Etapa 1: configurar os pré-requisitos

Plataformas diferentes exigem pré-requisitos diferentes. Use a seção de pré-requisitos abaixo que corresponde à sua plataforma.

Pré-requisitos para o Client SDK 5

Para configurar o descarregamento SSL/TLS de servidor Web com o Client SDK 5, é necessário o seguinte:

• Um AWS CloudHSM cluster ativo com pelo menos dois módulos de segurança de hardware (HSM)

  nota

  Você pode usar um único cluster HSM, mas primeiro deve desativar a durabilidade da chave do cliente. Para obter mais informações, consulte Gerenciar configurações de durabilidade da chave do cliente e Ferramenta de configuração do Client SDK 5.

• Uma instância do Amazon EC2 executando um sistema operacional Linux com o seguinte software instalado:

  • Um servidor Web (NGINX ou Apache)

  • OpenSSL Dynamic Engine para Client SDK 5

• Um usuário de criptografia (CU) para ter e gerenciar a chave privada do servidor Web no HSM.

Para configurar uma instância do servidor web do Linux e criar um CU no HSM

1. Instale e configure o OpenSSL Dynamic Engine para. AWS CloudHSM Para obter mais informações sobre a instalação do OpenSSL Dynamic Engine, consulte OpenSSL Dynamic Engine para Client SDK 5.

2. Em uma instância EC2 Linux que tenha acesso ao seu cluster, instale o servidor web NGINX ou Apache:

   Amazon Linux

   • NGINX

     $ sudo yum install nginx

   • Apache

     $ sudo yum install httpd24 mod24_ssl

   Amazon Linux 2

   • Para obter informações sobre como baixar a versão mais recente do NGINX no Amazon Linux 2, consulte o site do NGINX.

     A versão mais recente do NGINX disponível para o Amazon Linux 2 usa uma versão do OpenSSL que é mais recente do que a versão do sistema do OpenSSL. Depois de instalar o NGINX, você precisa criar um link simbólico da biblioteca AWS CloudHSM OpenSSL Dynamic Engine para o local que essa versão do OpenSSL espera

     $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

   • Apache

     $ sudo yum install httpd mod_ssl

   CentOS 7

   • Para obter informações sobre como baixar a versão mais recente do NGINX no CentOS 7, consulte o site do NGINX.

     A versão mais recente do NGINX disponível para o CentOS 7 usa uma versão do OpenSSL que é mais recente do que a versão do sistema do OpenSSL. Depois de instalar o NGINX, você precisa criar um link simbólico da biblioteca AWS CloudHSM OpenSSL Dynamic Engine para o local que essa versão do OpenSSL espera

     $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

   • Apache

     $ sudo yum install httpd mod_ssl

   Red Hat 7

   • Para obter informações sobre como baixar a versão mais recente do NGINX no Red Hat 7, consulte o site do NGINX.

     A versão mais recente do NGINX disponível para o Red Hat 7 usa uma versão do OpenSSL que é mais recente do que a versão do sistema do OpenSSL. Depois de instalar o NGINX, você precisa criar um link simbólico da biblioteca AWS CloudHSM OpenSSL Dynamic Engine para o local que essa versão do OpenSSL espera

     $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

   • Apache

     $ sudo yum install httpd mod_ssl

   CentOS 8

   • NGINX

     $ sudo yum install nginx

   • Apache

     $ sudo yum install httpd mod_ssl

   Red Hat 8

   • NGINX

     $ sudo yum install nginx

   • Apache

     $ sudo yum install httpd mod_ssl

   Ubuntu 18.04

   • NGINX

     $ sudo apt install nginx

   • Apache

     $ sudo apt install apache2

   Ubuntu 20.04

   • NGINX

     $ sudo apt install nginx

   • Apache

     $ sudo apt install apache2

   Ubuntu 22.04

   O suporte para o OpenSSL Dynamic Engine ainda não está disponível.

3. Use a CLI do CloudHSM para criar um CU. Para obter mais informações sobre o gerenciamento de usuários do HSM, consulte Gerenciar usuários do HSM com a CLI do CloudHSM.

   dica

   Lembre o nome do usuário e a senha do CU. Eles serão necessários mais tarde ao gerar ou importar a chave privada HTTPS e o certificado para o servidor Web.

Depois de concluir essas etapas, vá para Etapa 2: Gerar ou importar uma chave privada e um certificado SSL/TLS.

Observações

• Para usar o Security-Enhanced Linux (SELinux) e servidores web, você deve permitir conexões TCP de saída na porta 2223, que é a porta que o Client SDK 5 usa para se comunicar com o HSM.

• Para criar e ativar um cluster e dar acesso a uma instância do EC2 ao cluster, conclua as etapas em Conceitos básicos de AWS CloudHSM. Os conceitos básicos oferecem step-by-step instruções para criar um cluster ativo com um HSM e uma instância cliente do Amazon EC2. Você pode usar essa instância de cliente como seu servidor Web.

• Para evitar a desativação da durabilidade da chave do cliente, adicione mais de um HSM ao seu cluster. Para ter mais informações, consulte Adicionar um HSM.

• Você pode usar um cliente SSH ou PuTTY para se conectar à instância do cliente. Para obter mais informações, consulte Conectar à instância Linux utilizando SSH ou Conectar à instância Linux no Windows utilizando PuTTY na documentação do Amazon C2.

Pré-requisitos para o Client SDK 3

Para configurar o descarregamento SSL/TLS de servidor Web com o Client SDK 3, é necessário o seguinte:

• Um AWS CloudHSM cluster ativo com pelo menos um HSM.

• Uma instância do Amazon EC2 executando um sistema operacional Linux com o seguinte software instalado:

  • O AWS CloudHSM cliente e as ferramentas da linha de comando.

  • O aplicativo do servidor web NGINX ou Apache.

  • O mecanismo AWS CloudHSM dinâmico do OpenSSL.

• Um usuário de criptografia (CU) para ter e gerenciar a chave privada do servidor Web no HSM.

Para configurar uma instância do servidor web do Linux e criar um CU no HSM

1. Siga as etapas em Conceitos básicos. Em seguida, você terá um cluster ativo com um HSM e uma instância de cliente do Amazon EC2. Sua instância do EC2 será configurada com as ferramentas da linha de comando. Use essa instância de cliente como seu servidor Web.

2. Conecte-se à instância do cliente. Para obter mais informações, consulte Conectar à instância Linux utilizando SSH ou Conectar à instância Linux no Windows utilizando PuTTY na documentação do Amazon C2.

3. Em uma instância EC2 Linux que tenha acesso ao seu cluster, instale o servidor Web NGINX ou Apache:

   Amazon Linux

   • NGINX

     $ sudo yum install nginx

   • Apache

     $ sudo yum install httpd24 mod24_ssl

   Amazon Linux 2

   • A versão 1.19 do NGINX é a versão mais recente do NGINX compatível com o mecanismo SDK do Client SDK 3 no Amazon Linux 2.

     Para obter mais informações e baixar a versão 1.19 do NGINX, consulte o site do NGINX.

   • Apache

     $ sudo yum install httpd mod_ssl

   CentOS 7

   • A versão 1.19 do NGINX é a versão mais recente do NGINX compatível com o mecanismo do Client SDK 3 no CentOS 7.

     Para obter mais informações e baixar a versão 1.19 do NGINX, consulte o site do NGINX.

   • Apache

     $ sudo yum install httpd mod_ssl

   Red Hat 7

   • A versão 1.19 do NGINX é a versão mais recente do NGINX compatível com o mecanismo Client SDK 3 no Red Hat 7.

     Para obter mais informações e baixar a versão 1.19 do NGINX, consulte o site do NGINX.

   • Apache

     $ sudo yum install httpd mod_ssl

   Ubuntu 16.04

   • NGINX

     $ sudo apt install nginx

   • Apache

     $ sudo apt install apache2

   Ubuntu 18.04

   • NGINX

     $ sudo apt install nginx

   • Apache

     $ sudo apt install apache2

4. (Opcional) Adicione mais HSMs ao seu cluster. Para ter mais informações, consulte Adicionar um HSM.

5. Use cloudhsm_mgmt_util para criar um CU. Para ter mais informações, consulte Gerenciamento de usuários de HSM. Lembre o nome do usuário e a senha do CU. Eles serão necessários mais tarde ao gerar ou importar a chave privada HTTPS e o certificado para o servidor Web.

Depois de concluir essas etapas, vá para Etapa 2: Gerar ou importar uma chave privada e um certificado SSL/TLS.