连接至多个 PKCS#11 插槽

客户端软件开发工具包 5 PKCS #11 库内的单个插槽表示单独连接至 AWS CloudHSM中的集群。您可通过客户端软件开发工具包 5 配置 PKCS11 库，以通过多个插槽将用户连接至单个 PKCS#11 应用的多个 CloudHSM 集群。

按照本主题中的说明，让您的应用程序使用多插槽功能连接多个集群。

多插槽使用先决条件

• 您要连接的两个或更多 AWS CloudHSM 集群及其集群证书。

• 已正确配置安全组的 EC2 实例，可连接至上述所有集群。有关如何设置集群和客户端实例的更多信息，请参阅入门 AWS CloudHSM。

• 若要设置多插槽功能，您必须已经下载并安装了 PKCS #11 库。如果您尚未执行此操作，请参阅 为客户端 SDK 5 安装 PKCS #11 库 中的说明。

配置 PKCS #11 库以实现多插槽功能

若要配置 PKCS #11 库以实现多插槽功能，请执行以下操作：

1. 确定要通过多插槽功能连接的集群。

2. 按照 configure-pkcs11 添加集群 中的说明，将这些集群添加至 PKCS #11 配置

3. 下次运行 PKCS #11 应用程序时，它将包含多插槽功能。

configure-pkcs11 添加集群

当连接至多个 PKCS #11 插槽时，使用 configure-pkcs11 add-cluster 命令将集群添加至您的配置中。

语法

configure-pkcs11 add-cluster [OPTIONS]
        --cluster-id <CLUSTER ID> 
        [--region <REGION>]
        [--endpoint <ENDPOINT>]
        [--hsm-ca-cert <HSM CA CERTIFICATE FILE>]
        [--server-client-cert-file <CLIENT CERTIFICATE FILE>]
        [--server-client-key-file <CLIENT KEY FILE>]
        [-h, --help]

示例

使用 cluster-id 参数添加集群

使用 configure-pkcs11 add-cluster 和 cluster-id 参数，将集群添加至 (ID 为 cluster-1234567) 您的配置。

Linux

$ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id cluster-1234567

Windows

C:\Program Files\Amazon\CloudHSM\> .\configure-pkcs11.exe add-cluster --cluster-id cluster-1234567

提示

如果使用 cluster-id 参数和 configure-pkcs11 add-cluster 无法添加集群，请参见以下示例，以获取也需要通过 --region 和 --endpoint 参数识别待添加集群的、更长版本的命令。例如，如果集群的区域与配置默认 AWS CLI 配置区域不同，则应使用 --region 参数使用正确区域。此外，您还可以指定用于调用的 AWS CloudHSM API 终端节点，这可能是各种网络设置所必需的，例如使用不使用默认 DNS 主机名的 VPC 接口终端节点。 AWS CloudHSM

使用 cluster-id、endpoint 和 region 参数添加集群

使用 configure-pkcs11 add-cluster、cluster-id、endpoint 和 region 参数，将集群 (ID 为 cluster-1234567) 添加至您的配置。

Linux

        $ sudo /opt/cloudhsm/bin/configure-pkcs11 add-cluster --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
                    

Windows

        C:\Program Files\Amazon\CloudHSM\> .\configure-pkcs11.exe add-cluster --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
                    

有关 --cluster-id、--region 和 --endpoint 参数的更多信息，请参阅 参数。

参数

--cluster-id <Cluster ID>

进行 DescribeClusters 调用以查找集群中与集群 ID 关联的所有 HSM 弹性网络接口（ENI）IP 地址。系统将 ENI IP 地址添加到 AWS CloudHSM 配置文件中。

注意

如果您在无法访问公共互联网的 VPC 中使用来自 EC2 实例的--cluster-id参数，则必须创建要连接的接口 VPC 终端节点 AWS CloudHSM。有关 VPC 端点的更多信息，请参阅 AWS CloudHSM 和 VPC 终端节点。

必需：是

--endpoint <Endpoint>

指定用于进行DescribeClusters呼叫的 AWS CloudHSM API 端点。设置此选项时，您必须与 --cluster-id 结合。

必需：否

--hsm-ca-cert <HsmCA Certificate Filepath>

指定 HSM CA 证书的文件路径。

必需：否

--region <Region>

指定集群所在区域。设置此选项时，您必须与 --cluster-id 结合。

如果您不提供 --region 参数，则系统会通过尝试读取 AWS_DEFAULT_REGION 或 AWS_REGION 环境变量选择区域。如果未设置这些变量，则系统会在 AWS Config 文件中检查与您的配置文件关联的区域（通常 ~/.aws/config），除非您在 AWS_CONFIG_FILE 环境变量中指定了其他文件。如果以上均未设置，则系统默认为 us-east-1 区域。

必需：否

--server-client-cert-file <Client Certificate Filepath>

用于 TLS 客户端服务器相互身份验证的客户端认证路径。

只有当您不希望使用客户端软件开发工具包 5 中包含的默认密钥和 SSL/TLS 证书时，才使用此选项。设置此选项时，您必须与 --server-client-key-file 结合。

必需：否

--server-client-key-file <Client Key Filepath>

用于 TLS 客户端-服务器相互身份验证的客户端密钥的路径。

只有当您不希望使用客户端软件开发工具包 5 中包含的默认密钥和 SSL/TLS 证书时，才使用此选项。设置此选项时，您必须与 --server-client-cert-file 结合。

必需：否

configure-pkcs11 remove-cluster

当连接至多个 PKCS #11 插槽时，使用 configure-pkcs11 remove-cluster 命令将集群从可用的 PKCS #11 插槽中移除。

语法

configure-pkcs11 remove-cluster [OPTIONS]
        --cluster-id <CLUSTER ID>
        [-h, --help]

示例

使用 cluster-id 参数移除集群

使用 configure-pkcs11 remove-cluster 和 cluster-id 参数，从您的配置中移除集群 (ID 为 cluster-1234567)。

Linux

$ sudo /opt/cloudhsm/bin/configure-pkcs11 remove-cluster --cluster-id cluster-1234567
            

Windows

C:\Program Files\Amazon\CloudHSM\> .\configure-pkcs11.exe remove-cluster --cluster-id cluster-1234567
            

有关 --cluster-id 参数的更多信息，请参阅 参数。

参数

--cluster-id <Cluster ID>

要从配置中删除的集群 ID

必需：是