As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Inicializar o cluster
Conclua as etapas nos tópicos a seguir para inicializar seu AWS CloudHSM cluster.
nota
Antes de inicializar o cluster, reveja o processo pelo qual você pode verificar a identidade e a autenticidade dos HSMs. Esse processo é opcional e funciona apenas até que um cluster seja inicializado. Depois que o cluster for inicializado, você não poderá usar esse processo para obter seus certificados ou verificar os HSMs.
Tópicos
Obter a Solicitação de assinatura de certificado (CSR) do cluster
Antes de inicializar o cluster, é necessário baixar e assinar uma solicitação de assinatura de certificado (CSR) gerada pelo primeiro HSM do cluster. Se tiver seguido as etapas para verificar a identidade do HSM do cluster, você já deverá ter a CSR e poderá assiná-la. Caso contrário, obtenha a CSR agora usando o AWS CloudHSM console
Importante
Para inicializar seu cluster, sua âncora de confiança deve estar em conformidade com a RFC 5280
Se estiver usando extensões X509v3, a extensão X509v3 Basic Constraints deve estar presente.
A âncora de confiança deve ser um certificado autoassinado.
Os valores de extensão não devem entrar em conflito uns com os outros.
Para obter a CSR (console)
Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/home
. -
Selecione o botão de seleção ao lado do ID do cluster com o HSM que deseja verificar.
-
Selecione Ações. No menu suspenso, escolha Iniciar.
-
Se você não concluiu a etapa anterior para criar um HSM, escolha uma Zona de Disponibilidade (AZ) para o HSM que você está criando. Em seguida, selecione Criar.
-
Quando a CSR estiver pronta, você verá um link para fazer o download.
Selecione Cluster CSR para fazer o download e salvar a CSR.
Para obter o CSR (CLI)
-
No prompt de comando, execute o seguinte comando describe-clusters, que extrai a CSR e a salva em um arquivo. Substitua o
<cluster ID>
pelo ID do cluster que tinha sido criado anteriormente.$
aws cloudhsmv2 describe-clusters --filters clusterIds=
<cluster ID>
\ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ ><cluster ID>
_ClusterCsr.csr
Para obter o CSR (AWS CloudHSM API)
-
Envie uma solicitação DescribeClusters.
Extraia e salve a CSR da resposta.
Assinar a CSR
Atualmente, você deve criar um certificado de assinatura autoassinado e usá-lo para assinar a CSR do seu cluster. Você não precisa da CLI para essa etapa e o shell não precisa estar associado à sua AWS conta. Para assinar a CSR, você deve fazer o seguinte:
Conclua a seção anterior (consulte Obter a Solicitação de assinatura de certificado (CSR) do cluster).
Crie uma chave privada.
Use a chave privada para criar um certificado de assinatura.
Assine a CSR do seu cluster.
Crie uma chave privada
nota
Para um cluster de produção, a chave deve ser criada com segurança usando uma fonte confiável de aleatoriedade. Recomendamos que você use um HSM fora do local e off-line ou o equivalente. Armazene a chave com segurança. A chave estabelece a identidade do cluster e seu controle exclusivo sobre os HSMs que ele contém.
Durante a fase de desenvolvimento e teste, você pode usar qualquer ferramenta conveniente (como o OpenSSL) para criar e assinar o certificado do cluster. O exemplo a seguir mostra como criar uma chave. Após usar a chave para criar um certificado autoassinado (veja abaixo), você deve armazená-la com segurança. Para entrar na sua AWS CloudHSM instância, o certificado precisa estar presente, mas a chave privada não.
Use o comando a seguir para criar uma chave privada. Ao inicializar um AWS CloudHSM cluster, você deve usar o certificado RSA 2048 ou o certificado RSA 4096.
$
openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) Enter pass phrase for customerCA.key: Verifying - Enter pass phrase for customerCA.key:
Usar a chave privada para criar um certificado autoassinado
O hardware confiável que você usa para criar a chave privada para seu cluster de produção também deve fornecer uma ferramenta de software para gerar um certificado autoassinado usando essa chave. O exemplo a seguir usa o OpenSSL e a chave privada criada na etapa anterior para criar um certificado de assinatura. O certificado é válido por 10 anos (3652 dias). Leia as instruções na tela e siga os avisos.
$
openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []:
Este comando cria um arquivo de certificado nomeado customerCA.crt
. Coloque esse certificado em cada host a partir do qual você se conectará ao seu AWS CloudHSM cluster. Se você der um nome diferente ao arquivo ou armazená-lo em um caminho diferente da raiz do host, edite o arquivo de configuração do cliente adequadamente. Use o certificado e a chave privada que você acabou de criar para assinar a solicitação de assinatura de certificado (CSR) do cluster na próxima etapa.
Assinar a CSR do cluster
O hardware confiável que você usa para criar a chave privada do cluster de produção também deve fornecer uma ferramenta para assinar a CSR por meio dessa chave. O exemplo a seguir usa o OpenSSL para assinar a CSR do cluster. O exemplo usa a chave privada e o certificado autoassinado criado na etapa anterior.
$
openssl x509 -req -days 3652 -in
<cluster ID>
_ClusterCsr.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out<cluster ID>
_CustomerHsmCertificate.crtSignature ok subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:
<HSM identifer>
:PARTN:<partition number>
, for FIPS mode Getting CA Private Key Enter pass phrase for customerCA.key:
Este comando cria um arquivo chamado
. Use este arquivo como o certificado assinado ao inicializar o cluster. <cluster ID>
_CustomerHsmCertificate.crt
Inicializar o cluster
Use o certificado assinado do HSM e o certificado de assinatura para inicializar o cluster. Você pode usar o AWS CloudHSM console
Para inicializar um cluster (console)
Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/home
. -
Selecione o botão de seleção ao lado do ID do cluster com o HSM que deseja verificar.
-
Selecione Ações. No menu suspenso, escolha Iniciar.
-
Se você não concluiu a etapa anterior para criar um HSM, escolha uma Zona de Disponibilidade (AZ) para o HSM que você está criando. Em seguida, selecione Criar.
-
Na página Download certificate signing request (Solicitação de assinatura de certificado de download), escolha Next (Próximo). Se a opção Next (Próximo) não estiver disponível, selecione primeiro um dos links de certificado ou de CSR. Em seguida, escolha Next (Próximo).
-
Na página de Download certificate signing request [Solicitação assinatura de certificado (CSR)], selecione Next (Próximo).
-
Na página Upload the certificates (Carregar os certificados), faça o seguinte:
-
Ao lado de Cluster certificate (Certificado de cluster)selecione Upload file (Carregar arquivo). Em seguida, localize e selecione o certificado do HSM assinado anteriormente. Se tiver executado as etapas na seção anterior, selecione o arquivo denominado
.<cluster ID>
_CustomerHsmCertificate.crt -
Ao lado de Issuing certificate (Certificado de emissão)selecione Upload file (Carregar arquivo). Em seguida, selecione seu certificado de assinatura. Se tiver executado as etapas na seção anterior, selecione o arquivo denominado
customerCA.crt
. -
Selecione Upload and initialize (Carregar e inicializar).
-
Para inicializar um cluster (CLI)
-
Em um prompt de comando, execute o comando initialize-cluster. Forneça o seguinte:
-
O ID do cluster que foi criado anteriormente.
-
O certificado de HSM que foi assinado anteriormente. Se tiver executado as etapas na seção anterior, ele foi salvo em um arquivo denominado
.<cluster ID>
_CustomerHsmCertificate.crt -
Seu certificado de assinatura. Se tiver executado as etapas na seção anterior, o certificado de assinatura foi salvo em um arquivo denominado
customerCA.crt
.
$
aws cloudhsmv2 initialize-cluster --cluster-id
<cluster ID>
\ --signed-cert file://<cluster ID>
_CustomerHsmCertificate.crt \ --trust-anchor file://customerCA.crt{ "State": "INITIALIZE_IN_PROGRESS", "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion." }
-
Para inicializar um cluster (AWS CloudHSM API)
-
Envie uma solicitação InitializeCluster com o seguinte:
-
O ID do cluster que foi criado anteriormente.
-
O certificado de HSM que foi assinado anteriormente.
-
Seu certificado de assinatura.
-