1. Envie uma solicitação DescribeClusters.

2. Extraia e salve a CSR da resposta.

Assinar a CSR

Atualmente, você deve criar um certificado de assinatura autoassinado e usá-lo para assinar a CSR do seu cluster. Você não precisa da CLI para essa etapa e o shell não precisa estar associado à sua AWS conta. Para assinar a CSR, você deve fazer o seguinte:

1. Conclua a seção anterior (consulte Obter a Solicitação de assinatura de certificado (CSR) do cluster).

2. Crie uma chave privada.

3. Use a chave privada para criar um certificado de assinatura.

4. Assine a CSR do seu cluster.

Crie uma chave privada

nota

Para um cluster de produção, a chave deve ser criada com segurança usando uma fonte confiável de aleatoriedade. Recomendamos que você use um HSM fora do local e off-line ou o equivalente. Armazene a chave com segurança. A chave estabelece a identidade do cluster e seu controle exclusivo sobre os HSMs que ele contém.

Durante a fase de desenvolvimento e teste, você pode usar qualquer ferramenta conveniente (como o OpenSSL) para criar e assinar o certificado do cluster. O exemplo a seguir mostra como criar uma chave. Após usar a chave para criar um certificado autoassinado (veja abaixo), você deve armazená-la com segurança. Para entrar na sua AWS CloudHSM instância, o certificado precisa estar presente, mas a chave privada não.

Use o comando a seguir para criar uma chave privada. Ao inicializar um AWS CloudHSM cluster, você deve usar o certificado RSA 2048 ou o certificado RSA 4096.

$ openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerCA.key:
Verifying - Enter pass phrase for customerCA.key:

Usar a chave privada para criar um certificado autoassinado

O hardware confiável que você usa para criar a chave privada para seu cluster de produção também deve fornecer uma ferramenta de software para gerar um certificado autoassinado usando essa chave. O exemplo a seguir usa o OpenSSL e a chave privada criada na etapa anterior para criar um certificado de assinatura. O certificado é válido por 10 anos (3652 dias). Leia as instruções na tela e siga os avisos.

$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Este comando cria um arquivo de certificado nomeado customerCA.crt. Coloque esse certificado em cada host a partir do qual você se conectará ao seu AWS CloudHSM cluster. Se você der um nome diferente ao arquivo ou armazená-lo em um caminho diferente da raiz do host, edite o arquivo de configuração do cliente adequadamente. Use o certificado e a chave privada que você acabou de criar para assinar a solicitação de assinatura de certificado (CSR) do cluster na próxima etapa.

Assinar a CSR do cluster

O hardware confiável que você usa para criar a chave privada do cluster de produção também deve fornecer uma ferramenta para assinar a CSR por meio dessa chave. O exemplo a seguir usa o OpenSSL para assinar a CSR do cluster. O exemplo usa a chave privada e o certificado autoassinado criado na etapa anterior.

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
                              -CA customerCA.crt \
                              -CAkey customerCA.key \
                              -CAcreateserial \
                              -out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifer>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for customerCA.key:

Este comando cria um arquivo chamado <cluster ID>_CustomerHsmCertificate.crt. Use este arquivo como o certificado assinado ao inicializar o cluster.

Inicializar o cluster

Use o certificado assinado do HSM e o certificado de assinatura para inicializar o cluster. Você pode usar o AWS CloudHSM console, a CLI ou a AWS CloudHSM API.

Para inicializar um cluster (console)

1. Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/home.

2. Selecione o botão de seleção ao lado do ID do cluster com o HSM que deseja verificar.

3. Selecione Ações. No menu suspenso, escolha Iniciar.

4. Se você não concluiu a etapa anterior para criar um HSM, escolha uma Zona de Disponibilidade (AZ) para o HSM que você está criando. Em seguida, selecione Criar.

5. Na página Download certificate signing request (Solicitação de assinatura de certificado de download), escolha Next (Próximo). Se a opção Next (Próximo) não estiver disponível, selecione primeiro um dos links de certificado ou de CSR. Em seguida, escolha Next (Próximo).

6. Na página de Download certificate signing request [Solicitação assinatura de certificado (CSR)], selecione Next (Próximo).

7. Na página Upload the certificates (Carregar os certificados), faça o seguinte:

   1. Ao lado de Cluster certificate (Certificado de cluster)selecione Upload file (Carregar arquivo). Em seguida, localize e selecione o certificado do HSM assinado anteriormente. Se tiver executado as etapas na seção anterior, selecione o arquivo denominado <cluster ID>_CustomerHsmCertificate.crt.

   2. Ao lado de Issuing certificate (Certificado de emissão)selecione Upload file (Carregar arquivo). Em seguida, selecione seu certificado de assinatura. Se tiver executado as etapas na seção anterior, selecione o arquivo denominado customerCA.crt.

   3. Selecione Upload and initialize (Carregar e inicializar).

Para inicializar um cluster (CLI)

• Em um prompt de comando, execute o comando initialize-cluster. Forneça o seguinte:

  • O ID do cluster que foi criado anteriormente.

  • O certificado de HSM que foi assinado anteriormente. Se tiver executado as etapas na seção anterior, ele foi salvo em um arquivo denominado <cluster ID>_CustomerHsmCertificate.crt.

  • Seu certificado de assinatura. Se tiver executado as etapas na seção anterior, o certificado de assinatura foi salvo em um arquivo denominado customerCA.crt.

  $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                      --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                      --trust-anchor file://customerCA.crt
  {
      "State": "INITIALIZE_IN_PROGRESS",
      "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
  }
  

Para inicializar um cluster (AWS CloudHSM API)

• Envie uma solicitação InitializeCluster com o seguinte:

  • O ID do cluster que foi criado anteriormente.

  • O certificado de HSM que foi assinado anteriormente.

  • Seu certificado de assinatura.