用戶端 SDK 3 設定工具 - AWS CloudHSM
語法範例參數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用戶端 SDK 3 設定工具

使用用戶端 SDK 3 設定工具啟動用戶端常駐程式並設定 CloudHSM 管理公用程式。

語法

configure -h | --help
          -a <ENI IP address>
          -m [-i <daemon_id>]
          --ssl --pkey <private key file> --cert <certificate file>
          --cmu <ENI IP address>

範例

這些範例會示範如何使用 configure 工具。

範例 :更新用 AWS CloudHSM 戶端和金鑰的 HSM 資料

此範例使用的-a參數configure來更新用 AWS CloudHSM 戶端和 key_mgmt_util 的 HSM 資料。若要使用此 -a 參數,您必須擁有叢集中其中一個 HSM 的 IP 地址。使用主控台或 AWS CLI 取得 IP 地址。

取得 HSM (主控台) 的 IP 位址

  1. 開啟主 AWS CloudHSM 控台,網址為 https://console.aws.amazon.com/cloudhsm/home

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。

  3. 若要開啟叢集詳細資訊頁面,請在叢集表格中選擇叢集 ID。

  4. 若要取得 IP 地址,請在 HSM 索引標籤上,選擇 ENI IP 地址下列出的其中一個 IP 地址。

取得 HSM 的 IP 位址 ()AWS CLI

  • 使用 AWS CLI中的 describe-clusters 命令取得 HSM 的 IP 地址。在命令輸出中,HSM 的 IP 地址是 EniIp 的值。

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...
:更新 HSM 資料

  1. 更新-a參數之前,請停止用 AWS CloudHSM 戶端。這可防止在 configure 編輯用戶端的組態檔案時可能發生的衝突。如果用戶端已停止,而此命令不會帶來任何影響,因此您可以在指令碼中使用它。

    Amazon Linux
    $ sudo stop cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client stop
    CentOS 7
    $ sudo service cloudhsm-client stop
    CentOS 8
    $ sudo service cloudhsm-client stop
    RHEL 7
    $ sudo service cloudhsm-client stop
    RHEL 8
    $ sudo service cloudhsm-client stop
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client stop
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client stop
    Windows

    • 用於 Windows 用戶端 1.1.2+:

      C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient

    • 用於 Windows 用戶端 1.1.1 和更早版本:

      在您啟動用 AWS CloudHSM 戶端的命令視窗中使用 Ctrl + C

  2. 此步驟使用 configure-a 參數,來將 10.0.0.9 ENI IP 地址新增至組態檔案。

    Amazon Linux
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Amazon Linux 2
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    CentOS 7
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    CentOS 8
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    RHEL 7
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    RHEL 8
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Ubuntu 16.04 LTS
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Ubuntu 18.04 LTS
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -a 10.0.0.9

  3. 接下來,重新啟動 AWS CloudHSM 用戶端。用戶端啟動時,會使用組態檔案中的 ENI IP 地址來查詢叢集。接著會將叢集中所有 HSM 的 ENI IP 地址新增至 cluster.info 檔案。

    Amazon Linux
    $ sudo start cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client start
    CentOS 7
    $ sudo service cloudhsm-client start
    CentOS 8
    $ sudo service cloudhsm-client start
    RHEL 7
    $ sudo service cloudhsm-client start
    RHEL 8
    $ sudo service cloudhsm-client start
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client start
    Windows

    • 用於 Windows 用戶端 1.1.2+:

      C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

    • 用於 Windows 用戶端 1.1.1 和更早版本:

      C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

    當命令完成時, AWS CloudHSM 用戶端和 key_mgmt_util 使用的 HSM 資料會完整且正確。

範例 :從用戶端 SDK 3.2.1 及更早版本更新 CMU 的 HSM 資料

此範例使用 -m configure 命令,將來自 cluster.info 檔案的更新 HSM 資料複製到 cloudhsm_mgmt_util 使用的 cloudhsm_mgmt_util.cfg 檔案。請搭配用戶端 SDK 3.2.1 及更早版本隨附的 CMU 使用此功能。

  • 執行之前-m,請停止用 AWS CloudHSM 戶端、執行-a命令,然後重新啟動 AWS CloudHSM 用戶端,如前面的範例所示。這可確保從 cluster.info 檔案複製到 cloudhsm_mgmt_util.cfg 檔案的資料既完整且準確。

    Linux
    $ sudo /opt/cloudhsm/bin/configure -m
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -m
範例 :從用戶端 SDK 3.3.0 及更新版本更新 CMU 的 HSM 資料

此範例使用 configure--cmu 參數來更新 CMU 的 HSM 資料。請搭配用戶端 SDK 3.3.0 及更新版本隨附的 CMU 使用此功能。如需有關使用 CMU 的詳細資訊,請參閱使用 CloudHSM 管理公用程式 (CMU) 管理使用者使用用戶端 SDK 3.2.1 及更早版本隨附的 CMU

  • 使用此 --cmu 參數傳遞叢集中 HSM 的 IP 地址。

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

參數

-h | --help

顯示命令的語法。

必要:是

-a <ENI IP address>

將指定的 HSM 彈性網路界面 (ENI) IP 地址新增至 AWS CloudHSM 組態檔案。輸入叢集中任何一個 HSM 的 ENI IP 地址。選擇哪一個都可以。

若要取得叢集中 HSM 的 ENI IP 位址,請使用DescribeClusters作業、描述叢集命令或 AWS CLI 指令程式。Get-HSM2Cluster PowerShell

注意

執行 -aconfigure命令之前,請先停止用 AWS CloudHSM 戶端。然後,當-a命令完成時,重新啟動用 AWS CloudHSM 戶端。如需詳細資訊,請參閱範例

此參數會編輯以下組態檔案:

用 AWS CloudHSM 戶端啟動時,會使用其組態檔案中的 ENI IP 位址來查詢叢集,並使用叢集中所有 HSM 的正確 ENI IP 位址更新cluster.info檔案 (/opt/cloudhsm/daemon/1/cluster.info)。

必要:是

-m

更新 CMU 所使用組態檔案中的 HSM ENI IP 地址。

注意

-m 參數可與用戶端 SDK 3.2.1 及更早版本的 CMU 搭配使用。對於用戶端 SDK 3.3.0 及更新版本的 CMU,請參閱 --cmu 參數,該參數可簡化更新 CMU 的 HSM 資料的程序。

當您更新的-a參數configure並啟動 AWS CloudHSM 用戶端時,用戶端精靈會查詢叢集,並使用叢集中所有 HSM 的正確 HSM IP 位址更新cluster.info檔案。將 HSM IP 地址從 cluster.info 複製到 cloudhsm_mgmt_util 使用的 cloudhsm_mgmt_util.cfg 組態檔案,從而執行 -m configure 命令並完成更新。

執行-aconfigure命令之前,請務必執行命令並重新啟動 AWS CloudHSM 用戶端。-m這可確保從 cluster.info 複製到 cloudhsm_mgmt_util.cfg 檔案的資料既完整且準確。

必要:是

-i

指定替代的用戶端常駐程式。預設值代表 AWS CloudHSM 用戶端。

預設:1

必要:否

--ssl

以指定的私有金鑰和憑證取代叢集的 SSL 金鑰和憑證。使用此參數時,需要 --pkey--cert 參數。

必要:否

--pkey

指定新的私有金鑰。輸入包含私有金鑰之檔案的路徑和名稱。

必要:如果指定的是 -ssl,則為是。否則不應使用此項目。

--cert

指定新的憑證。輸入包含憑證之檔案的路徑和名稱。此憑證應會鏈結至 customerCA.crt 憑證,即用於初始化叢集的自簽憑證。如需詳細資訊,請參閱初始化叢集

必要:如果指定的是 -ssl,則為是。否則不應使用此項目。

--cmu <ENI IP address>

-a-m 參數合併為一個參數。將指定的 HSM elastic network interface (ENI) IP 位址新增至 AWS CloudHSM 組態檔,然後更新 CMU 組態檔案。輸入叢集中任何 HSM 的任何 IP 地址。如需用戶端 SDK 3.2.1 及更早版本,請參閱使用用戶端 SDK 3.2.1 及更早版本隨附的 CMU

必要:是

相關主題