Visão geral Obter certificados do HSM Obter certificados raiz Verificar cadeias de certificados Extrair e comparar chaves públicas

Verificar a identidade e a autenticidade do HSM de seu cluster (opcional)

Para inicializar seu cluster, assine uma solicitação de assinatura de certificado (CSR) gerada pelo primeiro HSM do cluster. Antes de fazer isso, você pode verificar a identidade e a autenticidade do HSM.

nota

Este processo é opcional. No entanto, ele funciona apenas até que um cluster seja inicializado. Depois que o cluster for inicializado, você não poderá usar esse processo para obter os certificados ou verificar os HSMs.

Visão geral

Para verificar a identidade do primeiro HSM do cluster, execute as seguintes etapas:

Obter os certificados e CSR : nesta etapa, são obtidos três certificados e uma CSR no HSM. Você também recebe dois certificados raiz, um do fabricante do hardware do HSM AWS CloudHSM e outro.
Verifique as cadeias de certificados — Nesta etapa, você constrói duas cadeias de certificados, uma para o certificado AWS CloudHSM raiz e outra para o certificado raiz do fabricante. Em seguida, você verifica o certificado do HSM com essas cadeias de certificados para determinar isso AWS CloudHSM e o fabricante do hardware atesta a identidade e a autenticidade do HSM.
Comparar chaves públicas: nesta etapa, as chaves públicas são extraídas e comparadas com as chaves públicas no certificado do HSM e na CSR do cluster, para garantir que são iguais. Isso deve fornecer a confiança de que o CSR foi gerado por um HSM autêntico e confiável.

O diagrama a seguir mostra a CSR, os certificados e a relação entre eles. Cada certificado é definido pela lista subsequente.

Os certificados do HSM e seus relacionamentos.

AWS Certificado raiz: Esse é AWS CloudHSM o certificado raiz.
Certificado raiz do fabricante: Este é o certificado raiz do fabricante de hardware.
AWS Certificado de hardware: AWS CloudHSM criou esse certificado quando o hardware do HSM foi adicionado à frota. Esse certificado afirma que AWS CloudHSM é proprietário do hardware.
Certificado de hardware do fabricante: O fabricante de hardware do HSM criou esse certificado quando o hardware do HSM foi fabricado. Esse certificado garante que o fabricante criou o hardware.
Certificado HSM: O certificado do HSM é gerado pelo hardware validado pelo FIPS quando você cria o primeiro HSM no cluster. Esse certificado garante que o hardware do HSM criou o HSM.
CSR do cluster: O primeiro HSM cria a CSR do cluster. Ao assinar a CSR do cluster, você reivindica o cluster. Em seguida, você pode usar a CSR assinada para inicializar o cluster.

Obter certificados do HSM

Para verificar a identidade e a autenticidade do HSM, começar obtendo um CSR e cinco certificados. Você obtém três dos certificados do HSM, o que pode ser feito com o AWS CloudHSM console, a AWS Command Line Interface (CLI) ou AWS CloudHSM a API.

Para obter a CSR e certificados de HSM (console)

Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/home.
Selecione o botão de seleção ao lado do ID do cluster com o HSM que deseja verificar.
Selecione Ações. No menu suspenso, escolha Iniciar.
Se você não concluiu a etapa anterior para criar um HSM, escolha uma Zona de Disponibilidade (AZ) para o HSM que você está criando. Em seguida, selecione Criar.
Quando os certificados e a CSR estiverem prontos, você verá links para fazer o download.
Escolha cada link para fazer download e salvar a CSR e seus certificados. Para simplificar as etapas subsequentes, salve todos os arquivos no mesmo diretório e use os nomes de arquivo padrão.

Para obter os certificados CSR e HSM (CLI)

No prompt de comando, execute o comando describe-clusters quatro vezes, extraindo o CSR e certificados diferentes cada vez e salvando-os em arquivos.

Emita o seguinte comando para extrair a CSR do cluster. Substitua o <cluster ID> pelo ID do cluster que tinha sido criado anteriormente.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr

Emita o seguinte comando para extrair o certificado do HSM. Substitua o <cluster ID> pelo ID do cluster que tinha sido criado anteriormente.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.HsmCertificate' \
                                   > <cluster ID>_HsmCertificate.crt

Execute o comando a seguir para extrair o certificado AWS de hardware. Substitua o <cluster ID> pelo ID do cluster que tinha sido criado anteriormente.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.AwsHardwareCertificate' \
                                   > <cluster ID>_AwsHardwareCertificate.crt

Emita o seguinte comando para extrair o certificado de hardware do fabricante. Substitua o <cluster ID> pelo ID do cluster que tinha sido criado anteriormente.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \
                                   > <cluster ID>_ManufacturerHardwareCertificate.crt

Para obter os certificados CSR e HSM (API)AWS CloudHSM

Envie uma solicitação DescribeClusters e, em seguida, extraia e salve a CSR e os certificados da resposta.

Obter certificados raiz

Siga estas etapas para obter os certificados raiz AWS CloudHSM e o fabricante. Salve os arquivos de certificado raiz no diretório que contém os arquivos CSR e de certificado da HSM.

Para obter os certificados raiz AWS CloudHSM e do fabricante

Baixe o certificado AWS CloudHSM raiz: AWS_CloudHSM_Root-G1.zip
Faça o download do certificado raiz do fabricante: liquid_security_certificate.zip

Para baixar o certificado da página inicial, https://www.marvell.com/products/security-solutions/ liquid-security-hsm-adapters -and-appliances/liquidsecurity-certificate.html e, em seguida, escolha Baixar certificado.

Talvez seja necessário clicar no link de Fazer download de certificado e escolher Salvar Link como... a seguir, para salvar o arquivo do certificado.
Depois de fazer o download dos arquivos, extraia (descompacte) seu conteúdo.

Verificar cadeias de certificados

Nesta etapa, você constrói duas cadeias de certificados, uma para o certificado AWS CloudHSM raiz e outra para o certificado raiz do fabricante. Em seguida, use OpenSSL para verificar o certificado de HSM com cada cadeia de certificado.

Para criar as cadeias de certificados, abra um shell do Linux. Você precisa do OpenSSL, que está disponível na maioria dos shells do Linux e precisa do certificado raiz e dos arquivos de certificado do HSM que foram transferidos por download. No entanto, você não precisa da CLI para essa etapa e o shell não precisa estar associado à sua AWS conta.

Para verificar o certificado HSM com o certificado AWS CloudHSM raiz

Navegue até o diretório onde você salvou o certificado raiz e os arquivos de certificado do HSM que foram transferidos por download. Os comandos a seguir assumem que todos os certificados estejam no diretório atual e usam os nomes de arquivo padrão.

Use o comando a seguir para criar uma cadeia de certificados que inclua o certificado de AWS hardware e o certificado AWS CloudHSM raiz, nessa ordem. Substitua o <cluster ID> pelo ID do cluster que tinha sido criado anteriormente.
```
$ cat <cluster ID>_AwsHardwareCertificate.crt \
      AWS_CloudHSM_Root-G1.crt \
      > <cluster ID>_AWS_chain.crt
```
Use o comando OpenSSL a seguir para verificar o certificado de HSM com a cadeia de certificação da AWS . Substitua o <cluster ID> pelo ID do cluster que tinha sido criado anteriormente.
```
$ openssl verify -CAfile <cluster ID>_AWS_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK
```

Para verificar o certificado de HSM com o certificado raiz do fabricante

Use o comando a seguir para criar uma cadeia de certificado que inclua o certificado de hardware do fabricante e o certificado raiz do fabricante, nesta ordem. Substitua o <cluster ID> pelo ID do cluster que tinha sido criado anteriormente.
```
$ cat <cluster ID>_ManufacturerHardwareCertificate.crt \
      liquid_security_certificate.crt \
      > <cluster ID>_manufacturer_chain.crt
```
Use o comando OpenSSL a seguir para verificar o certificado do HSM com a cadeia de certificados do fabricante. Substitua o <cluster ID> pelo ID do cluster que tinha sido criado anteriormente.
```
$ openssl verify -CAfile <cluster ID>_manufacturer_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK
```

Extrair e comparar chaves públicas

Use OpenSSL para extrair e comparar chaves públicas no certificado do HSM e na CSR do cluster, a fim de garantir que são iguais.

Para comparar as chaves públicas, use o shell do Linux. Você precisa do OpenSSL, que está disponível na maioria dos shells Linux, mas não precisa da CLI para essa etapa. O shell não precisa estar associado à sua AWS conta.

Para extrair e comparar as chaves públicas

Use o comando a seguir para extrair a chave pública do certificado de HSM.


$ openssl x509 -in <cluster ID>_HsmCertificate.crt -pubkey -noout > <cluster ID>_HsmCertificate.pub

Use o comando a seguir para extrair a chave pública da CSR do cluster.


$ openssl req -in <cluster ID>_ClusterCsr.csr -pubkey -noout > <cluster ID>_ClusterCsr.pub

Use o comando a seguir para comparar as chaves públicas. Se as chaves públicas forem idênticas, o comando a seguir não produzirá resultado.
```
$ diff <cluster ID>_HsmCertificate.pub <cluster ID>_ClusterCsr.pub
```

Depois de verificar a identidade e a autenticidade do HSM, vá para Inicializar o cluster.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar um HSM

Inicializar o cluster