步驟 1：設定先決條件

請遵循這些先決條件，在 Linux 上使用具有 SSL/TLS 卸載 AWS CloudHSM 的 Tomcat 網頁伺服器。您必須符合這些先決條件，才能透過用戶端 SDK 5 和 Tomcat Web 伺服器來設定 Web 伺服器 SSL/TLS 卸載。

注意

不同平台需要不同的先決條件。請務必遵循適用於平台的正確安裝步驟。

必要條件

• 執行 Linux 作業系統且安裝了 Tomcat Web 伺服器的 Amazon EC2 執行個體。

• 加密使用者 (CU)，擁有及管理 HSM 上 Web 伺服器的私有金鑰。

• 具有至少兩個硬體安全性模組 (HSM) 的作用中 AWS CloudHSM 叢集，這些模組已安裝並設定用戶端 SDK 5 的 JCE。

  注意

  您可以使用單一 HSM 叢集，但必須先停用用戶端金鑰耐久性。如需詳細資訊，請參閱管理用戶端金鑰耐久性設定和用戶端 SDK 5 設定工具。

如何滿足先決條件

1. 在至少具有兩個硬體安全性模組 (HSM) 的作用中 AWS CloudHSM 叢集 AWS CloudHSM 上安裝和設定 JCE。如需關於安裝的詳細資訊，請參閱用戶端 SDK 5 的 JCE。

2. 在可以存取 AWS CloudHSM 叢集的 EC2 Linux 執行個體上，依照 Apache Tomcat 指示下載並安裝 Tomcat 網頁伺服器。

3. 使用 CloudHSM CLI 建立加密使用者 (CU)。如需關於管理 HSM 使用者的詳細資訊，請參閱使用 CloudHSM CLI 管理 HSM 使用者。

   提示

   保持追蹤 CU 使用者名稱和密碼。之後在為您的 Web 伺服器產生或匯入 HTTPS 私有金鑰和憑證時，您將會需要該資訊。

4. 要使用 Java Keytool 設置 JCE，請按照 使用用戶端 SDK 5 與 Java Keytool 和 Jarsigner 整合 中的說明進行操作。

完成這些步驟之後，請移至 步驟 2：產生或匯入私有金鑰和 SSL/TLS 憑證。

備註

• 若要使用 Security-Enhanced Linux (SELinux) 和 Web 伺服器，您必須在連接埠 2223 上允許傳出 TCP 連線，也就是用戶端 SDK 5 用來與 HSM 通訊的連接埠。

• 若要建立和啟用叢集並授予 EC2 執行個體存取叢集的權限，請完成AWS CloudHSM入門中的步驟。本節提供使用一個 HSM 和一個 Amazon EC2 用戶端執行個體建立作用中叢集的 step-by-step 說明。可以使用此用戶端執行個體做為 Web 伺服器。

• 若要避免停用用戶端金鑰耐久性，請在叢集中新增多個 HSM。如需詳細資訊，請參閱 新增 HSM。

• 要連接到用戶端執行個體，可以使用 SSH 或 PuTTY。如需詳細資訊，請參閱 Amazon EC2 文件中的使用 SSH 連接至您的 Linux 執行個體或使用 PuTTY 從 Windows 連接至您的 Linux 執行個體。