客户端软件开发工具包 3 配置工具 - AWS CloudHSM
Syntax(语法)示例参数相关 主题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

客户端软件开发工具包 3 配置工具

使用客户端软件开发工具包 3 配置工具启动客户端进程守护程序并配置 CloudHSM 管理实用程序。

Syntax(语法)

configure -h | --help
          -a <ENI IP address>
          -m [-i <daemon_id>]
          --ssl --pkey <private key file> --cert <certificate file>
          --cmu <ENI IP address>

示例

以下示例演示如何使用 configure 工具。

例 : 更新 AWS CloudHSM 客户端的 HSM 数据和 key_mgmt_util

此示例使用-a参数更新 AWS CloudHSM 客户端和 key configure _mgmt_util 的 HSM 数据。要使用 -a 参数,您必须拥有集群中其中一个 HSM 的 IP 地址。使用控制台或 AWS CLI 获取 IP 地址。

获取 HSM 的 IP 地址(控制台)

  1. 打开 AWS CloudHSM 控制台,网址为 https://console.aws.amazon.com/cloudhsm/home

  2. 要更改 Amazon Web Services Region,请使用页面右上角的区域选择器(Region selector)。

  3. 要打开该集群的详细信息页面,请在集群表中选择集群 ID。

  4. 要获取 IP 地址,请在 HSM 选项卡上,选择 ENI IP 地址下列出的 IP 地址之一。

获取 HSM 的 IP 地址 (CLI)

  • 使用 CLI 中的describe-clusters命令获取 HSM 的 IP 地址。在该命令的输出中,HSM 的 IP 地址为 EniIp 的值。

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...
更新 HSM 数据

  1. 在更新-a参数之前,请停止 AWS CloudHSM 客户端。这将防止在 configure 编辑客户端的配置文件时可能出现的冲突。如果客户端已停止,则此命令不会产生影响,因此您可以在脚本中使用它。

    Amazon Linux
    $ sudo stop cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client stop
    CentOS 7
    $ sudo service cloudhsm-client stop
    CentOS 8
    $ sudo service cloudhsm-client stop
    RHEL 7
    $ sudo service cloudhsm-client stop
    RHEL 8
    $ sudo service cloudhsm-client stop
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client stop
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client stop
    Windows

    • 对于 Windows 客户端 1.1.2 以上版本:

      C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient

    • 对于 Windows 客户端 1.1.1 及更低版本:

      在启动 AWS CloudHSM 客户端的命令窗口中使用 C trl + C

  2. 此步骤使用 configure-a 参数将 10.0.0.9 ENI IP 地址添加到配置文件中。

    Amazon Linux
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Amazon Linux 2
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    CentOS 7
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    CentOS 8
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    RHEL 7
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    RHEL 8
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Ubuntu 16.04 LTS
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Ubuntu 18.04 LTS
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -a 10.0.0.9

  3. 接下来,重新启动 AWS CloudHSM 客户端。当 客户端启动时,它将使用其配置文件中的 ENI IP 地址查询集群。然后,它会将集群中所有 HSM 的 ENI IP 地址写入到 cluster.info 文件中。

    Amazon Linux
    $ sudo start cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client start
    CentOS 7
    $ sudo service cloudhsm-client start
    CentOS 8
    $ sudo service cloudhsm-client start
    RHEL 7
    $ sudo service cloudhsm-client start
    RHEL 8
    $ sudo service cloudhsm-client start
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client start
    Windows

    • 对于 Windows 客户端 1.1.2 以上版本:

      C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

    • 对于 Windows 客户端 1.1.1 及更低版本:

      C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

    命令完成后, AWS CloudHSM 客户端和 key_mgmt_util 使用的 HSM 数据将完整且准确。

例 : 从客户端软件开发工具包 3.2.1 及更早版本更新 CMU 的 HSM 数据

此示例使用 -m configure 命令将更新的 HSM 数据从 cluster.info 文件复制到 cloudhsm_mgmt_util 使用的 cloudhsm_mgmt_util.cfg 文件。将其与客户端软件开发工具包 3.2.1 及更早版本附带的 CMU 配合使用。

  • 在运行之前-m,请停止 AWS CloudHSM 客户端,运行-a命令,然后重新启动 AWS CloudHSM 客户端,如前面的示例所示。这将确保从 cluster.info 文件复制到 cloudhsm_mgmt_util.cfg 文件的数据是完整且准确的。

    Linux
    $ sudo /opt/cloudhsm/bin/configure -m
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -m
例 :从客户端软件开发工具包 3.3.0 及更高版本更新 CMU 的 HSM 数据

此示例使用 configure 命令的 --cmu 参数更新 CMU 的 HSM 数据。将其与客户端软件开发工具包 3.3.0 及更高版本附带的 CMU 配合使用。有关使用 CMU 的更多信息,请参阅使用 CloudHSM 管理实用程序 (CMU, CloudHSM Management Utility) 管理用户将 CMU 与客户端软件开发工具包 3.2.1 及更早版本一起使用

  • 使用 --cmu 参数传递集群中 HSM 的 IP 地址。

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

参数

-h | --help

显示命令语法。

必需:是

-a <ENI IP address>

将指定的 HSM 弹性网络接口 (ENI) IP 地址添加到 AWS CloudHSM 配置文件。输入集群中任意 HSM 的 ENI IP 地址。您选择哪个地址并不重要。

要获取集群中 HSM 的 ENI IP 地址,请使用DescribeClusters操作、d escribe-clusters CLI 命令或 get-hsm2Clust er cmdlet。 PowerShell

注意

在运行 -aconfigure命令之前,请停止 AWS CloudHSM 客户端。然后,-a命令完成后,重新启动 AWS CloudHSM 客户端。有关详细信息,请参阅示例

此参数编辑以下配置文件:

  • /opt/cloudhsm/etc/cloudhsm_client.cfg: 由 AWS CloudHSM 客户端和 key_mgmt_ util 使用。

  • /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg:由 cloudhsm_mgmt_util 使用。

当 AWS CloudHSM 客户端启动时,它使用其配置文件中的 ENI IP 地址来查询集群,并使用集群中所有 HSM 的正确 ENI IP 地址更新cluster.info文件 (/opt/cloudhsm/daemon/1/cluster.info)。

必需:是

-m

更新 CMU 使用的配置文件中的 HSM ENI IP 地址。

注意

-m 参数适用于与客户端软件开发工具包 3.2.1 及更早版本中的 CMU 一起使用。对于来自客户端软件开发工具包 3.3.0 及更高版本的 CMU,请参阅 --cmu 参数,它简化了 CMU 更新 HSM 数据的过程。

更新-a参数configure然后启动客户端时, AWS CloudHSM 客户端守护程序会查询集群,并使用集群中所有 HSM 的正确 HSM IP 地址更新cluster.info文件。运行 -m configure 命令,通过将 HSM IP 地址从 cluster.info 复制到 cloudhsm_mgmt_util 使用的 cloudhsm_mgmt_util.cfg 配置文件,完成更新。

在运行-aconfigure命令之前,请务必运行命令并重新启动 AWS CloudHSM 客户端。-m这将确保从 cluster.info 复制到 cloudhsm_mgmt_util.cfg 的数据是完整且准确的。

必需:是

-i

指定备用客户端守护程序。默认值表示 AWS CloudHSM 客户端。

默认值:1

必需:否

--ssl

使用指定的私有密钥和证书替换集群的 SSL 密钥与证书。使用此参数时,--pkey--cert 参数为必需项。

必需:否

--pkey

指定新的私有密钥。输入包含私有密钥的文件对应的路径和文件名。

在指定 --ssl 时,必需:是。否则,不应使用此项。

--cert

指定新证书。输入包含证书的文件对应的路径和文件名。此证书应一直串联到 customerCA.crt 证书,后者是用于初始化集群的自签名证书。有关更多信息,请参见初始化集群

在指定 --ssl 时,必需:是。否则,不应使用此项。

--cmu <ENI IP address>

-a-m 参数合并为一个参数。将指定的 HSM 弹性网络接口 (ENI) IP 地址添加到 AWS CloudHSM 配置文件中,然后更新 CMU 配置文件。输入集群中任何 HSM 的 IP 地址。对于客户端软件开发工具包 3.2.1 及更早版本,请参阅将 CMU 与客户端软件开发工具包 3.2.1 及更早版本一起使用

必需:是

相关 主题