Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS CloudHSM Befehlszeilentools
Zusätzlich zu den AWS Command Line Interface (AWS CLI), die Sie für die Verwaltung Ihrer AWS-Ressourcen verwenden, AWS CloudHSM bietet es Befehlszeilentools zum Erstellen und Verwalten von Benutzern und Schlüsseln für das Hardware-Sicherheitsmodul (HSM) auf Ihrem. HSMs In verwenden Sie die vertraute CLI AWS CloudHSM, um Ihren Cluster zu verwalten, und die CloudHSM-Befehlszeilentools, um Ihr HSM zu verwalten.
Dies sind die verschiedenen Befehlszeilen-Tools:
**Zur Verwaltung von Clustern HSMs **
[HSMv2 Cloud-Befehle im AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/index.html) und [HSM2 PowerShell Cmdlets im Shell-Modul AWSPower](https://aws.amazon.com/powershell/)
+ Diese Tools rufen AWS CloudHSM Cluster ab, erstellen, löschen und taggen und: HSMs
+ Um die Befehle in [HSMv2 Cloud-Befehlen in der CLI](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/index.html) zu verwenden, müssen Sie sie [installieren](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) und [konfigurieren](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html#cli-quick-configuration) AWS CLI.
+ [HSM2 PowerShell Cmdlets im AWSPower Shell-Modul](https://aws.amazon.com/powershell/) sind in einem Windows-Modul und einem plattformübergreifenden PowerShell PowerShell Core-Modul verfügbar.
**So verwalten Sie HSM-Benutzer**
[CloudHSM-CLI](cloudhsm_cli.md)
+ Verwenden Sie die [CloudHSM-CLI](cloudhsm_cli.md), um Benutzer zu erstellen, Benutzer zu löschen, Benutzer aufzulisten, Benutzerkennwörter zu ändern und die Benutzer-Multi-Faktor-Authentifizierung (MFA) zu aktualisieren. Es ist nicht in der AWS CloudHSM-Clientsoftware enthalten. Anleitungen zur Installation dieses Tools finden Sie unter [CloudHSM CLI installieren und konfigurieren](gs_cloudhsm_cli-install.md).
**Hilfstools**
Zwei Tools helfen Ihnen bei der Verwendung von Tools und AWS CloudHSM Softwarebibliotheken:
+ Das [Configure-Tool](configure-tool.md) aktualisiert Ihre CloudHSM-Client-Konfigurationsdateien. Dies ermöglicht AWS CloudHSM die Synchronisation der HSMs in einem Cluster.
AWS CloudHSM bietet zwei Hauptversionen, und Client SDK 5 ist die neueste Version. Es bietet eine Reihe von Vorteilen gegenüber Client-SDK 3 (der vorherigen Serie).
+ Mit [pkpspeed](troubleshooting-verify-hsm-performance.md) wird die Leistung der HSM-Hardware unabhängige von Software-Bibliotheken gemessen.
**Tools für frühere SDKs**
Verwenden Sie das Key Management Tool (KMU), um symmetrische Schlüssel und asymmetrische Schlüsselpaare zu erstellen, zu löschen, zu importieren und zu exportieren:
+ [key\$1mgmt\$1util](key_mgmt_util.md). Dieses Tool ist Bestandteil der AWS CloudHSM -Clientsoftware.
Verwenden Sie das CloudHSM Management Tool (CMU), um HSM-Benutzer zu erstellen und zu löschen, einschließlich der Implementierung der Quorum-Authentifizierung von Benutzerverwaltungsaufgaben
+ [cloudhsm\$1mgmt\$1util](cloudhsm_mgmt_util.md). Dieses Tool ist Bestandteil der AWS CloudHSM -Clientsoftware.
In den folgenden Themen werden die Befehlszeilentools näher beschrieben, die für die Verwaltung und Verwendung verfügbar sind. AWS CloudHSM
**Topics**
+ [AWS CloudHSM Tool konfigurieren](configure-tool.md)
+ [AWS CloudHSM Befehlszeilenschnittstelle (CLI)](cloudhsm_cli.md)
+ [AWS CloudHSM Verwaltungsdienstprogramm (CMU)](cloudhsm_mgmt_util.md)
+ [AWS CloudHSM Schlüsselverwaltungsprogramm (KMU)](key_mgmt_util.md)
# AWS CloudHSM Tool konfigurieren
AWS CloudHSM synchronisiert automatisch Daten zwischen allen Hardware-Sicherheitsmodulen (HSM) in einem Cluster. Das **configure**-Tool aktualisiert die HSM-Daten der von den Synchronisationsmechanismen verwendeten Konfigurationsdateien. Wird verwendet**configure**, um die HSM-Daten zu aktualisieren, bevor Sie die Befehlszeilentools verwenden, insbesondere wenn sich die HSMs im Cluster geändert haben.
AWS CloudHSM umfasst zwei Hauptversionen des Client-SDK:
+ Client-SDK 5: Dies ist unser neuestes und standardmäßiges Client-SDK. Informationen zu den Vorteilen und Nutzen, die es bietet, finden Sie unter [Vorteile von AWS CloudHSM Client SDK 5](client-sdk-5-benefits.md).
+ Client-SDK 3: Dies ist unser älteres Client-SDK. Es enthält einen vollständigen Satz von Komponenten für die Kompatibilität von plattform- und sprachbasierten Anwendungen und Verwaltungstools.
Anweisungen zur Migration von Client SDK 3 auf Client SDK 5 finden Sie unter[Migration von AWS CloudHSM Client SDK 3 zu Client SDK 5](client-sdk-migration.md).
**Topics**
+ [Configure-Tool für das Client-SDK 5](configure-sdk-5.md)
+ [Configure-Tool für das Client-SDK 3](configure-sdk-3.md)
# AWS CloudHSM Konfigurationstool für das Client-SDK 5
Verwenden Sie das AWS CloudHSM Client SDK 5-Konfigurationstool, um die clientseitigen Konfigurationsdateien zu aktualisieren.
Jede Komponente in Client-SDK 5 enthält ein Configure-Tool mit einer Bezeichnung der Komponente im Dateinamen des Configure-Tools. Die PKCS \$111-Bibliothek für das Client-SDK 5 enthält beispielsweise ein Configure-Tool namens `configure-pkcs11` unter Linux oder `configure-pkcs11.exe` auf Windows.
**Topics**
+ [Syntax](configure-tool-syntax5.md)
+ [Parameters](configure-tool-params5.md)
+ [Beispiele](configure-tool-examples5.md)
+ [Bootstrap OpenSSL Anbieter](configure-openssl-provider.md)
+ [Erweiterte Konfigurationen](configure-sdk5-advanced-configs.md)
+ [Verwandte Themen](configure-tool-seealso5.md)
# AWS CloudHSM Konfigurationssyntax für das Client-SDK 5
In der folgenden Tabelle wird die Syntax der AWS CloudHSM Konfigurationsdateien für das Client SDK 5 veranschaulicht. Weitere Informationen zu den Parametern finden Sie unter [AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md).
------
#### [ PKCS \$111 ]
```
Usage: configure-pkcs11[ .exe ] [OPTIONS]
Options:
--disable-certificate-storage
Disables Certificate Storage
--enable-certificate-storage
Enables Certificate Storage
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ OpenSSL ]
```
Usage: configure-dyn[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ KSP ]
```
Usage: configure-ksp.exe [OPTIONS]
Options:
-a ...
The address of the HSM instance
--server-client-cert-file
The client certificate used for TLS client-server mutual authentication
--server-client-key-file
The client private key used for TLS client-server mutual authentication
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
--enable-sdk3-compatibility-mode
Enables key file usage for KSP
--disable-sdk3-compatibility-mode
Disables key file usage for KSP
-h, --help
Print help
```
------
#### [ JCE ]
```
Usage: configure-jce[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ CloudHSM CLI ]
```
Usage: configure-cli[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ OpenSSL Provider ]
```
Usage: configure-openssl-provider[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
# AWS CloudHSM Konfigurationsparameter für das Client-SDK 5
Im Folgenden finden Sie eine Liste von Parametern für die Konfiguration von AWS CloudHSM Client SDK 5.
**-a ****
Fügt die angegebene IP-Adresse den Client-SDK 5-Konfigurationsdateien hinzu. Geben Sie eine beliebige ENI-IP-Adresse eines HSM aus dem Cluster ein. Weitere Informationen über die Verwendung dieser Option finden Sie unter [Bootstrap für Client-SDK 5](cluster-connect.md#sdk8-connect).
Erforderlich: Ja
**--hsm-ca-cert ****
Pfad zu dem Verzeichnis, in dem das Zertifikat der Zertifizierungsstelle (CA) gespeichert ist, mit dem EC2-Client-Instances mit dem Cluster verbunden werden. Sie erstellen diese Datei, wenn Sie den Cluster initialisieren. Standardmäßig sucht das System am folgenden Speicherort nach dieser Datei:
Linux
```
/opt/cloudhsm/etc/customerCA.crt
```
Windows
```
C:\ProgramData\Amazon\CloudHSM\customerCA.crt
```
Weitere Informationen zur Initialisierung des Clusters oder zum Platzieren des Zertifikats finden Sie unter [Platzieren Sie das ausstellende Zertifikat auf jeder EC2-Instance](cluster-connect.md#place-hsm-cert) und [Initialisieren Sie den Cluster in AWS CloudHSM](initialize-cluster.md).
Erforderlich: Nein
**--cluster-id ****
Führt einen `DescribeClusters`-Aufruf aus, um alle IP-Adressen der HSM-Elastic-Network-Schnittstelle (ENI) im Cluster mit der Cluster-ID zu finden. Das System fügt die ENI-IP-Adressen zu den AWS CloudHSM Konfigurationsdateien hinzu.
Wenn Sie den `--cluster-id` Parameter von einer EC2-Instance innerhalb einer VPC verwenden, die keinen Zugriff auf das öffentliche Internet hat, müssen Sie einen VPC-Schnittstellen-Endpunkt erstellen, mit dem Sie eine Verbindung herstellen können. AWS CloudHSM Weitere Informationen über VPC-Endpunkte finden Sie unter [AWS CloudHSM und VPC-Endpunkte](cloudhsm-vpc-endpoint.md).
Erforderlich: Nein
**--endpoint ****
Geben Sie den AWS CloudHSM API-Endpunkt an, der für den `DescribeClusters` Aufruf verwendet wird. Sie müssen diese Option in Kombination mit `--cluster-id` festlegen.
Erforderlich: Nein
**--region ****
Geben Sie die Region Ihres Clusters an. Sie müssen diese Option in Kombination mit `--cluster-id` festlegen.
Wenn Sie den `--region`-Parameter nicht angeben, wählt das System die Region aus, indem es versucht, die Umgebungsvariablen `AWS_DEFAULT_REGION` oder `AWS_REGION` zu lesen. Wenn diese Variablen nicht festgelegt sind, überprüft das System die Region, die Ihrem Profil in Ihrer AWS-Config-Datei zugeordnet ist (normalerweise `~/.aws/config`), sofern Sie in der `AWS_CONFIG_FILE`-Umgebungsvariable keine andere Datei angegeben haben. Wenn keine der oben genannten Optionen festgelegt ist, verwendet das System standardmäßig die `us-east-1`-Region.
Erforderlich: Nein
**-- -Datei client-cert-hsm-tls ****
Pfad zum Client-Zertifikat, das für die gegenseitige Authentifizierung zwischen TLS Client und HSM verwendet wird.
Verwenden Sie diese Option nur, wenn Sie mindestens einen Vertrauensanker auf HSM mit CloudHSM CLI registriert haben. Sie müssen diese Option in Kombination mit `--client-key-hsm-tls-file` festlegen.
Erforderlich: Nein
**-- -Datei client-key-hsm-tls ****
Pfad zum Client-Schlüssel, der für die gegenseitige Authentifizierung zwischen TLS Client und HSM verwendet wird.
Verwenden Sie diese Option nur, wenn Sie mindestens einen Vertrauensanker auf HSM mit CloudHSM CLI registriert haben. Sie müssen diese Option in Kombination mit `--client-cert-hsm-tls-file` festlegen.
Erforderlich: Nein
**--log-level ****
Gibt die Mindestprotokollierungsebene an, die das System in die Protokolldatei schreiben soll. Jede Stufe umfasst die vorherigen Stufen, wobei Fehler die Mindeststufe und Trace die Höchststufe ist. Das heißt, wenn Sie Fehler angeben, schreibt das System nur Fehler in das Protokoll. Wenn Sie trace angeben, schreibt das System Fehler, Warnungen, Informations- (Info-) und Debugmeldungen in das Protokoll. Weitere Informationen finden Sie unter [Client-SDK-5-Protokollierung](hsm-client-logs.md#sdk5-logging).
Erforderlich: Nein
**--log-rotation ****
Gibt die Häufigkeit an, mit der das System Protokolle rotiert. Weitere Informationen finden Sie unter [Client-SDK-5-Protokollierung](hsm-client-logs.md#sdk5-logging).
Erforderlich: Nein
**--log-Datei ****
Gibt an, wo das System die Protokolldatei schreiben wird. Weitere Informationen finden Sie unter [Client-SDK-5-Protokollierung](hsm-client-logs.md#sdk5-logging).
Erforderlich: Nein
**--Protokolltyp ****
Gibt an, ob das System das Protokoll in eine Datei oder ein Terminal schreibt. Weitere Informationen finden Sie unter [Client-SDK-5-Protokollierung](hsm-client-logs.md#sdk5-logging).
Erforderlich: Nein
**-h \$1 --help**
Zeigt Hilfe an.
Erforderlich: Nein
**--disable-key-availability-check **
Markierung, um das Quorum für die Schlüsselverfügbarkeit zu deaktivieren. Verwenden Sie dieses Flag, um anzugeben, dass das Schlüsselverfügbarkeitsquorum deaktiviert werden AWS CloudHSM soll und dass Sie Schlüssel verwenden können, die nur auf einem HSM im Cluster vorhanden sind. Weitere Hinweise zur Verwendung dieses Flags zum Festlegen eines Quorums für Schlüsselverfügbarkeit finden Sie unter [Verwaltung der Einstellungen für die Haltbarkeit von Client-Schlüsseln](working-client-sync.md#setting-file-sdk8).
Erforderlich: Nein
**--enable-key-availability-check **
Markierung, um das Quorum für die Schlüsselverfügbarkeit zu aktivieren. Verwenden Sie dieses Flag, um anzugeben, dass das Schlüsselverfügbarkeitsquorum verwendet werden AWS CloudHSM soll und dass Sie Schlüssel erst verwenden dürfen, wenn diese Schlüssel auf zwei HSMs im Cluster vorhanden sind. Weitere Hinweise zur Verwendung dieses Flags zum Festlegen eines Quorums für Schlüsselverfügbarkeit finden Sie unter [Verwaltung der Einstellungen für die Haltbarkeit von Client-Schlüsseln](working-client-sync.md#setting-file-sdk8).
Standardmäßig aktiviert.
Erforderlich: Nein
**-- -init disable-validate-key-at **
Verbessert die Leistung, indem angegeben wird, dass Sie einen Initialisierungsaufruf überspringen können, um die Berechtigungen für einen Schlüssel für nachfolgende Aufrufe zu überprüfen. Verwenden Sie es mit Bedacht.
Hintergrund: Einige Mechanismen in der PKCS \$111-Bibliothek unterstützen mehrteilige Operationen, bei denen ein Initialisierungsaufruf überprüft, ob Sie den Schlüssel für nachfolgende Aufrufe verwenden können. Dies erfordert einen Bestätigungsaufruf an das HSM, was die Latenz des gesamten Vorgangs erhöht. Mit dieser Option können Sie den nachfolgenden Aufruf deaktivieren und möglicherweise die Leistung verbessern.
Erforderlich: Nein
**-- -init enable-validate-key-at **
Gibt an, dass Sie einen Initialisierungsaufruf verwenden sollten, um die Berechtigungen für einen Schlüssel für nachfolgende Aufrufe zu überprüfen. Dies ist die Standardoption. Verwenden Sie`enable-validate-key-at-init`, um diese Initialisierungsrufe wieder aufzunehmen, nachdem Sie mit `disable-validate-key-at-init` sie unterbrochen haben.
Erforderlich: Nein
# AWS CloudHSM Konfigurationsbeispiele für das Client-SDK 5
Diese Beispiele zeigen, wie das Konfigurationstool für AWS CloudHSM Client SDK 5 verwendet wird.
## Bootstrappen des Client-SDK 5
**Example**
In diesem Beispiel wird der `-a`-Parameter zur Aktualisierung der HSM-Daten für Client-SDK 5 verwendet. Um den `-a` Parameter verwenden zu können, benötigen Sie die IP-Adresse für einen der Parameter HSMs in Ihrem Cluster.
**So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a
```
**So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a
```
**So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-dyn -a
```
**So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider -a
```
**So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" -a
```
**So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-jce -a
```
**So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a
```
**So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Configure-Tool, um die IP-Adresse der HSM(s) in Ihrem Cluster anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-cli -a
```
**So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Configure-Tool, um die IP-Adresse der HSM(s) in Ihrem Cluster anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a
```
Sie können den `–-cluster-id`-Parameter anstelle von `-a ` verwenden. Informationen zu den Anforderungen für die Verwendung von `–-cluster-id` finden Sie unter [AWS CloudHSM Konfigurationstool für das Client-SDK 5](configure-sdk-5.md).
Weitere Informationen zum Parameter `-a` erhalten Sie unter [AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md).
## Geben Sie den Cluster, die Region und den Endpunkt für Client-SDK 5 an
**Example**
In diesem Beispiel wird der `cluster-id`-Parameter verwendet, um das Client-SDK 5 durch einen `DescribeClusters`-Aufruf zu bootstrappen.
**So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5 mit `cluster-id`**
+ Verwenden Sie die Cluster-ID`cluster-1234567`, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id
```
**So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5 mit `cluster-id`**
+ Verwenden Sie die Cluster-ID`cluster-1234567`, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --cluster-id
```
**So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5 mit `cluster-id`**
+ Verwenden Sie die Cluster-ID`cluster-1234567`, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id
```
**So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5 mit `cluster-id`**
+ Verwenden Sie die Cluster-ID`cluster-1234567`, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --cluster-id
```
**So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5 mit `cluster-id`**
+ Verwenden Sie die Cluster-ID`cluster-1234567`, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id
```
**So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5 mit `cluster-id`**
+ Verwenden Sie die Cluster-ID`cluster-1234567`, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --cluster-id
```
**So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5 mit `cluster-id`**
+ Verwenden Sie die Cluster-ID`cluster-1234567`, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id
```
**So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5 mit `cluster-id`**
+ Verwenden Sie die Cluster-ID`cluster-1234567`, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id
```
Sie können die Parameter `--region` und `--endpoint` in Kombination mit dem `cluster-id`-Parameter verwenden, um anzugeben, wie das System den `DescribeClusters`-Aufruf durchführt. Wenn sich die Region des Clusters beispielsweise von der Region unterscheidet, die als AWS-CLI-Standard konfiguriert ist, sollten Sie den `--region`-Parameter verwenden, um diese Region zu verwenden. Darüber hinaus haben Sie die Möglichkeit, den AWS CloudHSM API-Endpunkt anzugeben, der für den Anruf verwendet werden soll. Dies kann für verschiedene Netzwerkkonfigurationen erforderlich sein, z. B. für die Verwendung von VPC-Schnittstellenendpunkten, für die nicht den Standard-DNS-Hostnamen verwendet wird. AWS CloudHSM
**Um eine Linux-EC2-Instance mit einem benutzerdefinierten Endpunkt und einer benutzerdefinierten Region zu booten**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id --region --endpoint
```
**So booten Sie eine Windows-EC2-Instance mit einem Endpunkt und einer Region**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --cluster-id --region --endpoint
```
**Um eine Linux-EC2-Instance mit einem benutzerdefinierten Endpunkt und einer benutzerdefinierten Region zu booten**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id --region --endpoint
```
**So booten Sie eine Windows-EC2-Instance mit einem Endpunkt und einer Region**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --cluster-id --region --endpoint
```
**Um eine Linux-EC2-Instance mit einem benutzerdefinierten Endpunkt und einer benutzerdefinierten Region zu booten**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id --region --endpoint
```
**So booten Sie eine Windows-EC2-Instance mit einem Endpunkt und einer Region**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --cluster-id --region --endpoint
```
**Um eine Linux-EC2-Instance mit einem benutzerdefinierten Endpunkt und einer benutzerdefinierten Region zu booten**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id --region --endpoint
```
**So booten Sie eine Windows-EC2-Instance mit einem Endpunkt und einer Region**
+ Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id --region --endpoint
```
Weitere Hinweise zu den Parametern `--cluster-id`, `--region` und `--endpoint` finden Sie unter [AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md).
## Aktualisieren Sie das Client-Zertifikat und den Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM
**Example**
Dieses Beispiel zeigt, wie Sie die `--client-key-hsm-tls-file` Parameter `--client-cert-hsm-tls-file` und verwenden, um SSL neu zu konfigurieren, indem Sie einen benutzerdefinierten Schlüssel und ein SSL-Zertifikat für angeben AWS CloudHSM
**So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Linux**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
$ sudo cp ssl-client.pem
$ sudo cp ssl-client.key
```
1. Verwenden Sie das Configure-Tool, um `ssl-client.pem` und `ssl-client.key` anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Windows**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um und anzugeben. `ssl-client.pem` `ssl-client.key`
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Linux zu verwenden**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. Verwenden Sie das Configure-Tool, um `ssl-client.pem` und `ssl-client.key` anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-dyn \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Windows**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um und anzugeben. `ssl-client.pem` `ssl-client.key`
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Linux zu verwenden**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. Verwenden Sie das Configure-Tool, um `ssl-client.pem` und `ssl-client.key` anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-jce \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Windows**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um und anzugeben. `ssl-client.pem` `ssl-client.key`
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Linux zu verwenden**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. Verwenden Sie das Configure-Tool, um `ssl-client.pem` und `ssl-client.key` anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-cli \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Windows**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um und anzugeben. `ssl-client.pem` `ssl-client.key`
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
Weitere Hinweise zu den Parametern `--client-cert-hsm-tls-file` und `--client-key-hsm-tls-file` finden Sie unter [AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md).
## Deaktivieren Sie die Einstellungen für die Haltbarkeit von Client-Schlüsseln
**Example**
In diesem Beispiel wird der `--disable-key-availability-check`-Parameter verwendet, um die Einstellungen für die Haltbarkeit von Clientschlüsseln zu deaktivieren. Um einen Cluster mit einem einzigen HSM auszuführen, müssen Sie die Einstellungen für die Haltbarkeit von Client-Schlüsseln deaktivieren.
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
```
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Windows zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
```
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
```
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --disable-key-availability-check
```
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Windows zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
```
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
```
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Windows zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
```
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
```
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Windows zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
```
Weitere Informationen zum Parameter `--disable-key-availability-check` erhalten Sie unter [AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md).
## Protokollierungsoptionen verwalten
**Example**
Das Client-SDK 5 verwendet die Parameter `log-file`, `log-level`, `log-rotation` und `log-type`, um die Protokollierung zu verwalten.
Um Ihr SDK für serverlose Umgebungen wie AWS Fargate oder AWS Lambda zu konfigurieren, empfehlen wir Ihnen, Ihren AWS CloudHSM Protokolltyp auf zu konfigurieren. `term` Die Client-Protokolle werden in der für diese Umgebung konfigurierten Protokollgruppe CloudWatch Logs ausgegeben `stderr` und dort erfasst.
**Standardspeicherort für Protokollspeicherort**
+ Wenn Sie keinen Speicherort für die Datei angeben, schreibt das System Protokolle an den folgenden Standardspeicherort:
Linux
```
/opt/cloudhsm/run/cloudhsm-pkcs11.log
```
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
```
**Um die Protokollierungsebene zu konfigurieren und andere Protokollierungsoptionen auf Standard zu setzen**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
```
**Um Optionen für die Dateiprotokollierung zu konfigurieren**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file --log-rotation daily --log-level info
```
**Um Optionen für die Terminalprotokollierung zu konfigurieren**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
```
**Standardspeicherort für Protokollspeicherort**
+ Wenn Sie keinen Speicherort für die Datei angeben, schreibt das System Protokolle an den folgenden Standardspeicherort:
Linux
```
stderr
```
**Um die Protokollierungsebene zu konfigurieren und andere Protokollierungsoptionen auf Standard zu setzen**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-level info
```
**Um Optionen für die Dateiprotokollierung zu konfigurieren**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-type file --log-file --log-rotation daily --log-level info
```
**Um Optionen für die Terminalprotokollierung zu konfigurieren**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
```
**Standardspeicherort für Protokollspeicherort**
+ Wenn Sie keinen Speicherort für die Datei angeben, schreibt das System Protokolle an den folgenden Standardspeicherort:
Linux
```
stderr
```
**Um die Protokollierungsebene zu konfigurieren und andere Protokollierungsoptionen auf Standard zu setzen**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-level info
```
**Um Optionen für die Dateiprotokollierung zu konfigurieren**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-type file --log-file --log-rotation daily --log-level info
```
**Um Optionen für die Terminalprotokollierung zu konfigurieren**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-type term --log-level info
```
**Standardspeicherort für Protokollspeicherort**
+ Wenn Sie keinen Speicherort für die Datei angeben, schreibt das System Protokolle an den folgenden Standardspeicherort:
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-ksp.log
```
**Um die Protokollierungsebene zu konfigurieren und andere Protokollierungsoptionen auf Standard zu setzen**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-level info
```
**Um Optionen für die Dateiprotokollierung zu konfigurieren**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-type file --log-file --log-rotation daily --log-level info
```
**Um Optionen für die Terminalprotokollierung zu konfigurieren**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-type term --log-level info
```
**Standardspeicherort für Protokollspeicherort**
+ Wenn Sie keinen Speicherort für die Datei angeben, schreibt das System Protokolle an den folgenden Standardspeicherort:
Linux
```
/opt/cloudhsm/run/cloudhsm-jce.log
```
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
```
**Um die Protokollierungsebene zu konfigurieren und andere Protokollierungsoptionen auf Standard zu setzen**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-level info
```
**Um Optionen für die Dateiprotokollierung zu konfigurieren**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file --log-rotation daily --log-level info
```
**Um Optionen für die Terminalprotokollierung zu konfigurieren**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
```
**Standardspeicherort für Protokollspeicherort**
+ Wenn Sie keinen Speicherort für die Datei angeben, schreibt das System Protokolle an den folgenden Standardspeicherort:
Linux
```
/opt/cloudhsm/run/cloudhsm-cli.log
```
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
```
**Um die Protokollierungsebene zu konfigurieren und andere Protokollierungsoptionen auf Standard zu setzen**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-level info
```
**Um Optionen für die Dateiprotokollierung zu konfigurieren**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file --log-rotation daily --log-level info
```
**Um Optionen für die Terminalprotokollierung zu konfigurieren**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info
```
Weitere Informationen über die Parameter `log-file`, `log-level`, `log-rotation` und `log-type` finden Sie unter [AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md).
## Platzieren Sie das ausstellende Zertifikat für das Client-SDK 5
**Example**
In diesem Beispiel wird der `--hsm-ca-cert`-Parameter verwendet, um den Speicherort des ausstellenden Zertifikats für das Client-SDK 5 zu aktualisieren.
**Um das ausstellende Zertifikat für das Client-SDK 5 auf Linux zu platzieren**
+ Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert
```
**Um das ausstellende Zertifikat unter Windows für Client-SDK 5 zu platzieren**
+ Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --hsm-ca-cert
```
**Um das ausstellende Zertifikat für das Client-SDK 5 auf Linux zu platzieren**
+ Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert
```
**Um das ausstellende Zertifikat für das Client-SDK 5 auf Linux zu platzieren**
+ Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --hsm-ca-cert
```
**Um das ausstellende Zertifikat unter Windows für Client-SDK 5 zu platzieren**
+ Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --hsm-ca-cert
```
**Um das ausstellende Zertifikat für das Client-SDK 5 auf Linux zu platzieren**
+ Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert
```
**Um das ausstellende Zertifikat unter Windows für Client-SDK 5 zu platzieren**
+ Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --hsm-ca-cert
```
**Um das ausstellende Zertifikat für das Client-SDK 5 auf Linux zu platzieren**
+ Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert
```
**Um das ausstellende Zertifikat unter Windows für Client-SDK 5 zu platzieren**
+ Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --hsm-ca-cert
```
Weitere Informationen zum Parameter `--hsm-ca-cert` erhalten Sie unter [AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md).
# Bootstrap OpenSSL Anbieter
Verwenden Sie das configure-openssl-provider Tool, um Ihre OpenSSL Provider-Installation zu booten und sie mit Ihrem AWS CloudHSM Cluster zu verbinden.
**Um den OpenSSL-Anbieter zu booten**
1. Führen Sie den configure-openssl-provider Befehl mit der IP-Adresse eines HSM in Ihrem Cluster aus:
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider -a
```
**Ersetzen Sie ihn durch die IP-Adresse eines beliebigen HSM in Ihrem Cluster.
1. Überprüfen Sie die Konfiguration, indem Sie überprüfen, ob der OpenSSL-Anbieter eine Verbindung zu Ihrem Cluster herstellen kann:
```
$ openssl list -providers -provider-path /opt/cloudhsm/lib -provider cloudhsm
```
Weitere Hinweise zu den Konfigurationsparametern finden Sie unter[AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md).
# Erweiterte Konfigurationen für das Client-SDK-5-Configure-Tool
Das AWS CloudHSM Client SDK 5-Konfigurationstool umfasst erweiterte Konfigurationen, die nicht zu den allgemeinen Funktionen gehören, die die meisten Kunden verwenden. Erweiterte Konfigurationen bieten zusätzliche Funktionen.
**Wichtig**
Nachdem Sie Änderungen an Ihrer Konfiguration vorgenommen haben, müssen Sie Ihre Anwendung neu starten, damit die Änderungen wirksam werden.
+ Erweiterte Konfigurationen für PKCS \$111
+ [Konfiguration mit mehreren Steckplätzen mit PKCS \$111 -Bibliothek für AWS CloudHSM](pkcs11-library-configs-multi-slot.md)
+ [Wiederholen Sie die Befehle für die PKCS \$111 -Bibliothek für AWS CloudHSM](pkcs11-library-configs-retry.md)
+ Erweiterte Konfigurationen für OpenSSL
+ [Befehle für OpenSSL wiederholen für AWS CloudHSM](openssl-library-configs-retry.md)
+ Erweiterte Konfigurationen für KSP
+ [SDK3 Kompatibilitätsmodus für Key Storage Provider (KSP) für AWS CloudHSM](ksp-library-configs-sdk3-compatibility-mode.md)
+ Erweiterte Konfigurationen für JCE
+ [Verbindung zu mehreren AWS CloudHSM Clustern mit dem JCE-Anbieter herstellen](java-lib-configs-multi.md)
+ [Befehle für JCE wiederholen für AWS CloudHSM](java-lib-configs-retry.md)
+ [Schlüsselextraktion mit JCE für AWS CloudHSM](java-lib-configs-getencoded.md)
+ Erweiterte Konfigurationen für die AWS CloudHSM Befehlszeilenschnittstelle (CLI)
+ [Verbindung zu mehreren Clustern mit CloudHSM CLI herstellen](cloudhsm_cli-configs-multi-cluster.md)
# AWS CloudHSM Verwandte Themen zum Client-SDK 5
Weitere Informationen zum AWS CloudHSM Client SDK 5 finden Sie in den folgenden verwandten Themen.
+ [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) API-Operation
+ [describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html) AWS CLI
+ [Get-HSM2Cluster](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-HSM2Cluster.html) PowerShell Cmdlet
+ [Bootstrappen des Client-SDK 5](cluster-connect.md#sdk8-connect)
+ [Bootstrap OpenSSL Anbieter](configure-openssl-provider.md)
+ [AWS CloudHSM VPC-Endpunkte](cloudhsm-vpc-endpoint.md)
+ [Verwaltung der wichtigsten Haltbarkeitseinstellungen des Client-SDK 5](working-client-sync.md#setting-file-sdk8)
+ [Protokollierung im Client-SDK 5](hsm-client-logs.md#sdk5-logging)
+ [mTLS einrichten (empfohlen)](getting-started-setup-mtls.md)
# AWS CloudHSM Konfigurationstool für das Client-SDK 3
Verwenden Sie das AWS CloudHSM Client SDK 3-Konfigurationstool, um den Client-Daemon zu booten und das CloudHSM Management Utility (CMU) zu konfigurieren.
**Topics**
+ [Syntax](configure-tool-syntax.md)
+ [Parameters](configure-tool-params.md)
+ [Beispiele](configure-tool-examples.md)
+ [Verwandte Themen](configure-tool-seealso.md)
# AWS CloudHSM Konfigurationssyntax für das Client-SDK 3
In der folgenden Tabelle wird die Syntax der AWS CloudHSM Konfigurationsdateien für das Client SDK 3 veranschaulicht.
```
configure -h | --help
-a
-m [-i ]
--ssl --pkey --cert
--cmu
```
# AWS CloudHSM Konfigurationsparameter für das Client-SDK 3
Im Folgenden finden Sie eine Liste von Parametern für die Konfiguration von AWS CloudHSM Client SDK 3.
**-h \$1 --help**
Zeigt die Befehlssyntax an.
Erforderlich: Ja
**-a ****
Fügt die angegebene IP-Adresse der HSM-Elastic Network-Schnittstelle (ENI) zu den Konfigurationsdateien von AWS CloudHSM hinzu. Geben Sie die ENI-IP-Adresse einer beliebigen Person HSMs im Cluster ein. Dabei spielt es keine Rolle, welche Sie auswählen.
Um die ENI-IP-Adressen der HSMs in Ihrem Cluster abzurufen, verwenden Sie den Befehl [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operation, den AWS CLI Befehl [describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html) oder das [Get-HSM2Cluster](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-HSM2Cluster.html) PowerShell Cmdlet.
Stoppen Sie den Client, bevor ` -a` **configure** Sie den Befehl ausführen. AWS CloudHSM Wenn der `-a` Befehl abgeschlossen ist, starten Sie den AWS CloudHSM Client neu. Details finden Sie [in den Beispielen](configure-tool-examples.md).
Dieser Parameter bearbeitet die folgenden Konfigurationsdateien:
+ `/opt/cloudhsm/etc/cloudhsm_client.cfg`: Wird von AWS CloudHSM client und [key\$1mgmt\$1util](key_mgmt_util.md) verwendet.
+ `/opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg`: Wird von [cloudhsm\$1mgmt\$1util](cloudhsm_mgmt_util.md) verwendet.
Wenn der AWS CloudHSM Client gestartet wird, verwendet er die ENI-IP-Adresse in seiner Konfigurationsdatei, um den Cluster abzufragen und die `cluster.info` Datei (`/opt/cloudhsm/daemon/1/cluster.info`) mit den richtigen ENI-IP-Adressen für alle Mitglieder des Clusters zu aktualisieren. HSMs
Erforderlich: Ja
**-m**
Aktualisiert die HSM-ENI-IP-Adressen in der von CMU verwendeten Konfigurationsdatei.
Der `-m`-Parameter ist für die Verwendung mit CMU aus Client-SDK 3.2.1 und früheren Versionen vorgesehen. Informationen zu CMU aus dem Client-SDK 3.3.0 und höher finden Sie unter `--cmu`-Parameter, der das Aktualisieren von HSM-Daten für CMU vereinfacht.
Wenn Sie den `-a` Parameter von aktualisieren **configure** und dann den AWS CloudHSM Client starten, fragt der Client-Daemon den Cluster ab und aktualisiert die `cluster.info` Dateien mit den richtigen HSM-IP-Adressen für alle HSMs im Cluster. Durch das Ausführen des Befehls `-m` **configure** wird die Aktualisierung abgeschlossen, da die HSM-IP-Adressen aus der Datei `cluster.info` in die von cloudhsm\$1mgmt\$1util verwendete `cloudhsm_mgmt_util.cfg`-Konfigurationsdatei kopiert werden.
Stellen Sie sicher, dass Sie den `-a` **configure** Befehl ausführen und den AWS CloudHSM Client neu starten, bevor Sie den `-m` Befehl ausführen. Dadurch wird sichergestellt, dass die Daten, die aus `cloudhsm_mgmt_util.cfg` in `cluster.info` kopiert werden, vollständig und korrekt sind.
Erforderlich: Ja
**-i**
Gibt einen alternativen Client-Daemon an. Der Standardwert stellt den AWS CloudHSM -Client dar.
Standard: `1`
Erforderlich: Nein
**--ssl**
Ersetzt den SSL-Schlüssel und das Zertifikat für den Cluster durch den angegebenen privaten Schlüssel und das Zertifikat. Wenn Sie diesen Parameter verwenden, müssen die Parameter `--pkey` und `--cert` verwendet werden.
Erforderlich: Nein
**--pkey**
Gibt den neuen privaten Schlüssel an. Geben Sie den Pfad und den Namen der Datei an, die den privaten Schlüssel enthält.
Erforderlich: Ja, **--ssl** wenn angegeben. Andernfalls sollte dieser Wert nicht verwendet werden.
**--cert**
Gibt das neue Zertifikat an. Geben Sie den Pfad und den Namen der Datei an, die das Zertifikat enthält. Das Zertifikat sollte mit dem Zertifikat `customerCA.crt`, dem selbstsignierten Zertifikat, das zum Initialisieren des Clusters verwendet wurde, verkettet sein. Weitere Informationen finden Sie unter [Initialisieren des Clusters](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr).
Erforderlich: Ja, **--ssl** wenn angegeben. Andernfalls sollte dieser Wert nicht verwendet werden.
**--cmu ****
Kombiniert die Parameter `-a` und `-m` zu einem Parameter. Fügt den AWS CloudHSM Konfigurationsdateien die angegebene HSM elastic network interface (ENI) -IP-Adresse hinzu und aktualisiert dann die CMU-Konfigurationsdatei. Geben Sie eine IP-Adresse von einem beliebigen HSM im Cluster ein. Informationen zum Client-SDK 3.2.1 und früher finden Sie unter [Verwenden von CMU mit Client-SDK 3.2.1](understand-users.md#downlevel-cmu) und früher.
Erforderlich: Ja
# AWS CloudHSM Konfigurationsbeispiele für das Client-SDK 3
Diese Beispiele zeigen, wie das **configure** Tool für AWS CloudHSM Client SDK 3 verwendet wird.
**Example : Aktualisieren Sie die HSM-Daten für den AWS CloudHSM Client und key\$1mgmt\$1util**
In diesem Beispiel werden die `-a` Parameter von **configure** zur Aktualisierung der HSM-Daten für den Client und key\$1mgmt\$1util verwendet. AWS CloudHSM Um den `-a` Parameter verwenden zu können, benötigen Sie die IP-Adresse für einen der Parameter in Ihrem Cluster. HSMs Verwenden Sie entweder die Konsole oder die AWS-CLI, um die IP-Adresse abzurufen.
**Um eine IP-Adresse für ein HSM (Konsole) zu erhalten**
1. Öffnen Sie die AWS CloudHSM Konsole zu [https://console.aws.amazon.com/cloudhsm/Hause](https://console.aws.amazon.com/cloudhsm/home).
1. Um die AWS-Region zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Um die Cluster-Detailseite zu öffnen, wählen Sie in der Cluster-Tabelle die Cluster-ID aus.
1. Um die IP-Adresse zu erhalten, gehen Sie zur HSMs Registerkarte. Wählen Sie für IPv4 Cluster eine Adresse aus, die unter ** IPv4 ENI-Adresse** aufgeführt ist. Verwenden Sie für Dual-Stack-Cluster entweder die ENI IPv4 - oder die ** IPv6 ENI-Adresse**.
**Um eine IP-Adresse für ein HSM zu erhalten ()AWS CLI**
+ Rufen Sie die IP-Adresse eines HSM ab, indem Sie den **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** Befehl von der AWS CLI verwenden. In der Ausgabe des Befehls entspricht die IP-Adresse von den Werten von `EniIp` und `EniIpV6` (falls es HSMs sich um einen Dual-Stack-Cluster handelt).
```
$ aws cloudhsmv2 describe-clusters
{
"Clusters": [
{ ... }
"Hsms": [
{
...
"EniIp": "10.0.0.9",
...
},
{
...
"EniIp": "10.0.1.6",
"EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
...
```
**So aktualisieren Sie die HSM-Daten**
1. Stoppen Sie den AWS CloudHSM Client, bevor Sie den `-a` Parameter aktualisieren. Dies verhindert Konflikte, die bei der Bearbeitung der Client-Konfigurationsdatei durch **configure** auftreten können. Wenn der Client bereits angehalten ist, hat dieser Befehl keine Auswirkungen, sodass Sie ihn in einem Skript verwenden können.
------
#### [ Amazon Linux ]
```
$ sudo stop cloudhsm-client
```
------
#### [ Amazon Linux 2 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ CentOS 7 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ CentOS 8 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ RHEL 7 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ RHEL 8 ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ Ubuntu 16.04 LTS ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ Ubuntu 18.04 LTS ]
```
$ sudo service cloudhsm-client stop
```
------
#### [ Windows ]
+ Für Windows-Client 1.1.2 und höher:
```
C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient
```
+ Für Windows-Clients 1.1.1 und früher:
Verwenden Sie **Strg** \$1 **C** in dem Befehlsfenster, in dem Sie den AWS CloudHSM Client gestartet haben.
------
1. Dieser Schritt verwendet den `-a`-Parameter von **configure**, um den Konfigurationsdateien die ENI-IP-Adresse `10.0.0.9` hinzuzufügen.
------
#### [ Amazon Linux ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ Amazon Linux 2 ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ CentOS 7 ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ CentOS 8 ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ RHEL 7 ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ RHEL 8 ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ Ubuntu 16.04 LTS ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ Ubuntu 18.04 LTS ]
```
$ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" -a 10.0.0.9
```
------
1. Starten Sie als Nächstes den AWS CloudHSM Client neu. Wenn der -Client startet, wird die ENI IP-Adresse aus der Konfigurationsdatei des Clients verwendet, um den Cluster abzufragen. Anschließend werden die ENI-IP-Adressen aller Mitglieder des Clusters HSMs in die `cluster.info` Datei geschrieben.
------
#### [ Amazon Linux ]
```
$ sudo start cloudhsm-client
```
------
#### [ Amazon Linux 2 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ CentOS 7 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ CentOS 8 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ RHEL 7 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ RHEL 8 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Ubuntu 16.04 LTS ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Ubuntu 18.04 LTS ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Windows ]
+ Für Windows-Client 1.1.2 und höher:
```
C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient
```
+ Für Windows-Clients 1.1.1 und früher:
```
C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
```
------
Wenn der Befehl abgeschlossen ist, sind die HSM-Daten, die der AWS CloudHSM Client und key\$1mgmt\$1util verwenden, vollständig und korrekt.
**Example : Aktualisieren Sie die HSM-Daten für CMU aus dem Client-SDK 3.2.1 und früher**
In diesem Beispiel wird der `-m` **configure**-Befehl verwendet, um die aktualisierten HSM-Daten aus der `cluster.info`-Datei in die `cloudhsm_mgmt_util.cfg`-Datei zu kopieren, die cloudhsm\$1mgmt\$1util verwendet. Verwenden Sie dies mit der CMU, die im Client-SDK 3.2.1 und früher enthalten ist.
+ [Bevor Sie den ausführen`-m`, beenden Sie den AWS CloudHSM Client, führen Sie den `-a` Befehl aus und starten Sie den AWS CloudHSM Client neu, wie im vorherigen Beispiel gezeigt.](#configure-tool-examples) Dadurch wird sichergestellt, dass die Daten, die aus der Datei `cloudhsm_mgmt_util.cfg` in die Datei `cluster.info` kopiert werden, vollständig und korrekt sind.
------
#### [ Linux ]
```
$ sudo /opt/cloudhsm/bin/configure -m
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" -m
```
------
**Example : Aktualisieren Sie die HSM-Daten für CMU aus dem Client-SDK 3.3.0 und höher**
In diesem Beispiel wird der `--cmu`-Parameter des **configure**-Befehls zur Aktualisierung der HSM-Daten für CMU verwendet. Verwenden Sie dies mit der CMU, die im Client-SDK 3.3.0 und höher enthalten ist. Weitere Informationen zur Verwendung von CMU finden Sie unter [Verwendung des CloudHSM Management Utility (CMU) zum Verwalten von Benutzern](manage-hsm-users-cmu.md) und [Verwendung des CMU mit Client-SDK 3.2.1 und früher](understand-users.md#downlevel-cmu).
+ Verwenden Sie den `--cmu`-Parameter, um die IP-Adresse eines HSM in Ihrem Cluster zu übergeben.
------
#### [ Linux ]
```
$ sudo /opt/cloudhsm/bin/configure --cmu
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\configure.exe" --cmu
```
------
# AWS CloudHSM Themen rund um die Konfiguration des Client-SDK 3
Weitere Informationen zum AWS CloudHSM Client SDK 3 finden Sie in den folgenden verwandten Themen.
+ [Richten Sie AWS CloudHSM key\$1mgmt\$1util ein](key_mgmt_util-setup.md)
# AWS CloudHSM Befehlszeilenschnittstelle (CLI)
**CloudHSM CLI** hilft Administratoren bei der Verwaltung von Benutzern und Krypto-Benutzern bei der Verwaltung von Schlüsseln in ihrem Cluster in. AWS CloudHSM Die CLI enthält Tools, mit denen Benutzer erstellt, gelöscht und aufgelistet, Benutzerkennwörter geändert und die Benutzer-Multi-Faktor-Authentifizierung (MFA) aktualisiert werden können. Sie umfasst auch Befehle zum Generieren, Löschen, Importieren und Exportieren von Schlüsseln, zum Abrufen und Festlegen von Attributen, zum Suchen von Schlüsseln und zum Ausführen kryptografischer Operationen.
Eine definierte Liste von CloudHSM-CLI-Benutzern finden Sie unter [HSM-Benutzerverwaltung mit CloudHSM CLI](manage-hsm-users-chsm-cli.md). Eine definierte Liste von Schlüsselattributen für die CloudHSM-CLI finden Sie unter. [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md) Informationen zur Verwendung der CloudHSM-CLI zur Verwaltung von Schlüsseln finden Sie unter. [Schlüsselverwaltung mit CloudHSM CLI](manage-keys-chsm-cli.md)
Informationen zum schnellen Einstieg finden Sie unter [Erste Schritte mit der AWS CloudHSM Befehlszeilenschnittstelle (CLI)](cloudhsm_cli-getting-started.md). Detaillierte Informationen über die CloudHSM-CLI-Befehle und Beispiele zu ihrer Verwendung finden Sie unter [Referenz für CloudHSM-CLI-Befehle](cloudhsm_cli-reference.md).
**Topics**
+ [Unterstützte Plattformen](cloudhsm-cli-support.md)
+ [Erste Schritte](cloudhsm_cli-getting-started.md)
+ [Befehlsmodi](cloudhsm_cli-modes.md)
+ [Schlüsselattribute](cloudhsm_cli-key-attributes.md)
+ [Erweiterte -Konfigurationen](cloudhsm_cli-configs.md)
+ [Referenz](cloudhsm_cli-reference.md)
# AWS CloudHSM Von der Befehlszeilenschnittstelle (CLI) unterstützte Plattformen
In diesem Thema werden die Linux- und Windows-Plattformen beschrieben, die von der AWS CloudHSM CLI unterstützt werden.
## Linux-Support
| Unterstützte Plattformen | X86\$164-Architektur | ARM-Architektur |
| --- | --- | --- |
| Amazon Linux 2 | Ja | Ja |
| Amazon Linux 2023 | Ja | Ja |
| Red Hat Enterprise Linux 8 (8.3\$1) | Ja | Ja |
| RedHat Enterprise Linux 9 (9,2 und höher) | Ja | Ja |
| RedHat Enterprise Linux 10 (10.0\$1) | Ja | Ja |
| Ubuntu 22.04 LTS | Ja | Ja |
| Ubuntu 24.04 LTS | Ja | Ja |
+ SDK 5.16 war die letzte Version, die Unterstützung für die Ubuntu 20.04 LTS-Plattform bot. [Weitere Informationen finden Sie auf der Ubuntu-Website.](https://ubuntu.com/blog/ubuntu-20-04-lts-end-of-life-standard-support-is-coming-to-an-end-heres-how-to-prepare)
+ SDK 5.12 war die letzte Version, die CentOS 7 (7.8\$1) Plattformunterstützung bot. Weitere Informationen finden Sie auf der [CentOS-Website](https://blog.centos.org/2023/04/end-dates-are-coming-for-centos-stream-8-and-centos-linux-7/).
+ SDK 5.12 war die letzte Version, die Unterstützung für die Plattform Red Hat Enterprise Linux 7 (7.8\$1) bot. Weitere Informationen finden Sie auf der [Red](https://www.redhat.com/en/technologies/linux-platforms/enterprise-linux/rhel-7-end-of-maintenance) Hat Website.
+ SDK 5.4.2 war die letzte Version, die CentOS 8-Plattformunterstützung bot. Weitere Informationen finden Sie auf der [CentOS-Website](https://www.centos.org/centos-linux-eol/).
## Windows-Unterstützung
+ Microsoft Windows Server 2016
+ Microsoft Windows Server 2019
+ Microsoft Windows Server 2022
+ Microsoft Windows Server 2025
# Erste Schritte mit der AWS CloudHSM Befehlszeilenschnittstelle (CLI)
Mit der CloudHSM CLI Command Line Interface (CLI) können Sie Benutzer in Ihrem AWS CloudHSM Cluster verwalten. Verwenden Sie dieses Thema, um mit grundlegenden Benutzerverwaltungsaufgaben des Hardware Security Module (HSM) zu beginnen, z. B. Benutzer erstellen, Benutzer auflisten und CloudHSM CLI mit dem Cluster verbinden.
**Topics**
+ [Installieren Sie die CloudHSM-CLI](w2aac23c15c13b7.md)
+ [Verwenden Sie die CloudHSM-CLI](cloudhsm_cli-getting-started-use.md)
# Installieren Sie die CloudHSM-CLI
Verwenden Sie die folgenden Befehle, um die CloudHSM-CLI für herunterzuladen und zu installieren. AWS CloudHSM
------
#### [ Amazon Linux 2023 ]
Amazon Linux 2023 auf x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.amzn2023.x86_64.rpm
```
Amazon Linux 2023 zur ARM64 Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.amzn2023.aarch64.rpm
```
------
#### [ Amazon Linux 2 ]
Amazon Linux 2 auf x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el7.x86_64.rpm
```
Amazon Linux 2 zur ARM64 Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el7.aarch64.rpm
```
------
#### [ RHEL 10 (10.0\$1) ]
RHEL 10 auf der x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el10.x86_64.rpm
```
RHEL 10 zur Architektur: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el10.aarch64.rpm
```
------
#### [ RHEL 9 (9.2\$1) ]
RHEL 9 auf der x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el9.x86_64.rpm
```
RHEL 9 zur Architektur: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el9.aarch64.rpm
```
------
#### [ RHEL 8 (8.3\$1) ]
RHEL 8 auf x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el8.x86_64.rpm
```
RHEL 8 zur ARM64 Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el8.aarch64.rpm
```
------
#### [ Ubuntu 24.04 LTS ]
Ubuntu 24.04 LTS auf der x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_amd64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u24.04_amd64.deb
```
Ubuntu 24.04 LTS zur Architektur: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_arm64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u24.04_arm64.deb
```
------
#### [ Ubuntu 22.04 LTS ]
Ubuntu 22.04 LTS auf der x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_amd64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u22.04_amd64.deb
```
Ubuntu 22.04 LTS zur Architektur: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_arm64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u22.04_arm64.deb
```
------
#### [ Windows Server 2022 ]
Öffnen Sie Windows Server 2022 auf einer x86\$164-Architektur PowerShell als Administrator und führen Sie den folgenden Befehl aus:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
#### [ Windows Server 2019 ]
Öffnen Sie Windows Server 2019 auf einer x86\$164-Architektur PowerShell als Administrator und führen Sie den folgenden Befehl aus:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
#### [ Windows Server 2016 ]
Öffnen Sie Windows Server 2016 auf einer x86\$164-Architektur PowerShell als Administrator und führen Sie den folgenden Befehl aus:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
Verwenden Sie die folgenden Befehle, um CloudHSM-CLI zu konfigurieren.
**So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Configure-Tool, um die IP-Adresse der HSM(s) in Ihrem Cluster anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-cli -a
```
**So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Configure-Tool, um die IP-Adresse der HSM(s) in Ihrem Cluster anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a
```
# Verwenden Sie die CloudHSM-CLI
Verwenden Sie die folgenden Befehle, um die CloudHSM-CLI zu starten und zu verwenden.
1. Verwenden Sie den folgenden Befehl, um die CloudHSM-CLI zu starten.
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. Verwenden Sie den **login**-Befehl, um sich beim Cluster anzumelden. Alle Benutzer können diesen Befehl verwenden.
Mit dem Befehl im folgenden Beispiel wird *admin* angemeldet, das Standard-[Admin](understanding-users.md)-Konto. Sie legen das Passwort für diesen Benutzer nach der [Aktivierung des Clusters](activate-cluster.md) fest.
```
aws-cloudhsm > login --username admin --role admin
```
Sie werden vom System aufgefordert, Ihr Passwort einzugeben. Sie geben das Passwort ein und die Ausgabe zeigt, dass der Befehl erfolgreich war.
```
Enter password:
{
"error_code": 0,
"data": {
"username": "admin",
"role": "admin"
}
}
```
1. Führen Sie den **user list**-Befehl aus, um alle Benutzer im Cluster aufzulisten.
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
}
]
}
}
```
1. Verwenden Sie **user create**, um einen CU-Benutzer mit dem Namen **example\$1user** zu erstellen.
Sie können erstellen CUs , weil Sie sich in einem vorherigen Schritt als Admin-Benutzer angemeldet haben. Nur Admin-Benutzer können Benutzerverwaltungsaufgaben wie das Erstellen und Löschen von Benutzern und das Ändern der Passwörter anderer Benutzer ausführen.
```
aws-cloudhsm > user create --username example_user --role crypto-user
Enter password:
Confirm password:
{
"error_code": 0,
"data": {
"username": "example_user",
"role": "crypto-user"
}
}
```
1. Verwenden Sie **user list**, um alle Benutzer im Cluster aufzulisten.
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "example_user",
"role": "crypto_user",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
}
]
}
}
```
1. Verwenden Sie den **logout** Befehl, um sich vom AWS CloudHSM Cluster abzumelden.
```
aws-cloudhsm > logout
{
"error_code": 0,
"data": "Logout successful"
}
```
1. Verwenden Sie den **quit**-Befehl, um die CLI zu stoppen.
```
aws-cloudhsm > quit
```
# Befehlsmodi in der CloudHSM-CLI
In der CloudHSM-CLI können Sie Befehle auf zwei verschiedene Arten ausführen: im Einzelbefehlsmodus und im interaktiven Modus. Der interaktive Modus ist für Benutzer konzipiert, und der Einzelbefehlsmodus ist für Skripts konzipiert.
**Anmerkung**
Alle Befehle funktionieren im interaktiven Modus und im Einzelbefehlsmodus.
## interaktiver Modus
Verwenden Sie die folgenden Befehle, um den interaktiven CloudHSM-CLI-Modus zu starten
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
Wenn Sie die CLI im interaktiven Modus verwenden, können Sie sich mit dem **login**-Befehl bei einem Benutzerkonto anmelden.
```
aws-cloudhsm > login --username --role ROLE>
```
Um alle CloudHSM-CLI-Befehle auszuführen, führen Sie den folgenden Befehl aus:
```
aws-cloudhsm > help
```
Um die Syntax für einen CloudHSM-CLI-Befehl anzufordern, führen Sie den folgenden Befehl aus:
```
aws-cloudhsm > help
```
Um eine Liste der Benutzer auf dem zu erhalten HSMs, geben Sie ein**user list**.
```
aws-cloudhsm > user list
```
Um Ihre CloudHSM-CLI-Sitzung zu beenden, führen Sie den folgenden Befehl aus:
```
aws-cloudhsm > quit
```
## Einzelbefehlsmodus
**Anmerkung**
Wenn Sie den Einzelbefehlsmodus verwenden, müssen Sie alle Sonderzeichen in Umgebungsvariablen und Befehlszeilenargumenten maskieren, die von Ihrer Shell interpretiert werden könnten.
Wenn Sie die CloudHSM-CLI im Einzelbefehlsmodus ausführen, müssen Sie zwei Umgebungsvariablen setzen, um die Anmeldedaten bereitzustellen: CLOUDHSM\$1PIN und CLOUDHSM\$1ROLE:
```
$ export CLOUDHSM_ROLE=admin
```
```
$ export CLOUDHSM_PIN=admin_username:admin_password
```
Danach können Sie Befehle mit den in Ihrer Umgebung gespeicherten Anmeldeinformationen ausführen.
```
$ cloudhsm-cli user change-password --username alice --role crypto-user
Enter password:
Confirm password:
{
"error_code": 0,
"data": {
"username": "alice",
"role": "crypto-user"
}
}
```
# Schlüsselattribute für CloudHSM-CLI
In diesem Thema wird beschrieben, wie Sie die CloudHSM-CLI zum Festlegen von Schlüsselattributen verwenden. Ein Schlüsselattribut in der CloudHSM-CLI kann den Typ eines Schlüssels definieren, wie ein Schlüssel funktionieren kann oder wie ein Schlüssel beschriftet wird. Einige Attribute definieren eindeutige Merkmale (z. B. den Typ eines Schlüssels). Andere Attribute können auf true oder false gesetzt werden. Wenn Sie sie ändern, wird entweder ein Teil der Funktionalität des Schlüssels aktiviert oder deaktiviert.
Beispiele zur Verwendung von Schlüsselattributen finden Sie in den Befehlen, die unter dem übergeordneten Befehl [Die Schlüsselkategorie in CloudHSM CLI](cloudhsm_cli-key.md) aufgeführt sind.
Die folgenden Themen enthalten zusätzliche Informationen zu Schlüsselattributen in der CloudHSM-CLI.
**Topics**
+ [Unterstützte Attribute](cloudhsm_cli-key-attributes-table.md)
+ [Prüfwert](chsm-cli-key-attribute-details.md)
+ [Verwandte Themen](chsm_cli-key-attributes-seealso.md)
# Unterstützte Attribute für CloudHSM CLI
Als bewährte Methode legen Sie nur Werte für Attribute fest, die Sie einschränken möchten. Wenn Sie keinen Wert angeben, verwendet CloudHSM-CLI den in der folgenden Tabelle angegebenen Standardwert.
In der folgenden Tabelle sind die wichtigsten Attribute, möglichen Werte, Standardwerte und zugehörige Hinweise für die CloudHSM-CLI aufgeführt. Eine leere Zelle in der Spalte **Wert** gibt an, dass dem Attribut kein spezifischer Standardwert zugewiesen ist.
****
| CloudHSM-CLI-Attribut | Wert | Modifizierbar mit [key set-attribute](cloudhsm_cli-key-set-attribute.md) | Kann bei der Schlüsselerstellung eingestellt werden |
| --- | --- | --- | --- |
| always-sensitive | Der Wert ist `True`, wenn `sensitive` immer auf `True` gesetzt wurde und sich nie geändert hat. | Nein | Nein |
| check-value | Der Prüfwert des Schlüssels. Weitere Informationen finden Sie unter [Weitere Details](chsm-cli-key-attribute-details.md). | Nein | Nein |
| class | Die möglichen Werte lauten: `secret-key`, `public-key` und `private-key`. | Nein | Ja |
| curve | Elliptische Kurve, die zur Generierung des EC-Schlüsselpaars verwendet wird. Gültige Werte:`secp224r1`,`secp256r1`,, `prime256v1``secp384r1`, und `secp256k1` `secp521r1` `ed25519` `ed25519`wird nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt. | Nein | Einstellbar mit EC, nicht einstellbar mit RSA |
| decrypt | Standard: `False` | Ja | Ja |
| derive | Standard: `False` | Derive kann für hsm2m.medium-Instances festgelegt werden. Es kann nicht für RSA-Schlüssel auf hsm1.medium-Instances festgelegt werden. | Ja |
| destroyable | Standard: `True` | Ja | Ja |
| ec-point | Bei EC-Schlüsseln die DER-Kodierung des ANSI ECPoint X9.62-Werts „Q“ in einem Hexadezimalformat. Für andere Schlüsseltypen ist dieses Attribut nicht vorhanden. | Nein | Nein |
| encrypt | Standard: `False` | Ja | Ja |
| extractable | Standard: `True` | Nein | Ja |
| id | Standard: leer | Die ID kann auf hsm2m.medium-Instanzen festgelegt werden. Sie kann nicht auf hsm1.medium-Instances festgelegt werden. | Ja |
| key-length-bytes | Erforderlich für die Generierung eines AES-Schlüssels.Gültige Werte: `16`, `24` und `32` Byte. | Nein | Nein |
| key-type | Die möglichen Werte lauten: `aes`, `rsa` und `ec`. | Nein | Ja |
| label | Standard: leer | Ja | Ja |
| local | Standard: `True` für Schlüssel, die im HSM generiert wurden, `False` für Schlüssel, die in das HSM importiert wurden. | Nein | Nein |
| modifiable | Standard: `True` | Kann von „wahr“ auf „falsch“ geändert werden, aber nicht von „falsch“ auf „wahr“. | Ja |
| modulus | Der Modulus, der zum Generieren eines RSA-Schlüsselpaares verwendet wurde. Für andere Schlüsseltypen ist dieses Attribut nicht vorhanden. | Nein | Nein |
| modulus-size-bits | Erforderlich für die Generierung eines RSA-Schlüsselpaars.Der Mindestwert ist `2048`. | Nein | Einstellbar mit RSA, nicht einstellbar mit EC |
| never-extractable | Der Wert ist `True`, wenn extrahierbar noch nie auf `False` gesetzt wurde. Der Wert ist `False`, wenn extrahierbar jemals auf `True` gesetzt wurde. | Nein | Nein |
| private | Standard: `True` | Nein | Ja |
| public-exponent | Erforderlich für die Generierung eines RSA-Schlüsselpaars.Gültige Werte: Bei diesem Wert muss es sich eine ungerade Zahl gleich oder größer als `65537` handeln. | Nein | Einstellbar mit RSA, nicht einstellbar mit EC |
| sensitive | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes-table.html) | Nein | Einstellbar mit privaten Schlüsseln, nicht einstellbar mit öffentlichen Schlüsseln. |
| sign | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes-table.html) | Ja | Ja |
| token | Standard: `True` | Kann von falsch zu wahr geändert werden, aber nicht von wahr zu falsch. | Ja |
| trusted | Standard: `False` | Nur Admin-Benutzer können diesen Parameter festlegen. | Nein |
| unwrap | Standard: False | Ja | Ja, außer für öffentliche Schlüssel. |
| unwrap-template | Für die Werte sollte die Attributvorlage verwendet werden, die auf jeden Schlüssel angewendet wird, der mit diesem Schlüssel zum Packen entpackt wird. | Ja | Nein |
| verify | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes-table.html) | Ja | Ja |
| wrap | Standard: False | Ja | Ja, außer für private Schlüssel. |
| wrap-template | Für die Werte sollte die Attributvorlage verwendet werden, die dem Schlüssel entspricht, der mit diesem Schlüssel zum Packen gepackt wurde. | Ja | Nein |
| wrap-with-trusted | Standard: `False` | Ja | Ja |
# Wert in CloudHSM CLI überprüfen
Der *Prüfwert* in der CloudHSM-CLI ist ein 3-Byte-Hash oder eine Prüfsumme eines Schlüssels, der generiert wird, wenn das HSM einen Schlüssel importiert oder generiert. Sie können einen Prüfwert auch außerhalb des HSM berechnen, z. B. nachdem Sie einen Schlüssel exportiert haben. Anschließend können Sie die Prüfwerte vergleichen, um die Identität und Integrität des Schlüssels zu bestätigen. Um den Prüfwert eines Schlüssels zu ermitteln, verwenden Sie die [Schlüsselliste](cloudhsm_cli-key-list.md) mit dem verbose-Flag.
AWS CloudHSM verwendet die folgenden Standardmethoden, um einen Prüfwert zu generieren:
+ **Symmetrische Schlüssel**: Die ersten 3 Byte des Ergebnisses der Verschlüsselung eines Nullblocks mit dem Schlüssel.
+ **Asymmetrische Schlüsselpaare**: Die ersten 3 Byte des SHA-1-Hashs des öffentlichen Schlüssels.
+ **HMAC-Schlüssel**: KCV für HMAC-Schlüssel wird derzeit nicht unterstützt.
# Verwandte Themen für CloudHSM CLI
In den folgenden Themen finden Sie weitere Informationen zur CloudHSM-CLI.
+ [Die Schlüsselkategorie in CloudHSM CLI](cloudhsm_cli-key.md)
+ [Referenz für CloudHSM-CLI-Befehle](cloudhsm_cli-reference.md)
# Erweiterte Konfigurationen für CloudHSM CLI
Die AWS CloudHSM Befehlszeilenschnittstelle (CLI) umfasst die folgende erweiterte Konfiguration, die nicht Teil der allgemeinen Konfigurationen ist, die die meisten Kunden verwenden. Diese Konfigurationen bieten zusätzliche Funktionen.
+ [Verbindung zu mehreren Clustern herstellen](cloudhsm_cli-configs-multi-cluster.md)
# Verbindung zu mehreren Clustern mit CloudHSM CLI herstellen
Mit AWS CloudHSM Client SDK 5 können Sie die CloudHSM-CLI so konfigurieren, dass Verbindungen zu mehreren CloudHSM-Clustern von einer einzigen CLI-Instanz aus möglich sind.
In den folgenden Themen wird beschrieben, wie Sie die CloudHSM CLI Multi-Cluster-Funktionalität verwenden, um eine Verbindung mit mehreren Clustern herzustellen.
**Topics**
+ [Voraussetzungen](cloudhsm_cli-multi-cluster-prereqs.md)
+ [Konfigurieren Sie die Multi-Cluster-Funktionalität](cloudhsm_cli-multi-cluster-config-run.md)
+ [Fügen Sie einen Cluster hinzu](cloudhsm_cli-multi-cluster-add-cluster.md)
+ [Entfernen Sie einen Cluster](cloudhsm_cli-multi-cluster-remove-cluster.md)
+ [Interagieren Sie mit Clustern](cloudhsm_cli-multi-cluster-usage.md)
# Voraussetzungen für mehrere Cluster AWS CloudHSM
Bevor Sie Ihren Cluster so konfigurieren, dass er eine Verbindung AWS CloudHSM zu mehreren Clustern herstellt, müssen Sie die folgenden Voraussetzungen erfüllen:
+ Zwei oder mehr AWS CloudHSM Cluster, zu denen Sie eine Verbindung herstellen möchten, zusammen mit ihren Clusterzertifikaten.
+ Eine EC2 Instance mit Sicherheitsgruppen, die korrekt konfiguriert sind, um eine Verbindung zu allen oben genannten Clustern herzustellen. Weitere Informationen zum Einrichten eines Clusters und der Client-Instanz finden Sie unter [Erste Schritte mit AWS CloudHSM](getting-started.md).
+ Um die Multi-Cluster-Funktionalität einzurichten, müssen Sie die CloudHSM-CLI bereits heruntergeladen und installiert haben. Wenn Sie dies noch nicht getan haben, lesen Sie die Anweisungen unter [Erste Schritte mit der AWS CloudHSM Befehlszeilenschnittstelle (CLI)](cloudhsm_cli-getting-started.md).
+ Sie können nicht auf einen Cluster zugreifen, der mit konfiguriert ist, `./configure-cli[.exe] -a` da er nicht mit einem verknüpft ist. `cluster-id` Sie können ihn neu konfigurieren, indem Sie `config-cli add-cluster` wie in diesem Handbuch beschrieben vorgehen.
# Konfigurieren Sie die CloudHSM-CLI für Multi-Cluster-Funktionalität
Gehen Sie folgendermaßen vor, um Ihre CloudHSM-CLI für Multi-Cluster-Funktionalität zu konfigurieren:
1. Identifizieren Sie die Cluster, mit denen Sie eine Verbindung herstellen möchten.
1. Fügen Sie diese Cluster mithilfe des `add-cluster` Unterbefehls [configure-cli](configure-sdk-5.md) wie unten beschrieben zu Ihrer CloudHSM CLI-Konfiguration hinzu.
1. Starten Sie alle CloudHSM CLI-Prozesse neu, damit die neue Konfiguration wirksam wird.
# Fügen Sie Ihrer Konfiguration einen Cluster hinzu AWS CloudHSM
Wenn Sie eine Verbindung zu mehreren Clustern herstellen, verwenden Sie den `configure-cli add-cluster` Befehl, um Ihrer Konfiguration einen Cluster hinzuzufügen.
## Syntax
```
configure-cli add-cluster [OPTIONS]
--cluster-id
[--region ]
[--endpoint ]
[--hsm-ca-cert ]
[--client-cert-hsm-tls-file ]
[--client-key-hsm-tls-file ]
[-h, --help]
```
## Beispiele
### Fügen Sie mithilfe des `cluster-id`-Parameters einen Cluster hinzu
**Example**
Verwenden Sie den `configure-cli add-cluster` zusammen mit dem `cluster-id`-Parameter, um Ihrer Konfiguration einen Cluster (mit der ID von `cluster-1234567`) hinzuzufügen.
```
$ sudo /opt/cloudhsm/bin/configure-cli add-cluster --cluster-id
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" add-cluster --cluster-id
```
**Tipp**
Wenn die Verwendung von `configure-cli add-cluster` mit dem `cluster-id`-Parameter nicht dazu führt, dass der Cluster hinzugefügt wird, finden Sie im folgenden Beispiel eine längere Version dieses Befehls, die auch die Parameter `--region` und `--endpoint` zur Identifizierung des hinzugefügten Clusters erfordert. Wenn zum Beispiel die Region des Clusters eine andere ist als die, die als Standard für Ihre AWS CLI konfiguriert ist, sollten Sie den `--region`-Parameter verwenden, um die richtige Region zu verwenden. Darüber hinaus haben Sie die Möglichkeit, den AWS CloudHSM API-Endpunkt anzugeben, der für den Anruf verwendet werden soll. Dies kann für verschiedene Netzwerkkonfigurationen erforderlich sein, z. B. für die Verwendung von VPC-Schnittstellenendpunkten, für die nicht den Standard-DNS-Hostnamen verwendet wird. AWS CloudHSM
### Fügen Sie einen Cluster mit den Parametern `cluster-id`, `endpoint`, und `region` hinzu
**Example**
Verwenden Sie `configure-cli add-cluster` zusammen mit den Parametern `cluster-id`, `endpoint` und `region`, um Ihrer Konfiguration einen Cluster (mit der ID von `cluster-1234567`) hinzuzufügen.
```
$ sudo /opt/cloudhsm/bin/configure-cli add-cluster --cluster-id --region --endpoint
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" add-cluster --cluster-id --region --endpoint
```
Weitere Hinweise zu den Parametern `--cluster-id`, `--region` und `--endpoint` finden Sie unter [AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md).
## Parameters
**--cluster-id ****
Führt einen `DescribeClusters`-Aufruf aus, um alle IP-Adressen der HSM-Elastic-Network-Schnittstelle (ENI) im Cluster mit der Cluster-ID zu finden. Das System fügt die ENI-IP-Adressen zu den AWS CloudHSM Konfigurationsdateien hinzu.
Wenn Sie den `--cluster-id` Parameter von einer EC2 Instance innerhalb einer VPC verwenden, die keinen Zugriff auf das öffentliche Internet hat, müssen Sie einen VPC-Schnittstellen-Endpunkt erstellen, mit dem Sie eine Verbindung herstellen können. AWS CloudHSM Weitere Informationen über VPC-Endpunkte finden Sie unter [AWS CloudHSM und VPC-Endpunkte](cloudhsm-vpc-endpoint.md).
Erforderlich: Ja
**--endpoint ****
Geben Sie den AWS CloudHSM API-Endpunkt an, der für den `DescribeClusters` Aufruf verwendet wird. Sie müssen diese Option in Kombination mit `--cluster-id` festlegen.
Erforderlich: Nein
**--hsm-ca-cert ****
Gibt den Dateipfad zum HSM-CA-Zertifikat an.
Erforderlich: Nein
**--region ****
Geben Sie die Region Ihres Clusters an. Sie müssen diese Option in Kombination mit `--cluster-id` festlegen.
Wenn Sie den `--region`-Parameter nicht angeben, wählt das System die Region aus, indem es versucht, die Umgebungsvariablen `AWS_DEFAULT_REGION` oder `AWS_REGION` zu lesen. Wenn diese Variablen nicht festgelegt sind, überprüft das System die Region, die Ihrem Profil in Ihrer AWS-Config-Datei zugeordnet ist (normalerweise `~/.aws/config`), sofern Sie in der `AWS_CONFIG_FILE`-Umgebungsvariable keine andere Datei angegeben haben. Wenn keine der oben genannten Optionen festgelegt ist, verwendet das System standardmäßig die `us-east-1`-Region.
Erforderlich: Nein
**-- -Datei client-cert-hsm-tls ****
Pfad zum Client-Zertifikat, das für die gegenseitige Authentifizierung zwischen TLS Client und HSM verwendet wird.
Verwenden Sie diese Option nur, wenn Sie mindestens einen Vertrauensanker auf HSM mit CloudHSM CLI registriert haben. Sie müssen diese Option in Kombination mit `--client-key-hsm-tls-file` festlegen.
Erforderlich: Nein
**-- -Datei client-key-hsm-tls ****
Pfad zum Client-Schlüssel, der für die gegenseitige Authentifizierung zwischen TLS Client und HSM verwendet wird.
Verwenden Sie diese Option nur, wenn Sie mindestens einen Vertrauensanker auf HSM mit CloudHSM CLI registriert haben. Sie müssen diese Option in Kombination mit `--client-cert-hsm-tls-file` festlegen.
Erforderlich: Nein
# Entfernen Sie einen Cluster aus Ihrer Konfiguration AWS CloudHSM
Wenn Sie mit der CloudHSM-CLI eine Verbindung zu mehreren Clustern herstellen, verwenden Sie den `configure-cli remove-cluster` Befehl, um einen Cluster aus Ihrer Konfiguration zu entfernen.
## Syntax
```
configure-cli remove-cluster [OPTIONS]
--cluster-id
[-h, --help]
```
## Beispiele
### Entfernen Sie mithilfe des `cluster-id`-Parameters einen Cluster
**Example**
Verwenden Sie den `configure-cli remove-cluster` zusammen mit dem `cluster-id`-Parameter, um aus Ihrer Konfiguration einen Cluster (mit der ID von `cluster-1234567`) zu entfernen.
```
$ sudo /opt/cloudhsm/bin/configure-cli remove-cluster --cluster-id
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" remove-cluster --cluster-id
```
Weitere Informationen zum Parameter `--cluster-id` erhalten Sie unter [AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md).
## Parameter
**--cluster-id ****
Die ID des Clusters, der aus der Konfiguration entfernt werden soll.
Erforderlich: Ja
# Interagieren Sie mit mehreren Clustern in AWS CloudHSM
Nachdem Sie mehrere Cluster mit der CloudHSM-CLI konfiguriert haben, verwenden Sie den `cloudhsm-cli` Befehl, um mit ihnen zu interagieren.
## Beispiele
### `cluster-id`Bei Verwendung des interaktiven Modus einen Standard festlegen
**Example**
Verwenden Sie den [interaktiver Modus](cloudhsm_cli-modes.md#cloudhsm_cli-mode-interactive) zusammen mit dem `cluster-id` Parameter, um einen Standardcluster (mit der ID von`cluster-1234567`) aus Ihrer Konfiguration festzulegen.
```
$ cloudhsm-cli interactive --cluster-id
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive --cluster-id
```
### Einstellung von`cluster-id`, wenn ein einzelner Befehl ausgeführt wird
**Example**
Verwenden Sie den `cluster-id` Parameter, um den Cluster (mit der ID von`cluster-1234567`) festzulegen, von [Liste HSMs mit CloudHSM CLI](cloudhsm_cli-cluster-hsm-info.md) dem aus Sie abrufen möchten.
```
$ cloudhsm-cli cluster hsm-info --cluster-id
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" cluster hsm-info --cluster-id
```
# Referenz für CloudHSM-CLI-Befehle
CloudHSM CLI unterstützt Administratoren bei der Verwaltung von Benutzern in ihrem Cluster. AWS CloudHSM CloudHSM-CLI kann in zwei Modi ausgeführt werden: im interaktiven Modus und im Einzelbefehlsmodus. Informationen zum schnellen Einstieg finden Sie unter [Erste Schritte mit der AWS CloudHSM Befehlszeilenschnittstelle (CLI)](cloudhsm_cli-getting-started.md).
Um die meisten CloudHSM-CLI-Befehle auszuführen, müssen Sie die CloudHSM-CLI starten und sich beim HSM anmelden. Wenn Sie etwas hinzufügen oder löschen HSMs, aktualisieren Sie die Konfigurationsdateien für CloudHSM CLI. Andernfalls sind die Änderungen, die Sie vornehmen, möglicherweise nicht für alle HSMs Mitglieder des Clusters wirksam.
Die folgenden Themen beschreiben Befehle in CloudHSM-CLI.
| Befehl | Description | Benutzertyp |
| --- | --- | --- |
| [activate](cloudhsm_cli-cluster-activate.md) | Aktiviert ein CloudHSM-Cluster und bestätigt, dass das Cluster neu ist. Dies muss geschehen, bevor andere Operationen ausgeführt werden können. | Nicht aktivierter Admin |
| [hsm-info](cloudhsm_cli-cluster-hsm-info.md) | Listen Sie die HSMs in Ihrem Cluster auf. | Alle [1](#cli-ref-1), auch nicht authentifizierte Benutzer. Eine Anmeldung ist nicht erforderlich. |
| [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) | Generiert eine Signatur mithilfe eines privaten EC-Schlüssels und des ECDSA-Signaturmechanismus. | Crypto-Benutzer (Crypto User, CU) |
| [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) | Generiert eine Signatur unter Verwendung eines privaten Ed25519-Schlüssels und des HashEd DSA-Signaturmechanismus. | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) | Generiert eine Signatur unter Verwendung eines privaten RSA-Schlüssels und des RSA-PKCS-Signaturmechanismus. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) | Generiert eine Signatur unter Verwendung eines privaten RSA-Schlüssels und des Signaturmechanismus. RSA-PKCS-PSS | CU |
| [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) | Bestätigt, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde. Überprüft, ob die Signatur mithilfe des ECDSA-Signaturmechanismus generiert wurde. Vergleicht eine signierte Datei mit einer Quelldatei und ermittelt anhand eines bestimmten öffentlichen ECDSA-Schlüssels und Signaturmechanismus, ob die beiden kryptografisch verwandt sind. | CU |
| [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) | Überprüft HashEd DSA-Signaturen mithilfe eines öffentlichen Ed25519-Schlüssels. | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) | Bestätigt, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde. Überprüft, ob die Signatur mithilfe des RSA-PKCS-Signaturmechanismus generiert wurde. Vergleicht eine signierte Datei mit einer Quelldatei und bestimmt anhand eines bestimmten öffentlichen RSA-Schlüssels und Signaturmechanismus, ob die beiden kryptografisch verwandt sind. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) | Bestätigt, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde. Überprüft, ob die Signatur mithilfe des RSA-PKCS-PSS Signaturmechanismus generiert wurde. Vergleicht eine signierte Datei mit einer Quelldatei und ermittelt anhand eines bestimmten öffentlichen RSA-Schlüssels und Signaturmechanismus, ob die beiden kryptografisch verwandt sind. | CU |
| [key delete](cloudhsm_cli-key-delete.md) | Löscht einen Schlüssel aus Ihrem Cluster. AWS CloudHSM | CU |
| [key generate-file](cloudhsm_cli-key-generate-file.md) | Generiert eine Schlüsseldatei in Ihrem AWS CloudHSM Cluster. | CU |
| [Schlüssel generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) | Generiert ein asymmetrisches RSA-Schlüsselpaar in Ihrem AWS CloudHSM Cluster. | CU |
| [Schlüssel ec generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) | Generiert ein asymmetrisches key pair mit elliptischen Kurven (EC) in Ihrem Cluster. AWS CloudHSM | CU |
| [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md) | Generiert einen symmetrischen AES-Schlüssel in Ihrem Cluster. AWS CloudHSM | CU |
| [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md) | Generiert einen symmetrischen Generic Secret-Schlüssel in Ihrem AWS CloudHSM Cluster. | CU |
| [Schlüssel importieren (PEM)](cloudhsm_cli-key-import-pem.md) | Importiert einen Schlüssel im PEM-Format in ein HSM. Sie können ihn verwenden, um öffentliche und außerhalb des HSM erstellte Schlüssel zu importieren. | CU |
| [key list](cloudhsm_cli-key-list.md) | Findet alle Schlüssel für den aktuellen Benutzer in Ihrem AWS CloudHSM Cluster. | CU |
| [Schlüssel replizieren](cloudhsm_cli-key-replicate.md) | Replizieren Sie einen Schlüssel von einem Quellcluster auf einen geklonten Zielcluster. | CU |
| [key set-attribute](cloudhsm_cli-key-set-attribute.md) | Legt die Attribute der Schlüssel in Ihrem AWS CloudHSM Cluster fest. | CUs kann diesen Befehl ausführen, Admins können das vertrauenswürdige Attribut festlegen. |
| [key share](cloudhsm_cli-key-share.md) | Teilt sich einen Schlüssel mit anderen Mitgliedern CUs Ihres AWS CloudHSM Clusters. | CU |
| [key unshare](cloudhsm_cli-key-unshare.md) | Macht die gemeinsame Nutzung eines Schlüssels mit anderen CUs in Ihrem AWS CloudHSM Cluster rückgängig. | CU |
| [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md) | Entpackt einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des AES-GCM-Entpackungsmechanismus in den Cluster. | CU |
| [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md) | Entpackt einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des Entpackungsmechanismus in den Cluster. AES-NO-PAD | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md) | Entpackt einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des AES-PAD-Entpackungsmechanismus. PKCS5 | CU |
| [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md) | Entpackt einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des Entpackungsmechanismus in den Cluster. AES-ZERO-PAD | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md) | Entpackt mithilfe des AES-Wrapping-Schlüssels und des Entpackungsmechanismus einen Payload-Schlüssel in den Cluster. CLOUDHSM-AES-GCM | CU |
| [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md) | Entpackt einen Payload-Schlüssel mithilfe eines privaten RSA-Schlüssels und des RSA-AES-Entpackungsmechanismus. | CU |
| [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md) | Entpackt einen Payload-Schlüssel mithilfe des privaten RSA-Schlüssels und des RSA-OAEP-Entpackungsmechanismus. | CU |
| [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md) | Entpackt einen Payload-Schlüssel mithilfe des privaten RSA-Schlüssels und des RSA-PKCS-Entpackungsmechanismus. | CU |
| [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md) | Wrappt einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem HSM und des AES-GCM-Wrapping-Mechanismus ein. | CU |
| [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md) | Umschließt einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem HSM und dem Wrapping-Mechanismus. AES-NO-PAD | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md) | Umschließt einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem HSM und des AES-PAD-Wrapping-Mechanismus. PKCS5 | CU |
| [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md) | Umschließt einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem HSM und dem Wrapping-Mechanismus. AES-ZERO-PAD | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md) | Umschließt einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem HSM und dem Wrapping-Mechanismus. CLOUDHSM-AES-GCM | CUs |
| [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md) | Umschließt einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem HSM und des RSA-AES-Wrapping-Mechanismus. | CU |
| [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md) | Umschließt einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem HSM und des RSA-OAEP-Wrapping-Mechanismus. | CU |
| [ Umschließen eines Schlüssels mit RSA-PKCS mithilfe der CloudHSM-CLIrsa-pkcs Der **key wrap rsa-pkcs** Befehl umschließt einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem HSM und des Wrapping-Mechanismus. `RSA-PKCS` Verwenden Sie den **key wrap rsa-pkcs** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu verpacken. `RSA-PKCS` Das Attribut des Payload-Schlüssels `extractable` muss auf gesetzt sein. `true` Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden. Um den **key wrap rsa-pkcs** Befehl verwenden zu können, benötigen Sie zunächst einen RSA-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können ein RSA-Schlüsselpaar mit dem [Die generate-asymmetric-pair Kategorie in CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) Befehl und dem auf `true` gesetzten `wrap` Attribut generieren. Benutzertyp Die folgenden Benutzertypen können diesen Befehl ausführen. Crypto-Benutzer () CUs Voraussetzungen Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein. Syntax
```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [...] --wrapping-filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--payload-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
--wrapping-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
--path
Path to the binary file where the wrapped key data will be saved
--wrapping-approval
File path of signed quorum token file to approve operation for wrapping key
--payload-approval
File path of signed quorum token file to approve operation for payload key
-h, --help
Print help
``` Beispiel Dieses Beispiel zeigt, wie der **key wrap rsa-pkcs** Befehl mit einem öffentlichen RSA-Schlüssel verwendet wird.
**Example**
```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
"error_code": 0,
"data": {
"payload_key_reference": "0x00000000001c08f1",
"wrapping_key_reference": "0x00000000007008da",
"wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
}
``` Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
******
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.
Erforderlich: Ja
******
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.
Erforderlich: Nein
******
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.
Erforderlich: Ja
******
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.
******
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist. Verwandte Themen [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md) [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md) ](cloudhsm_cli-key-wrap-rsa-pkcs.md) | Umschließt einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem HSM und des RSA-PKCS-Wrapping-Mechanismus. | CU |
| [login](cloudhsm_cli-login.md) | Melden AWS CloudHSM Sie sich bei Ihrem Cluster an. | Administrator, Crypto-Benutzer (CU) und Appliance-Benutzer (AU) |
| [logout](cloudhsm_cli-logout.md) | Melden Sie sich von Ihrem AWS CloudHSM Cluster ab. | Administrator, CU und Appliance-Benutzer (AU) |
| [quorum token-sign delete](cloudhsm_cli-qm-token-del.md) | Löscht ein oder mehrere Token für einen vom Quorum autorisierten Dienst. | Admin. |
| [quorum token-sign generate](cloudhsm_cli-qm-token-gen.md) | Generiert ein Token für einen vom Quorum autorisierten Dienst. | Admin. |
| [quorum token-sign list](cloudhsm_cli-qm-token-list.md) | Listet alle token-sign-Quorum-Token auf, die in Ihrem CloudHSM-Cluster vorhanden sind. | Alle [1](#cli-ref-1), auch nicht authentifizierte Benutzer. Eine Anmeldung ist nicht erforderlich. |
| [Quorum-Tokenzeichen list-quorum-values](cloudhsm_cli-qm-token-list-qm.md) | Listet die in Ihrem CloudHSM-Cluster festgelegten Quorumwerte auf. | Alle [1](#cli-ref-1), auch nicht authentifizierte Benutzer. Eine Anmeldung ist nicht erforderlich. |
| [Quorum-Tokenzeichen set-quorum-value](cloudhsm_cli-qm-token-set-qm.md) | Legt einen neuen Quorumwert für einen vom Quorum autorisierten Dienst fest. | Admin. |
| [user change-mfa](cloudhsm_cli-user-change-mfa.md) | Ändert die Strategie zur Multi-Faktor-Authentifizierung (MFA) eines Benutzers. | Admin, CU |
| [user change-password](cloudhsm_cli-user-change-password.md) | Ändert die Passwörter von Benutzern auf dem. HSMs Jeder Benutzer kann das eigene Passwort ändern. Admins können das Passwort jedes Benutzers ändern. | Admin, CU |
| [user create](cloudhsm_cli-user-create.md) | Erstellt einen Benutzer in Ihrem AWS CloudHSM Cluster. | Admin. |
| [user delete](cloudhsm_cli-user-delete.md) | Löscht einen Benutzer in Ihrem AWS CloudHSM Cluster. | Admin. |
| [user list](cloudhsm_cli-user-list.md) | Listet die Benutzer in Ihrem AWS CloudHSM Cluster auf. | Alle [1](#cli-ref-1), auch nicht authentifizierte Benutzer. Eine Anmeldung ist nicht erforderlich. |
| [user change-quorum token-sign register](cloudhsm_cli-user-chqm-token-reg.md) | Registriert die Quorumstrategie mit Quorum-token-sign für einen Benutzer. | Admin. |
**Anmerkungen**
+ [1] Alle Benutzer umfasst alle aufgelisteten Rollen und Benutzer, die nicht angemeldet sind.
# Die Cluster-Kategorie in CloudHSM CLI
In der CloudHSM-CLI **cluster** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen Befehl erstellen, der spezifisch für Cluster ist. Derzeit besteht die Cluster-Kategorie aus den folgenden Befehlen:
**Topics**
+ [activate](cloudhsm_cli-cluster-activate.md)
+ [hsm-info](cloudhsm_cli-cluster-hsm-info.md)
+ [mtls](cloudhsm_cli-cluster-mtls.md)
# Aktivieren Sie einen Cluster mit CloudHSM CLI
Verwenden Sie den **cluster activate** Befehl in der CloudHSM-CLI, um [einen neuen Cluster in zu aktivieren](activate-cluster.md). AWS CloudHSM Dieser Befehl muss ausgeführt werden, bevor der Cluster zum Ausführen von kryptografischen Operationen verwendet werden kann.
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Nicht aktivierter Admin
## Syntax
Dieser Befehl hat keine Parameter.
```
aws-cloudhsm > help cluster activate
Activate a cluster
This command will set the initial Admin password. This process will cause your CloudHSM cluster to
move into the ACTIVE state.
USAGE:
cloudhsm-cli cluster activate [OPTIONS] [--password ]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--password
Optional: Plaintext activation password If you do not include this argument you will be prompted for it
-h, --help
Print help (see a summary with '-h')
```
## Beispiel
Dieser Befehl aktiviert Ihr Cluster, indem er das anfängliche Passwort für Ihren Admin-Benutzer festlegt.
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
## Verwandte Themen
+ [user create](cloudhsm_cli-user-create.md)
+ [user delete](cloudhsm_cli-user-delete.md)
+ [user change-password](cloudhsm_cli-user-change-password.md)
# Liste HSMs mit CloudHSM CLI
Verwenden Sie den **cluster hsm-info** Befehl in der CloudHSM-CLI, um die Hardware-Sicherheitsmodule (HSMs) in Ihrem AWS CloudHSM Cluster aufzulisten. Sie müssen nicht bei CloudHSM-CLI angemeldet sein, um diesen Befehl auszuführen.
**Anmerkung**
Wenn Sie hinzufügen oder löschen HSMs, aktualisieren Sie die Konfigurationsdateien, die der AWS CloudHSM Client und die Befehlszeilentools verwenden. Andernfalls sind die Änderungen, die Sie vornehmen, möglicherweise nicht für alle Mitglieder HSMs des Clusters wirksam.
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Alle Benutzer. Sie müssen nicht angemeldet sein, um diesen Befehl auszuführen.
## Syntax
```
aws-cloudhsm > help cluster hsm-info
List info about each HSM in the cluster
Usage: cloudhsm-cli cluster hsm-info [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Beispiel
Dieser Befehl listet die HSMs vorhandenen Elemente in Ihrem AWS CloudHSM Cluster auf.
```
aws-cloudhsm > cluster hsm-info
{
"error_code": 0,
"data": {
"hsms": [
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000590",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000625",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000663",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
}
]
}
}
```
Diese Ausgabe hat die folgenden Attribute:
+ **Anbieter**: Der Name des Anbieters des HSM.
+ **Modell**: Die Modellnummer des HSM.
+ **Seriennummer**: Die Seriennummer des HSM. Dies kann sich aufgrund von Ersetzungen ändern.
+ **H ardware-version-major**: Die wichtigste Hardwareversion.
+ **H ardware-version-minor**: Die kleinere Hardwareversion.
+ **F irmware-version-major**: Die Haupt-Firmware-Version.
+ **F irmware-version-minor**: Die kleinere Firmware-Version.
+ **F irmware-build-number**: Die Build-Nummer der Firmware.
+ **Firmware-id**: Die Firmware-ID, die die Haupt- und Nebenversionen zusammen mit dem Build enthält.
+ **FIPS-Status**: Der FIPS-Modus des Clusters und der darin befindliche. HSMs Im FIPS-Modus lautet die Ausgabe „2 [FIPS-Modus mit Einzelfaktor-Authentifizierung]“. Im Nicht-FIPS-Modus lautet die Ausgabe „0 [Nicht-FIPS-Modus mit Einzelfaktor-Authentifizierung]“.
## Verwandte Themen
+ [Aktivieren Sie einen Cluster mit CloudHSM CLI](cloudhsm_cli-cluster-activate.md)
# Die Cluster-MTLS-Kategorie in der CloudHSM-CLI
In CloudHSM CLI **cluster mtls** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen Befehl erstellen, der spezifisch für Cluster ist. AWS CloudHSM Derzeit besteht diese Kategorie aus den folgenden Befehlen:
**Topics**
+ [deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [Erzwingung durchführen](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [register-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [Durchsetzung festlegen](cloudhsm_cli-cluster-mtls-set-enforcement.md)
# Einen Vertrauensanker mit der CloudHSM-CLI deregistrieren
Verwenden Sie den **cluster mtls deregister-trust-anchor** Befehl in der CloudHSM-CLI, um einen Vertrauensanker für gegenseitiges TLS zwischen Client und abzumelden. AWS CloudHSM
## Benutzertyp
Die folgenden Benutzer können diesen Befehl ausführen.
+ Admin.
## Voraussetzungen
+ Um diesen Befehl auszuführen, müssen Sie als Admin-Benutzer angemeldet sein.
## Syntax
```
aws-cloudhsm > help cluster mtls deregister-trust-anchor
Deregister a trust anchor for mtls
Usage: cluster mtls deregister-trust-anchor [OPTIONS] --certificate-reference [...]
Options:
--certificate-reference A hexadecimal or decimal certificate reference
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Beispiel
**Example**
Im folgenden Beispiel entfernt dieser Befehl einen Vertrauensanker aus dem HSM.
```
aws-cloudhsm > cluster mtls deregister-trust-anchor --certificate-reference 0x01
{
"error_code": 0,
"data": {
"message": "Trust anchor with reference 0x01 deregistered successfully"
}
}
```
Anschließend können Sie den **list-trust-anchors** Befehl ausführen, um zu bestätigen, dass der Vertrauensanker aus dem folgenden Verzeichnis abgemeldet wurde: AWS CloudHSM
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": []
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
** ** **
Eine hexadezimale oder dezimale Zertifikatsreferenz.
**Erforderlich**: Ja
Nachdem Sie einen Vertrauensanker im Cluster deregistriert haben, werden alle vorhandenen mTLS-Verbindungen, die das von diesem Vertrauensanker signierte Client-Zertifikat verwenden, gelöscht.
** ** **
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Quorumclusterdienstes größer als 1 ist.
## Verwandte Themen
+ [Cluster-MTLS reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [Cluster-MTLS list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [mTLS einrichten (empfohlen)](getting-started-setup-mtls.md)
# Holen Sie sich die mTLS-Durchsetzungsstufe mit der CloudHSM CLI
Verwenden Sie den **cluster mtls get-enforcement** Befehl in der CloudHSM-CLI, um die Durchsetzungsstufe für die Verwendung von gegenseitigem TLS zwischen Client und zu ermitteln. AWS CloudHSM
## Benutzertyp
Die folgenden Benutzer können diesen Befehl ausführen.
+ Admin.
+ Krypto-Benutzer () CUs
## Voraussetzungen
+ Um diesen Befehl ausführen zu können, müssen Sie als Admin-Benutzer oder Crypto-Benutzer (CUs) angemeldet sein.
## Syntax
```
aws-cloudhsm > help cluster mtls get-enforcement
Get the status of mtls enforcement in the cluster
Usage: cluster mtls get-enforcement [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Beispiel
**Example**
Im folgenden Beispiel listet dieser Befehl die Mtls-Erzwingungsstufe von auf AWS CloudHSM.
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "none"
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
## Verwandte Themen
+ [Durchsetzung von Cluster-MTLS-Sets](cloudhsm_cli-cluster-mtls-set-enforcement.md)
+ [mTLS einrichten (empfohlen)](getting-started-setup-mtls.md)
# Vertrauensanker mit CloudHSM CLI auflisten
Verwenden Sie den **cluster mtls list-trust-anchors** Befehl in der CloudHSM-CLI, um alle Vertrauensanker aufzulisten, die für gegenseitiges TLS zwischen Client und verwendet werden können. AWS CloudHSM
## Benutzertyp
Die folgenden Benutzer können diesen Befehl ausführen.
+ Alle Benutzer. Sie müssen nicht angemeldet sein, um diesen Befehl auszuführen.
## Syntax
```
aws-cloudhsm > help cluster mtls list-trust-anchors
List all trust anchors for mtls
Usage: cluster mtls list-trust-anchors [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Beispiel
**Example**
Im folgenden Beispiel listet dieser Befehl alle registrierten Vertrauensanker aus dem auf. AWS CloudHSM
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
},
{
"certificate-reference": "0x02",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
## Verwandte Themen
+ [Cluster-MTLS reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [Cluster-MTLS deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [mTLS einrichten (empfohlen)](getting-started-setup-mtls.md)
# Registrieren Sie einen Vertrauensanker mit CloudHSM CLI
Verwenden Sie den **cluster mtls register-trust-anchor** Befehl in der CloudHSM-CLI, um einen Vertrauensanker für gegenseitiges TLS zwischen Client und zu registrieren. AWS CloudHSM
## Benutzertyp
Die folgenden Benutzer können diesen Befehl ausführen.
+ Admin.
## Voraussetzungen
Der AWS CloudHSM akzeptiert Vertrauensanker mit den folgenden Schlüsseltypen:
****
| Schlüsseltyp | Description |
| --- | --- |
| EC | Die Kurven secp256r1 (P-256), secp384r1 (P-384) und secp521r1 (P-521). |
| RSA | 2048-Bit-, 3072-Bit- und 4096-Bit-RSA-Schlüssel. |
## Syntax
```
aws-cloudhsm > help cluster mtls register-trust-anchor
Register a trust anchor for mtls
Usage: cluster mtls register-trust-anchor [OPTIONS] --path [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--path Filepath of the trust anchor to register
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Beispiel
**Example**
Im folgenden Beispiel registriert dieser Befehl einen Vertrauensanker auf dem HSM. Die maximale Anzahl von Vertrauensankern, die registriert werden können, beträgt zwei (2).
```
aws-cloudhsm > cluster mtls register-trust-anchor --path /home/rootCA
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
Sie können dann den **list-trust-anchors** Befehl ausführen, um zu bestätigen, dass der Vertrauensanker registriert wurde auf AWS CloudHSM:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
** ** **
Dateipfad des zu registrierenden Vertrauensankers.
**Erforderlich**: Ja
AWS CloudHSM unterstützt die Registrierung von Zwischenzertifikaten als Vertrauensanker. In solchen Fällen muss die gesamte PEM-kodierte Zertifikatskettendatei im HSM registriert werden, wobei die Zertifikate in hierarchischer Reihenfolge angeordnet sind.
AWS CloudHSM unterstützt eine Zertifikatskette von 6980 Byte.
** ** **
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Quorumclusterdienstes größer als 1 ist.
## Verwandte Themen
+ [Cluster-MTLS deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [Cluster-MTLS list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [mTLS einrichten (empfohlen)](getting-started-setup-mtls.md)
# Legen Sie die mTLS-Durchsetzungsstufe mit der CloudHSM CLI fest
Verwenden Sie den **cluster mtls set-enforcement** Befehl in der CloudHSM-CLI, um die Durchsetzungsstufe für die Verwendung von gegenseitigem TLS zwischen Client und festzulegen. AWS CloudHSM
## Benutzertyp
Die folgenden Benutzer können diesen Befehl ausführen.
+ Admin mit dem Benutzernamen als Admin
## Voraussetzungen
Um diesen Befehl auszuführen:
+ Mindestens ein Vertrauensanker wurde erfolgreich auf dem registriert AWS CloudHSM.
+ Konfigurieren Sie die CloudHSM-CLI mit dem richtigen privaten Schlüssel und dem richtigen Client-Zertifikat und starten Sie die CloudHSM-CLI unter einer gegenseitigen TLS-Verbindung.
+ Sie müssen als Standard-Administrator mit dem Benutzernamen „admin“ angemeldet sein. Jeder andere Admin-Benutzer kann diesen Befehl nicht ausführen.
## Syntax
```
aws-cloudhsm > help cluster mtls set-enforcement
Set mtls enforcement policy in the cluster
Usage: cluster mtls set-enforcement [OPTIONS] --level [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--level Level to be set for mtls in the cluster [possible values: none, cluster]
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Beispiel
**Example**
Im folgenden Beispiel legt dieser Befehl die MTLS-Erzwingungsstufe des gewünschten AWS CloudHSM Clusters fest. Der Befehl set-enforcement kann nur in einer gegenseitigen TLS-Verbindung ausgeführt werden, wenn Sie als Admin-Benutzer mit dem Benutzernamen admin angemeldet sind. Weitere Informationen finden Sie unter [mTLS-Erzwingung einrichten](getting-started-setup-mtls.md#getting-start-setup-mtls-enforcement) für. AWS CloudHSM
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
Anschließend können Sie den **get-enforcement** Befehl ausführen, um zu bestätigen, dass die Erzwingungsstufe auf Cluster gesetzt wurde:
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "cluster"
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
** ** **
Stufe, die für MTLS im Cluster festgelegt werden soll.
**Zulässige Werte**
+ **Cluster**: Erzwingt die Verwendung von gegenseitigem TLS zwischen Client und AWS CloudHSM Cluster.
+ **none**: Erzwingen Sie nicht die Verwendung von gegenseitigem TLS zwischen Client und AWS CloudHSM Cluster.
**Erforderlich**: Ja
Nachdem Sie die mTLS-Nutzung im Cluster erzwungen haben, werden alle bestehenden Nicht-MTLS-Verbindungen gelöscht und Sie können nur mit mTLS-Zertifikaten eine Verbindung zum Cluster herstellen.
** ** **
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Quorumclusterdienstes größer als 1 ist.
## Verwandte Themen
+ [Erzwingung von Cluster-MTLS](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [mTLS einrichten (empfohlen)](getting-started-setup-mtls.md)
# Die Krypto-Kategorie in CloudHSM CLI
In der CloudHSM-CLI **crypto** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen Befehl erstellen, der für kryptografische Operationen spezifisch ist. Derzeit besteht diese Kategorie aus den folgenden Befehlen:
+ [sign](cloudhsm_cli-crypto-sign.md)
+ [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
+ [verify](cloudhsm_cli-crypto-verify.md)
+ [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
# Die Kategorie Kryptozeichen in CloudHSM CLI
In der CloudHSM-CLI **crypto sign** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen ausgewählten privaten Schlüssel in Ihrem AWS CloudHSM Cluster verwendet, um eine Signatur zu generieren. **crypto sign**hat die folgenden Unterbefehle:
+ [Generieren Sie eine Signatur mit dem ECDSA-Mechanismus in der CloudHSM-CLI](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [Generieren Sie eine Signatur mit dem HashEd DSA-Mechanismus in der CloudHSM-CLI](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [Generieren Sie eine Signatur mit dem RSA-PKCS-Mechanismus in der CloudHSM-CLI](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [Generieren Sie eine Signatur mit dem RSA-PKCS-PSS Mechanismus in CloudHSM CLI](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
Um sie verwenden zu können**crypto sign**, benötigen Sie einen privaten Schlüssel in Ihrem HSM. Sie können einen privaten Schlüssel mit den folgenden Befehlen generieren:
+ [Schlüssel generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [Schlüssel generate-asymmetric-pair RSA](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# Generieren Sie eine Signatur mit dem ECDSA-Mechanismus in der CloudHSM-CLI
Verwenden Sie den **crypto sign ecdsa** Befehl in der CloudHSM-CLI, um eine Signatur mithilfe eines privaten EC-Schlüssels und des ECDSA-Signaturmechanismus zu generieren.
Um den **crypto sign ecdsa** Befehl verwenden zu können, benötigen Sie zunächst einen privaten EC-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können mit dem [Generieren Sie ein asymmetrisches EC-Schlüsselpaar mit CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) Befehl, dessen `sign` Attribut auf gesetzt ist, einen privaten EC-Schlüssel generieren`true`.
Die resultierende ECDSA-Signatur wird in dem Format generiert`r||s`, in dem die Komponenten R und S als binäre Rohdaten verkettet und im Base64-codierten Format zurückgegeben werden.
**Anmerkung**
Signaturen können mit Unterbefehlen verifiziert werden. AWS CloudHSM [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Krypto-Benutzer () CUs
## Voraussetzungen
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
## Syntax
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [