Den Client mit SDK dem AWS CloudHSM Cluster Connect - AWS CloudHSM
Platzieren Sie das ausstellende Zertifikat auf jeder Instanz EC2Geben Sie den Speicherort des ausstellenden Zertifikats anBootstrap für den Client SDK

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Den Client mit SDK dem AWS CloudHSM Cluster Connect

Um mit Client SDK 5 oder Client SDK 3 eine Verbindung zum Cluster herzustellen, müssen Sie zunächst zwei Dinge tun:

  • Verfügen Sie über ein ausstellendes Zertifikat auf der EC2 Instanz

  • Booten Sie den Client SDK mit dem Cluster

Platzieren Sie das ausstellende Zertifikat auf jeder Instanz EC2

Sie erstellen das ausstellende Zertifikat, wenn Sie den Cluster initialisieren. Kopieren Sie das ausstellende Zertifikat an den Standardspeicherort für die Plattform auf jeder EC2 Instanz, die eine Verbindung zum Cluster herstellt.

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Geben Sie den Speicherort des ausstellenden Zertifikats an

Bei Client SDK 5 verwenden Sie das Konfigurationstool, um den Speicherort des ausstellenden Zertifikats anzugeben.

PKCS #11 library
Um das ausstellende Zertifikat auf Linux für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Um das ausstellende Zertifikat auf Windows für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Um das ausstellende Zertifikat auf Linux für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Um das ausstellende Zertifikat auf Linux für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Um das ausstellende Zertifikat auf Windows für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Um das ausstellende Zertifikat auf Linux für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Um das ausstellende Zertifikat auf Windows für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Weitere Informationen finden Sie unter Configure Tool.

Weitere Informationen zur Initialisierung des Clusters oder zum Erstellen und Signieren des Zertifikats finden Sie unter Cluster initialisieren.

Bootstrap für den Client SDK

Der Bootstrap-Vorgang ist je nach der Version des Clients, den SDK Sie verwenden, unterschiedlich. Sie benötigen jedoch die IP-Adresse eines der Hardware-Sicherheitsmodule (HSM) im Cluster. Sie können die IP-Adresse aller HSM an Ihren Cluster angeschlossenen Geräte verwenden. Nachdem der Client SDK eine Verbindung hergestellt hat, ruft er die IP-Adressen aller weiteren Benutzer ab HSMs und führt Lastenausgleich und clientseitige Schlüsselsynchronisierung durch.

Um eine IP-Adresse für eine (Konsole) zu erhalten HSM

  1. Öffne die AWS CloudHSM Konsole zu https://console.aws.amazon.com/cloudhsm/Hause.

  2. Um die AWS Region zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Um die Cluster-Detailseite zu öffnen, wählen Sie in der Cluster-Tabelle die Cluster-ID aus.

  4. Um die IP-Adresse abzurufen, wählen Sie auf der HSMs Registerkarte eine der IP-Adressen aus, die unter ENI IP-Adresse aufgeführt sind.

Um eine IP-Adresse für ein HSM (AWS CLI) zu erhalten

  • Rufen Sie die IP-Adresse von ab, HSM indem Sie den describe-clusters Befehl von verwenden AWS CLI. In der Ausgabe des Befehls HSMs sind die IP-Adressen von die Werte vonEniIp. 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

Weitere Informationen zum Bootstrapping finden Sie unter Configure Tool.

PKCS #11 library
Um eine EC2 Linux-Instanz für Client 5 zu booten SDK

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Um eine EC2 Windows-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Um eine EC2 Linux-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
Um eine EC2 Linux-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Um eine EC2 Windows-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Um eine EC2 Linux-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse der HSM (s) in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
Um eine EC2 Windows-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse der HSM (s) in Ihrem Cluster anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
Anmerkung

Sie können den –-cluster-id-Parameter anstelle von -a <HSM_IP_ADDRESSES> verwenden. Informationen zu den Anforderungen für die Verwendung von –-cluster-id finden Sie unter AWS CloudHSM Konfigurationstool für Client SDK 5.

Um eine EC2 Linux-Instanz für Client 3 zu booten SDK

  • Verwenden Sie configure diese Option, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    sudo /opt/cloudhsm/bin/configure -a <IP address>
Um eine EC2 Windows-Instanz für Client SDK 3 zu booten

  • Wird verwendetconfigure, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

Weitere Informationen zur -Konfiguration finden Sie unter AWS CloudHSM Tool konfigurieren.