本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
客户端软件开发工具包 3 配置工具
使用客户端软件开发工具包 3 配置工具启动客户端进程守护程序并配置 CloudHSM 管理实用程序。
Syntax(语法)
configure -h | --help -a
<ENI IP address>
-m [-i<daemon_id>
] --ssl --pkey<private key file>
--cert<certificate file>
--cmu<ENI IP address>
示例
以下示例演示如何使用 configure 工具。
例 : 更新 AWS CloudHSM 客户端的 HSM 数据和 key_mgmt_util
此示例使用-a
参数更新 AWS CloudHSM 客户端和 key configure _mgmt_util 的 HSM 数据。要使用 -a
参数,您必须拥有集群中其中一个 HSM 的 IP 地址。使用控制台或 AWS CLI 获取 IP 地址。
获取 HSM 的 IP 地址(控制台)
打开 AWS CloudHSM 控制台,网址为 https://console.aws.amazon.com/cloudhsm/home
。 -
要更改 Amazon Web Services Region,请使用页面右上角的区域选择器(Region selector)。
-
要打开该集群的详细信息页面,请在集群表中选择集群 ID。
-
要获取 IP 地址,请在 HSM 选项卡上,选择 ENI IP 地址下列出的 IP 地址之一。
获取 HSM 的 IP 地址 (CLI)
-
使用 CLI 中的describe-clusters命令获取 HSM 的 IP 地址。在该命令的输出中,HSM 的 IP 地址为
EniIp
的值。$
aws cloudhsmv2 describe-clusters
{ "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", ...
更新 HSM 数据
-
在更新
-a
参数之前,请停止 AWS CloudHSM 客户端。这将防止在 configure 编辑客户端的配置文件时可能出现的冲突。如果客户端已停止,则此命令不会产生影响,因此您可以在脚本中使用它。 -
此步骤使用 configure 的
-a
参数将10.0.0.9
ENI IP 地址添加到配置文件中。 -
接下来,重新启动 AWS CloudHSM 客户端。当 客户端启动时,它将使用其配置文件中的 ENI IP 地址查询集群。然后,它会将集群中所有 HSM 的 ENI IP 地址写入到
cluster.info
文件中。命令完成后, AWS CloudHSM 客户端和 key_mgmt_util 使用的 HSM 数据将完整且准确。
例 : 从客户端软件开发工具包 3.2.1 及更早版本更新 CMU 的 HSM 数据
此示例使用 -m
configure 命令将更新的 HSM 数据从 cluster.info
文件复制到 cloudhsm_mgmt_util 使用的 cloudhsm_mgmt_util.cfg
文件。将其与客户端软件开发工具包 3.2.1 及更早版本附带的 CMU 配合使用。
-
在运行之前
-m
,请停止 AWS CloudHSM 客户端,运行-a
命令,然后重新启动 AWS CloudHSM 客户端,如前面的示例所示。这将确保从cluster.info
文件复制到cloudhsm_mgmt_util.cfg
文件的数据是完整且准确的。
例 :从客户端软件开发工具包 3.3.0 及更高版本更新 CMU 的 HSM 数据
此示例使用 configure 命令的 --cmu
参数更新 CMU 的 HSM 数据。将其与客户端软件开发工具包 3.3.0 及更高版本附带的 CMU 配合使用。有关使用 CMU 的更多信息,请参阅使用 CloudHSM 管理实用程序 (CMU, CloudHSM Management Utility) 管理用户和将 CMU 与客户端软件开发工具包 3.2.1 及更早版本一起使用。
-
使用
--cmu
参数传递集群中 HSM 的 IP 地址。
参数
- -h | --help
-
显示命令语法。
必需:是
- -a
<ENI IP address>
-
将指定的 HSM 弹性网络接口 (ENI) IP 地址添加到 AWS CloudHSM 配置文件。输入集群中任意 HSM 的 ENI IP 地址。您选择哪个地址并不重要。
要获取集群中 HSM 的 ENI IP 地址,请使用DescribeClusters操作、d escribe-clusters CLI 命令或 get-hsm2Clust er cmdlet。 PowerShell
注意
在运行
-a
configure命令之前,请停止 AWS CloudHSM 客户端。然后,-a
命令完成后,重新启动 AWS CloudHSM 客户端。有关详细信息,请参阅示例。此参数编辑以下配置文件:
-
/opt/cloudhsm/etc/cloudhsm_client.cfg
: 由 AWS CloudHSM 客户端和 key_mgmt_ util 使用。 -
/opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
:由 cloudhsm_mgmt_util 使用。
当 AWS CloudHSM 客户端启动时,它使用其配置文件中的 ENI IP 地址来查询集群,并使用集群中所有 HSM 的正确 ENI IP 地址更新
cluster.info
文件 (/opt/cloudhsm/daemon/1/cluster.info
)。必需:是
-
- -m
-
更新 CMU 使用的配置文件中的 HSM ENI IP 地址。
注意
该
-m
参数适用于与客户端软件开发工具包 3.2.1 及更早版本中的 CMU 一起使用。对于来自客户端软件开发工具包 3.3.0 及更高版本的 CMU,请参阅--cmu
参数,它简化了 CMU 更新 HSM 数据的过程。更新
-a
参数configure然后启动客户端时, AWS CloudHSM 客户端守护程序会查询集群,并使用集群中所有 HSM 的正确 HSM IP 地址更新cluster.info
文件。运行-m
configure 命令,通过将 HSM IP 地址从cluster.info
复制到 cloudhsm_mgmt_util 使用的cloudhsm_mgmt_util.cfg
配置文件,完成更新。在运行
-a
configure命令之前,请务必运行命令并重新启动 AWS CloudHSM 客户端。-m
这将确保从cluster.info
复制到cloudhsm_mgmt_util.cfg
的数据是完整且准确的。必需:是
- -i
-
指定备用客户端守护程序。默认值表示 AWS CloudHSM 客户端。
默认值:
1
必需:否
- --ssl
-
使用指定的私有密钥和证书替换集群的 SSL 密钥与证书。使用此参数时,
--pkey
和--cert
参数为必需项。必需:否
- --pkey
-
指定新的私有密钥。输入包含私有密钥的文件对应的路径和文件名。
在指定 --ssl 时,必需:是。否则,不应使用此项。
- --cert
-
指定新证书。输入包含证书的文件对应的路径和文件名。此证书应一直串联到
customerCA.crt
证书,后者是用于初始化集群的自签名证书。有关更多信息,请参见初始化集群。在指定 --ssl 时,必需:是。否则,不应使用此项。
- --cmu
<ENI IP address>
-
将
-a
和-m
参数合并为一个参数。将指定的 HSM 弹性网络接口 (ENI) IP 地址添加到 AWS CloudHSM 配置文件中,然后更新 CMU 配置文件。输入集群中任何 HSM 的 IP 地址。对于客户端软件开发工具包 3.2.1 及更早版本,请参阅将 CMU 与客户端软件开发工具包 3.2.1 及更早版本一起使用。必需:是