本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
连接至多个 PKCS#11 插槽
客户端软件开发工具包 5 PKCS #11 库内的单个插槽表示单独连接至 AWS CloudHSM中的集群。您可通过客户端软件开发工具包 5 配置 PKCS11 库,以通过多个插槽将用户连接至单个 PKCS#11 应用的多个 CloudHSM 集群。
按照本主题中的说明,让您的应用程序使用多插槽功能连接多个集群。
多插槽使用先决条件
您要连接的两个或更多 AWS CloudHSM 集群及其集群证书。
已正确配置安全组的 EC2 实例,可连接至上述所有集群。有关如何设置集群和客户端实例的更多信息,请参阅入门 AWS CloudHSM。
-
若要设置多插槽功能,您必须已经下载并安装了 PKCS #11 库。如果您尚未执行此操作,请参阅 为客户端 SDK 5 安装 PKCS #11 库 中的说明。
配置 PKCS #11 库以实现多插槽功能
若要配置 PKCS #11 库以实现多插槽功能,请执行以下操作:
确定要通过多插槽功能连接的集群。
按照 configure-pkcs11 添加集群 中的说明,将这些集群添加至 PKCS #11 配置
下次运行 PKCS #11 应用程序时,它将包含多插槽功能。
configure-pkcs11 添加集群
当连接至多个 PKCS #11 插槽时,使用 configure-pkcs11 add-cluster 命令将集群添加至您的配置中。
语法
configure-pkcs11 add-cluster
[OPTIONS]
--cluster-id<CLUSTER ID>
[--region<REGION>
] [--endpoint<ENDPOINT>
] [--hsm-ca-cert<HSM CA CERTIFICATE FILE>
] [--server-client-cert-file<CLIENT CERTIFICATE FILE>
] [--server-client-key-file<CLIENT KEY FILE>
] [-h, --help]
示例
使用 configure-pkcs11 add-cluster 和 cluster-id
参数,将集群添加至 (ID 为 cluster-1234567
) 您的配置。
提示
如果使用 cluster-id
参数和 configure-pkcs11 add-cluster 无法添加集群,请参见以下示例,以获取也需要通过 --region
和 --endpoint
参数识别待添加集群的、更长版本的命令。例如,如果集群的区域与配置默认 AWS CLI 配置区域不同,则应使用 --region
参数使用正确区域。此外,您还可以指定用于调用的 AWS CloudHSM API 终端节点,这可能是各种网络设置所必需的,例如使用不使用默认 DNS 主机名的 VPC 接口终端节点。 AWS CloudHSM
使用 configure-pkcs11 add-cluster、cluster-id
、endpoint
和 region
参数,将集群 (ID 为 cluster-1234567
) 添加至您的配置。
有关 --cluster-id
、--region
和 --endpoint
参数的更多信息,请参阅 参数。
参数
- --cluster-id
<Cluster ID>
-
进行
DescribeClusters
调用以查找集群中与集群 ID 关联的所有 HSM 弹性网络接口(ENI)IP 地址。系统将 ENI IP 地址添加到 AWS CloudHSM 配置文件中。注意
如果您在无法访问公共互联网的 VPC 中使用来自 EC2 实例的
--cluster-id
参数,则必须创建要连接的接口 VPC 终端节点 AWS CloudHSM。有关 VPC 端点的更多信息,请参阅 AWS CloudHSM 和 VPC 终端节点。必需:是
- --endpoint
<Endpoint>
-
指定用于进行
DescribeClusters
呼叫的 AWS CloudHSM API 端点。设置此选项时,您必须与--cluster-id
结合。必需:否
- --hsm-ca-cert
<HsmCA Certificate Filepath>
-
指定 HSM CA 证书的文件路径。
必需:否
- --region
<Region>
-
指定集群所在区域。设置此选项时,您必须与
--cluster-id
结合。如果您不提供
--region
参数,则系统会通过尝试读取AWS_DEFAULT_REGION
或AWS_REGION
环境变量选择区域。如果未设置这些变量,则系统会在 AWS Config 文件中检查与您的配置文件关联的区域(通常~/.aws/config
),除非您在AWS_CONFIG_FILE
环境变量中指定了其他文件。如果以上均未设置,则系统默认为us-east-1
区域。必需:否
- --server-client-cert-file
<Client Certificate Filepath>
-
用于 TLS 客户端服务器相互身份验证的客户端认证路径。
只有当您不希望使用客户端软件开发工具包 5 中包含的默认密钥和 SSL/TLS 证书时,才使用此选项。设置此选项时,您必须与
--server-client-key-file
结合。必需:否
- --server-client-key-file
<Client Key Filepath>
-
用于 TLS 客户端-服务器相互身份验证的客户端密钥的路径。
只有当您不希望使用客户端软件开发工具包 5 中包含的默认密钥和 SSL/TLS 证书时,才使用此选项。设置此选项时,您必须与
--server-client-cert-file
结合。必需:否
configure-pkcs11 remove-cluster
当连接至多个 PKCS #11 插槽时,使用 configure-pkcs11 remove-cluster 命令将集群从可用的 PKCS #11 插槽中移除。
语法
configure-pkcs11 remove-cluster
[OPTIONS]
--cluster-id<CLUSTER ID>
[-h, --help]
示例
使用 configure-pkcs11 remove-cluster 和 cluster-id
参数,从您的配置中移除集群 (ID 为 cluster-1234567
)。
有关 --cluster-id
参数的更多信息,请参阅 参数。
参数
- --cluster-id
<Cluster ID>
-
要从配置中删除的集群 ID
必需:是