本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 1:設定先決條件
不同平台需要不同的先決條件。請使用下方符合您平台的先決條件區段。
用戶端 SDK 5 的先決條件
若要設定 Web 伺服器 SSL/TLS 卸載搭配 Client SDK 5,您需要下列項目:
-
具有至少兩個硬體安全模組 (HSM) 的作用中 AWS CloudHSM 叢集
注意
您可以使用單一 HSM 叢集,但必須先停用用戶端金鑰耐久性。如需詳細資訊,請參閱管理用戶端金鑰耐久性設定和用戶端 SDK 5 設定工具。
-
執行 Linux 作業系統的 Amazon EC2 執行個體,其中已安裝下列軟體:
-
一個 Web 伺服器 (無論是 NGINX 或 Apache)
-
適用於用戶端 SDK 5 的 OpenSSL 動態引擎
-
-
加密使用者 (CU),擁有及管理 HSM 上 Web 伺服器的私有金鑰。
設定 Linux Web 伺服器執行個體,並在 HSM 上建立 CU
-
安裝和設定的 OpenSSL 動態引擎。 AWS CloudHSM如需關於安裝 OpenSSL 動態引擎的詳細資訊,請參閱用戶端 SDK 5 的 OpenSSL 動態引擎。
-
在可存取叢集的 EC2 Linux 執行個體上,安裝 NGINX 或 Apache Web 伺服器:
-
使用 CloudHSM CLI 建立 CU。如需關於管理 HSM 使用者的詳細資訊,請參閱使用 CloudHSM CLI 管理 HSM 使用者。
提示
保持追蹤 CU 使用者名稱和密碼。之後在為您的 Web 伺服器產生或匯入 HTTPS 私有金鑰和憑證時,您將會需要該資訊。
完成這些步驟之後,請移至 步驟 2:產生或匯入私有金鑰和 SSL/TLS 憑證。
備註
-
若要使用 Security-Enhanced Linux (SELinux) 和 Web 伺服器,您必須在連接埠 2223 上允許傳出 TCP 連線,也就是用戶端 SDK 5 用來與 HSM 通訊的連接埠。
-
若要建立和啟用叢集並授予 EC2 執行個體存取叢集的權限,請完成AWS CloudHSM入門中的步驟。入門提供有關使用一個 HSM 和一個 Amazon EC2 用戶端執行個體建立作用中叢集的 step-by-step 指示。可以使用此用戶端執行個體做為 Web 伺服器。
-
若要避免停用用戶端金鑰耐久性,請在叢集中新增多個 HSM。如需詳細資訊,請參閱 新增 HSM。
-
要連接到用戶端執行個體,可以使用 SSH 或 PuTTY。如需詳細資訊,請參閱 Amazon EC2 文件中的使用 SSH 連接至您的 Linux 執行個體或使用 PuTTY 從 Windows 連接至您的 Linux 執行個體。
用戶端 SDK 3 的先決條件
若要設定 Web 伺服器 SSL/TLS 卸載搭配 Client SDK 3,您需要下列項目:
-
至少具有一個 HSM 的作用中 AWS CloudHSM 叢集。
-
執行 Linux 作業系統的 Amazon EC2 執行個體,其中已安裝下列軟體:
-
用 AWS CloudHSM 戶端和命令列工具。
-
NGINX 或 Apache Web 伺服器應用程式。
-
適用於 OpenSSL 的 AWS CloudHSM 動態引擎。
-
-
加密使用者 (CU),擁有及管理 HSM 上 Web 伺服器的私有金鑰。
設定 Linux Web 伺服器執行個體,並在 HSM 上建立 CU
-
完成「開始使用」中的步驟。然後,您將擁有一個包含一個 HSM 和一個 Amazon EC2 用戶端執行個體的作用中叢集。您的 EC2 執行個體將使用命令列工具進行設定。使用此用戶端執行個體做為您的 Web 伺服器。
-
連接至您的用戶端執行個體。如需詳細資訊,請參閱 Amazon EC2 文件中的使用 SSH 連接至您的 Linux 執行個體或使用 PuTTY 從 Windows 連接至您的 Linux 執行個體。
-
在可存取叢集的 EC2 Linux 執行個體上,安裝 NGINX 或 Apache Web 伺服器:
-
(選用) 在您的叢集中新增更多 HSM。如需詳細資訊,請參閱 新增 HSM。
-
使用 cloudhsm_mgmt_util 建立 CU。如需詳細資訊,請參閱 管理 HSM 使用者。保持追蹤 CU 使用者名稱和密碼。之後在為您的 Web 伺服器產生或匯入 HTTPS 私有金鑰和憑證時,您將會需要該資訊。
完成這些步驟之後,請移至 步驟 2:產生或匯入私有金鑰和 SSL/TLS 憑證。
