本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 1:設定先決條件
若要設定網頁伺服器 SSL/TLS 卸載 AWS CloudHSM,您需要下列項目:
-
至少具有一個 HSM 的作用中 AWS CloudHSM 叢集。
-
執行 Windows 作業系統的 Amazon EC2 執行個體,其中已安裝下列軟體:
-
適用於視窗的 AWS CloudHSM 用戶端軟體。
-
Internet Information Services (IIS) for Windows Server。
-
-
加密使用者 (CU),擁有及管理 HSM 上 Web 伺服器的私有金鑰。
注意
本教學課程使用 Microsoft Windows Server 2016。也支援 Microsoft Windows Server 2012,但不支援 Microsoft Windows Server 2012 R2。
設定 Windows 伺服器執行個體,並在 HSM 上建立 CU
-
完成「開始使用」中的步驟。當您啟動 Amazon EC2 用戶端時,請選擇 Windows Server 2016 或 Windows Server 2012 AMI。當您完成這些步驟,便擁有至少包含一個 HSM 的作用中叢集。您也有一個執行 Windows 伺服器且已安裝適用於 Windows 的 AWS CloudHSM 用戶端軟體的 Amazon EC2 用戶端執行個體。
-
(選用) 在您的叢集中新增更多 HSM。如需詳細資訊,請參閱 新增 HSM。
-
連接至 Windows 伺服器。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的 Connect 到您的執行個體。
-
使用 CloudHSM CLI 建立加密使用者 (CU)。保持追蹤 CU 使用者名稱和密碼。您需要它們來完成下一個步驟。
注意
如需如何建立使用者的詳細資訊,請參閱使用 CloudHSM CLI 管理 HSM 使用者。
-
使用您在先前步驟中建立的 CU 使用者名稱和密碼,設定 HSM 的登入資料。
-
在步驟 5 中,如果您使用 Windows 身份證明管理員來設定 HSM 認證,請
psexec.exe
從下載以 SysInternals 以 NT 授權單位\ SYSTEM 身分執行下列命令: psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username
<USERNAME>
--password<PASSWORD>
以 HSM 憑證取代
<使用者名稱>
和<密碼>
。
在 Windows 伺服器上安裝 IIS
-
如果您尚未這麼做,請連接至您的 Windows 伺服器。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的 Connect 到您的執行個體。
-
在 Windows 伺服器上,啟動 Server Manager (伺服器管理員)。
-
在 Server Manager (伺服器管理員) 儀表板中,選擇 Add roles and features (新增角色和功能)。
-
閱讀 Before you begin (開始之前) 資訊,然後選擇 Next (下一步)。
-
對於 Installation Type (安裝類型),選擇 Role-based or feature-based installation (角色型或功能型安裝)。然後選擇下一步。
-
對於 Server Selection (伺服器選項),選擇 Select a server from the server pool (從伺服器集區選取伺服器)。然後選擇下一步。
-
對於 Server Roles (伺服器角色),執行下列動作:
-
選取 Web Server (IIS) (Web 伺服器 (IIS))。
-
對於 Add features that are required for Web Server (IIS) (新增 Web 伺服器 (IIS) 需要的功能),選擇 Add Features (新增功能)。
-
選擇 Next (下一步) 來完成伺服器角色的選取。
-
-
針對 Features (功能),接受預設。然後選擇下一步。
-
閱讀 Web Server Role (IIS) (Web 伺服器角色 (IIS)) 資訊。然後選擇下一步。
-
對於 Select role services (選取角色服務),接受預設值或變更為偏好的設定。然後選擇下一步。
-
針對 Confirmation (確認),閱讀確認資訊。然後選擇 Install (安裝)。
-
完成安裝之後,請選擇 Close (關閉)。
完成這些步驟之後,請移至 步驟 2:建立憑證簽署要求 (CSR) 和憑證。