As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Inicialize o cluster em AWS CloudHSM
Depois de criar seu cluster e adicionar seu módulo de segurança de hardware (HSM) AWS CloudHSM, você pode inicializar o cluster. Conclua as etapas dos tópicos a seguir para inicializar o cluster do .
nota
Antes de inicializar o cluster, revise o processo pelo qual você pode verificar a identidade e a autenticidade do. HSMs Esse processo é opcional e funciona apenas até que um cluster seja inicializado. Depois que o cluster for inicializado, você não poderá usar esse processo para obter seus certificados ou verificar o. HSMs
Etapa 1. Obtenha o cluster CSR
Antes de inicializar o cluster, você deve baixar e assinar uma solicitação de assinatura de certificado (CSR) que é gerada pela primeira vez HSM do cluster. Se você seguiu as etapas para verificar a identidade do seu cluster HSM, você já tem o CSR e pode assiná-lo. Caso contrário, obtenha o CSR agora usando o AWS CloudHSM console
Importante
Para inicializar seu cluster, sua âncora de confiança deve estar em conformidade com RFC5280
Se estiver usando extensões X509v3, a extensão X509v3 Basic Constraints deve estar presente.
A âncora de confiança deve ser um certificado autoassinado.
Os valores de extensão não devem entrar em conflito uns com os outros.
Etapa 2. Assine o CSR
Atualmente, você deve criar um certificado de assinatura autoassinado e usá-lo para assinar o do CSR seu cluster. Você não precisa do AWS CLI para esta etapa e o shell não precisa estar associado à sua AWS conta. Para assinar oCSR, você deve fazer o seguinte:
Conclua a seção anterior (consulte Etapa 1. Obtenha o cluster CSR).
Crie uma chave privada.
Use a chave privada para criar um certificado de assinatura.
Assine seu clusterCSR.
Crie uma chave privada
nota
Para um cluster de produção, a chave deve ser criada com segurança usando uma fonte confiável de aleatoriedade. Recomendamos que você use um ambiente externo e off-line seguro HSM ou equivalente. Armazene a chave com segurança. A chave estabelece a identidade do cluster e seu controle exclusivo sobre o HSMs que ele contém.
Para desenvolvimento e teste, você pode usar qualquer ferramenta conveniente (como OpenSSL) para criar e assinar o certificado de cluster. O exemplo a seguir mostra como criar uma chave. Após usar a chave para criar um certificado autoassinado (veja abaixo), você deve armazená-la com segurança. Para entrar na sua AWS CloudHSM instância, o certificado precisa estar presente, mas a chave privada não.
Use o comando a seguir para criar uma chave privada. Ao inicializar um AWS CloudHSM cluster, você deve usar o certificado RSA 2048 ou o certificado RSA 4096.
$
openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) Enter pass phrase for customerCA.key: Verifying - Enter pass phrase for customerCA.key:
Usar a chave privada para criar um certificado autoassinado
O hardware confiável que você usa para criar a chave privada para seu cluster de produção também deve fornecer uma ferramenta de software para gerar um certificado autoassinado usando essa chave. O exemplo a seguir usa Open SSL e a chave privada que você criou na etapa anterior para criar um certificado de assinatura. O certificado é válido por 10 anos (3652 dias). Leia as instruções na tela e siga os avisos.
$
openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []:
Este comando cria um arquivo de certificado nomeado customerCA.crt
. Coloque esse certificado em cada host a partir do qual você se conectará ao seu AWS CloudHSM cluster. Se você der um nome diferente ao arquivo ou armazená-lo em um caminho diferente da raiz do host, edite o arquivo de configuração do cliente adequadamente. Use o certificado e a chave privada que você acabou de criar para assinar a solicitação de assinatura do certificado de cluster (CSR) na próxima etapa.
Assine o cluster CSR
O hardware confiável que você usa para criar sua chave privada para seu cluster de produção também deve fornecer uma ferramenta para assinar o CSR uso dessa chave. O exemplo a seguir usa Open SSL para assinar o clusterCSR. O exemplo usa a chave privada e o certificado autoassinado criado na etapa anterior.
$
openssl x509 -req -days 3652 -in
<cluster ID>
_ClusterCsr.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out<cluster ID>
_CustomerHsmCertificate.crtSignature ok subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:
<HSM identifier>
:PARTN:<partition number>
, for FIPS mode Getting CA Private Key Enter pass phrase for customerCA.key:
Este comando cria um arquivo chamado
. Use este arquivo como o certificado assinado ao inicializar o cluster. <cluster ID>
_CustomerHsmCertificate.crt
Etapa 3. Inicializar o cluster
Use seu HSM certificado assinado e seu certificado de assinatura para inicializar seu cluster. Você pode usar o AWS CloudHSM console AWS CLI