Inicialize o cluster em AWS CloudHSM - AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Inicialize o cluster em AWS CloudHSM

Depois de criar seu cluster e adicionar seu módulo de segurança de hardware (HSM) AWS CloudHSM, você pode inicializar o cluster. Conclua as etapas dos tópicos a seguir para inicializar o cluster do .

nota

Antes de inicializar o cluster, revise o processo pelo qual você pode verificar a identidade e a autenticidade do. HSMs Esse processo é opcional e funciona apenas até que um cluster seja inicializado. Depois que o cluster for inicializado, você não poderá usar esse processo para obter seus certificados ou verificar o. HSMs

Etapa 1. Obtenha o cluster CSR

Antes de inicializar o cluster, você deve baixar e assinar uma solicitação de assinatura de certificado (CSR) que é gerada pela primeira vez HSM do cluster. Se você seguiu as etapas para verificar a identidade do seu cluster HSM, você já tem o CSR e pode assiná-lo. Caso contrário, obtenha o CSR agora usando o AWS CloudHSM console, o AWS Command Line Interface (AWS CLI) ou AWS CloudHSM API o.

Importante

Para inicializar seu cluster, sua âncora de confiança deve estar em conformidade com RFC5280 e atender aos seguintes requisitos:

  • Se estiver usando extensões X509v3, a extensão X509v3 Basic Constraints deve estar presente.

  • A âncora de confiança deve ser um certificado autoassinado.

  • Os valores de extensão não devem entrar em conflito uns com os outros.

Console
Para obter o CSR (console)
  1. Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/casa.

  2. Selecione o botão de rádio ao lado do ID do cluster com o que HSM você deseja verificar.

  3. Selecione Ações. No menu suspenso, escolha Iniciar.

  4. Se você não concluiu a etapa anterior para criar umaHSM, escolha uma Zona de Disponibilidade (AZ) para a HSM que você está criando. Em seguida, selecione Criar.

  5. Quando o CSR estiver pronto, você verá um link para baixá-lo.

    Baixe a página de solicitação de assinatura de certificado no AWS CloudHSM console.
  6. Escolha Cluster CSR para baixar e salvar CSR o.

AWS CLI
Para obter o CSR (AWS CLI)
  • Em um prompt de comando, execute o describe-clusters comando a seguir, que extrai o CSR e o salva em um arquivo. <cluster ID>Substitua pelo ID do cluster que você criou anteriormente.

    $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ > <cluster ID>_ClusterCsr.csr
AWS CloudHSM API
Para obter o CSR (AWS CloudHSM API)
  1. Envie uma solicitação DescribeClusters solicitação.

  2. Extraia e salve o CSR da resposta.

Etapa 2. Assine o CSR

Atualmente, você deve criar um certificado de assinatura autoassinado e usá-lo para assinar o do CSR seu cluster. Você não precisa do AWS CLI para esta etapa e o shell não precisa estar associado à sua AWS conta. Para assinar oCSR, você deve fazer o seguinte:

  1. Conclua a seção anterior (consulte Etapa 1. Obtenha o cluster CSR).

  2. Crie uma chave privada.

  3. Use a chave privada para criar um certificado de assinatura.

  4. Assine seu clusterCSR.

Crie uma chave privada

nota

Para um cluster de produção, a chave deve ser criada com segurança usando uma fonte confiável de aleatoriedade. Recomendamos que você use um ambiente externo e off-line seguro HSM ou equivalente. Armazene a chave com segurança. A chave estabelece a identidade do cluster e seu controle exclusivo sobre o HSMs que ele contém.

Para desenvolvimento e teste, você pode usar qualquer ferramenta conveniente (como OpenSSL) para criar e assinar o certificado de cluster. O exemplo a seguir mostra como criar uma chave. Após usar a chave para criar um certificado autoassinado (veja abaixo), você deve armazená-la com segurança. Para entrar na sua AWS CloudHSM instância, o certificado precisa estar presente, mas a chave privada não.

Use o comando a seguir para criar uma chave privada. Ao inicializar um AWS CloudHSM cluster, você deve usar o certificado RSA 2048 ou o certificado RSA 4096.

$ openssl genrsa -aes256 -out customerCA.key 2048 Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) Enter pass phrase for customerCA.key: Verifying - Enter pass phrase for customerCA.key:

Usar a chave privada para criar um certificado autoassinado

O hardware confiável que você usa para criar a chave privada para seu cluster de produção também deve fornecer uma ferramenta de software para gerar um certificado autoassinado usando essa chave. O exemplo a seguir usa Open SSL e a chave privada que você criou na etapa anterior para criar um certificado de assinatura. O certificado é válido por 10 anos (3652 dias). Leia as instruções na tela e siga os avisos.

$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt Enter pass phrase for customerCA.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []:

Este comando cria um arquivo de certificado nomeado customerCA.crt. Coloque esse certificado em cada host a partir do qual você se conectará ao seu AWS CloudHSM cluster. Se você der um nome diferente ao arquivo ou armazená-lo em um caminho diferente da raiz do host, edite o arquivo de configuração do cliente adequadamente. Use o certificado e a chave privada que você acabou de criar para assinar a solicitação de assinatura do certificado de cluster (CSR) na próxima etapa.

Assine o cluster CSR

O hardware confiável que você usa para criar sua chave privada para seu cluster de produção também deve fornecer uma ferramenta para assinar o CSR uso dessa chave. O exemplo a seguir usa Open SSL para assinar o clusterCSR. O exemplo usa a chave privada e o certificado autoassinado criado na etapa anterior.

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out <cluster ID>_CustomerHsmCertificate.crt Signature ok subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode Getting CA Private Key Enter pass phrase for customerCA.key:

Este comando cria um arquivo chamado <cluster ID>_CustomerHsmCertificate.crt. Use este arquivo como o certificado assinado ao inicializar o cluster.

Etapa 3. Inicializar o cluster

Use seu HSM certificado assinado e seu certificado de assinatura para inicializar seu cluster. Você pode usar o AWS CloudHSM console AWS CLI, o ou AWS CloudHSM API o.

Console
Para inicializar um cluster (console)
  1. Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/casa.

  2. Selecione o botão de rádio ao lado do ID do cluster com o que HSM você deseja verificar.

  3. Selecione Ações. No menu suspenso, escolha Iniciar.

  4. Se você não concluiu a etapa anterior para criar umaHSM, escolha uma Zona de Disponibilidade (AZ) para a HSM que você está criando. Em seguida, selecione Criar.

  5. Na página Download certificate signing request (Solicitação de assinatura de certificado de download), escolha Next (Próximo). Se Avançar não estiver disponível, primeiro escolha um dos links CSR ou do certificado. Escolha Próximo.

  6. Na página Assinar solicitação de assinatura de certificado (CSR), escolha Avançar.

  7. Na página Upload the certificates (Carregar os certificados), faça o seguinte:

    1. Ao lado de Cluster certificate (Certificado de cluster)selecione Upload file (Carregar arquivo). Em seguida, localize e selecione o HSM certificado que você assinou anteriormente. Se tiver executado as etapas na seção anterior, selecione o arquivo denominado <cluster ID>_CustomerHsmCertificate.crt.

    2. Ao lado de Issuing certificate (Certificado de emissão)selecione Upload file (Carregar arquivo). Em seguida, selecione seu certificado de assinatura. Se tiver executado as etapas na seção anterior, selecione o arquivo denominado customerCA.crt.

    3. Selecione Upload and initialize (Carregar e inicializar).

AWS CLI
Para inicializar um cluster (AWS CLI)
  • Em um prompt de comando, execute o comando initialize-cluster. Forneça o seguinte:

    • O ID do cluster que foi criado anteriormente.

    • O HSM certificado que você assinou anteriormente. Se tiver executado as etapas na seção anterior, ele foi salvo em um arquivo denominado <cluster ID>_CustomerHsmCertificate.crt.

    • Seu certificado de assinatura. Se tiver executado as etapas na seção anterior, o certificado de assinatura foi salvo em um arquivo denominado customerCA.crt.

    $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \ --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \ --trust-anchor file://customerCA.crt { "State": "INITIALIZE_IN_PROGRESS", "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion." }
AWS CloudHSM API
Para inicializar um cluster (AWS CloudHSM API)
  • Envie uma solicitação InitializeCluster com o seguinte:

    • O ID do cluster que foi criado anteriormente.

    • O HSM certificado que você assinou anteriormente.

    • Seu certificado de assinatura.