Konfigurationstool für Client SDK 5 - AWS CloudHSM
SyntaxErweiterte -KonfigurationenBeispieleParameterVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurationstool für Client SDK 5

Verwenden Sie das Client SDK 5-Konfigurationstool, um die clientseitigen Konfigurationsdateien zu aktualisieren.

Jede Komponente in Client SDK 5 enthält ein Konfigurationstool mit einer Bezeichnung der Komponente im Dateinamen des Konfigurationstools. Die Bibliothek PKCS #11 für Client SDK 5 enthält beispielsweise ein Konfigurationstool, das configure-pkcs11 unter Linux oder configure-pkcs11.exe Windows benannt ist.

Syntax

PKCS #11
configure-pkcs11[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--client-cert-hsm-tls-file <client certificate hsm tls path>]
             [--client-key-hsm-tls-file <client key hsm tls path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-pkcs11.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-pkcs11.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
             [--enable-validate-key-at-init]
                  This is the default for PKCS #11
OpenSSL
configure-dyn[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--client-cert-hsm-tls-file <client certificate hsm tls path>]
             [--client-key-hsm-tls-file <client key hsm tls path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <error>
             [--log-type <file | term>]
                  Default is <term>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for OpenSSL
             [--enable-validate-key-at-init]
JCE
configure-jce[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--client-cert-hsm-tls-file <client certificate hsm tls path>]
             [--client-key-hsm-tls-file <client key hsm tls path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-jce.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-jce.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for JCE
             [--enable-validate-key-at-init]
CloudHSM CLI
configure-cli[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--client-cert-hsm-tls-file <client certificate hsm tls path>]
             [--client-key-hsm-tls-file <client key hsm tls path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default for Linux is </opt/cloudhsm/run/cloudhsm-cli.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-cli.log>
             [--log-type <file | term>]
                  Default setting is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for CloudHSM CLI
             [--enable-validate-key-at-init]

Erweiterte -Konfigurationen

Eine Liste der erweiterten Konfigurationen, die speziell für das Client SDK 5-Konfigurationstool gelten, finden Sie unter Erweiterte Konfigurationen für das Client SDK 5-Konfigurationstool.

Wichtig

Nachdem Sie Änderungen an Ihrer Konfiguration vorgenommen haben, müssen Sie Ihre Anwendung neu starten, damit die Änderungen wirksam werden.

Beispiele

Diese Beispiele zeigen, wie das Konfigurationstool für Client SDK 5 verwendet wird.

In diesem Beispiel wird der -a Parameter verwendet, um die HSM Daten für Client SDK 5 zu aktualisieren. Um den -a Parameter verwenden zu können, benötigen Sie die IP-Adresse eines der Geräte HSMs in Ihrem Cluster.

PKCS #11 library
Um eine EC2 Linux-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Um eine EC2 Windows-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Um eine EC2 Linux-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
Um eine EC2 Linux-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Um eine EC2 Windows-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Um eine EC2 Linux-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse der HSM (s) in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
Um eine EC2 Windows-Instanz für Client SDK 5 zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse der HSM (s) in Ihrem Cluster anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
Anmerkung

Sie können den –-cluster-id-Parameter anstelle von -a <HSM_IP_ADDRESSES> verwenden. Informationen zu den Anforderungen für die Verwendung von –-cluster-id finden Sie unter Konfigurationstool für Client SDK 5.

Weitere Informationen zum Parameter -a erhalten Sie unter Parameter.

In diesem Beispiel wird der cluster-id Parameter verwendet, um Client SDK 5 durch einen DescribeClusters Aufruf zu booten.

PKCS #11 library
Um eine EC2 Linux-Instanz für Client SDK 5 zu booten mit cluster-id

  • Verwenden Sie die Cluster-IDcluster-1234567, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567
Um eine EC2 Windows-Instanz für Client SDK 5 zu booten mit cluster-id

  • Verwenden Sie die Cluster-IDcluster-1234567, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --cluster-id cluster-1234567
OpenSSL Dynamic Engine
Um eine EC2 Linux-Instanz für Client SDK 5 zu booten mit cluster-id

  • Verwenden Sie die Cluster-IDcluster-1234567, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567
JCE provider
Um eine EC2 Linux-Instanz für Client SDK 5 zu booten mit cluster-id

  • Verwenden Sie die Cluster-IDcluster-1234567, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567
Um eine EC2 Windows-Instanz für Client SDK 5 zu booten mit cluster-id

  • Verwenden Sie die Cluster-IDcluster-1234567, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567
CloudHSM CLI
Um eine EC2 Linux-Instanz für Client SDK 5 zu booten mit cluster-id

  • Verwenden Sie die Cluster-IDcluster-1234567, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567
Um eine EC2 Windows-Instanz für Client SDK 5 zu booten mit cluster-id

  • Verwenden Sie die Cluster-IDcluster-1234567, um die IP-Adresse eines HSM in Ihrem Cluster anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id cluster-1234567

Sie können die Parameter --region und --endpoint in Kombination mit dem cluster-id-Parameter verwenden, um anzugeben, wie das System den DescribeClusters-Aufruf durchführt. Wenn sich die Region des Clusters beispielsweise von der als AWS CLI Standard konfigurierten unterscheidet, sollten Sie den --region Parameter verwenden, um diese Region zu verwenden. Darüber hinaus haben Sie die Möglichkeit, den AWS CloudHSM API Endpunkt anzugeben, der für den Anruf verwendet werden soll. Dies kann für verschiedene Netzwerkkonfigurationen erforderlich sein, z. B. für die Verwendung von VPC Schnittstellenendpunkten, für die nicht der DNS Standard-Hostname verwendet wird. AWS CloudHSM

PKCS #11 library
Um eine EC2 Linux-Instanz mit einem benutzerdefinierten Endpunkt und einer benutzerdefinierten Region zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse einer HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Um eine EC2 Windows-Instanz mit einem Endpunkt und einer Region zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse einer HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben.

    
C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
OpenSSL Dynamic Engine
Um eine EC2 Linux-Instanz mit einem benutzerdefinierten Endpunkt und einer benutzerdefinierten Region zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse einer HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
JCE provider
Um eine EC2 Linux-Instanz mit einem benutzerdefinierten Endpunkt und einer benutzerdefinierten Region zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse einer HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Um eine EC2 Windows-Instanz mit einem Endpunkt und einer Region zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse einer HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben.

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
CloudHSM CLI
Um eine EC2 Linux-Instanz mit einem benutzerdefinierten Endpunkt und einer benutzerdefinierten Region zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse einer HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Um eine EC2 Windows-Instanz mit einem Endpunkt und einer Region zu booten

  • Verwenden Sie das Konfigurationstool, um die IP-Adresse einer HSM in Ihrem Cluster mit einer benutzerdefinierten Region und einem benutzerdefinierten Endpunkt anzugeben.

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

Weitere Hinweise zu den Parametern --cluster-id, --region und --endpoint finden Sie unter Parameter.

Dieses Beispiel zeigt, wie die --server-client-key-file Parameter --server-client-cert-file und zur Neukonfiguration verwendet werden, SSL indem ein benutzerdefinierter Schlüssel und ein benutzerdefiniertes Zertifikat für angegeben werden SSL AWS CloudHSM

PKCS #11 library
So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS Client-Server-Authentifizierung mit Client 5 unter Linux SDK

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
$ sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Verwenden Sie das Configure-Tool, um ssl-client.crt und ssl-client.key anzugeben.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS Client-Server-Authentifizierung mit Client 5 unter Windows SDK

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um und anzugeben. ssl-client.crt ssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS Client-Server-Authentifizierung mit Client SDK 5 unter Linux zu verwenden

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Verwenden Sie das Configure-Tool, um ssl-client.crt und ssl-client.key anzugeben.

    $ sudo /opt/cloudhsm/bin/configure-dyn \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
JCE provider
So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS Client-Server-Authentifizierung mit Client 5 unter Linux SDK

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Verwenden Sie das Configure-Tool, um ssl-client.crt und ssl-client.key anzugeben.

    $ sudo /opt/cloudhsm/bin/configure-jce \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS Client-Server-Authentifizierung mit Client 5 unter Windows SDK

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um und anzugeben. ssl-client.crt ssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS Client-Server-Authentifizierung mit Client SDK 5 unter Linux zu verwenden

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Verwenden Sie das Configure-Tool, um ssl-client.crt und ssl-client.key anzugeben.

    $ sudo /opt/cloudhsm/bin/configure-cli \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS Client-Server-Authentifizierung mit Client 5 unter Windows SDK

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um und anzugeben. ssl-client.crt ssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Weitere Hinweise zu den Parametern --server-client-cert-file und --server-client-key-file finden Sie unter Parameter.

Dieses Beispiel zeigt, wie die --client-key-hsm-tls-file Parameter --client-cert-hsm-tls-file und zur Neukonfiguration verwendet werden, SSL indem ein benutzerdefinierter Schlüssel und ein benutzerdefiniertes SSL Zertifikat für angegeben werden AWS CloudHSM

PKCS #11 library
So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die HSM gegenseitige TLS Client-Authentifizierung mit Client SDK 5 unter Linux

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc
$ sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Verwenden Sie das Configure-Tool, um ssl-client.pem und ssl-client.key anzugeben.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
            --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \
            --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die HSM gegenseitige TLS Client-Authentifizierung mit Client SDK 5 unter Windows zu verwenden

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um ssl-client.pem und ssl-client.key anzugeben.

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
            --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem `
            --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die HSM gegenseitige TLS Client-Authentifizierung mit Client SDK 5 unter Linux zu verwenden

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Verwenden Sie das Configure-Tool, um ssl-client.pem und ssl-client.key anzugeben.

    $ sudo /opt/cloudhsm/bin/configure-dyn \
            --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \
            --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
JCE provider
Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die HSM gegenseitige TLS Client-Authentifizierung mit Client SDK 5 unter Linux zu verwenden

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Verwenden Sie das Configure-Tool, um ssl-client.pem und ssl-client.key anzugeben.

    $ sudo /opt/cloudhsm/bin/configure-jce \
            --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \
            --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die HSM gegenseitige TLS Client-Authentifizierung mit Client SDK 5 unter Windows zu verwenden

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um ssl-client.pem und ssl-client.key anzugeben.

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
            --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem `
            --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die HSM gegenseitige TLS Client-Authentifizierung mit Client SDK 5 unter Linux zu verwenden

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Verwenden Sie das Configure-Tool, um ssl-client.pem und ssl-client.key anzugeben.

    $ sudo /opt/cloudhsm/bin/configure-cli \
            --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \
            --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die HSM gegenseitige TLS Client-Authentifizierung mit Client SDK 5 unter Windows zu verwenden

  1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um ssl-client.pem und ssl-client.key anzugeben.

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
            --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem `
            --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Weitere Hinweise zu den Parametern --client-cert-hsm-tls-file und --client-key-hsm-tls-file finden Sie unter Parameter.

In diesem Beispiel wird der --disable-key-availability-check-Parameter verwendet, um die Einstellungen für die Haltbarkeit von Clientschlüsseln zu deaktivieren. Um einen Cluster mit einem einzigen Cluster auszuführenHSM, müssen Sie die Einstellungen für die Haltbarkeit von Client-Schlüsseln deaktivieren.

PKCS #11 library
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Linux

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Windows

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Linux

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
JCE provider
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Linux

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Windows

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Linux

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Windows

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

Weitere Informationen zum Parameter --disable-key-availability-check erhalten Sie unter Parameter.

Client SDK 5 verwendet die log-type Parameterlog-file,log-level, undlog-rotation, um die Protokollierung zu verwalten.

Anmerkung

Um Ihre SDK für serverlose Umgebungen wie AWS Fargate oder AWS Lambda zu konfigurieren, empfehlen wir Ihnen, Ihren AWS CloudHSM Protokolltyp auf zu konfigurieren. term Die Client-Logs werden in der CloudWatch Logs-Protokollgruppe ausgegeben stderr und dort erfasst, die für diese Umgebung konfiguriert ist.

PKCS #11 library
Standardspeicherort für Protokollspeicherort

  • Wenn Sie keinen Speicherort für die Datei angeben, schreibt das System Protokolle an den folgenden Standardspeicherort:

    Linux

    /opt/cloudhsm/run/cloudhsm-pkcs11.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
Um die Protokollierungsebene zu konfigurieren und andere Protokollierungsoptionen auf Standard zu setzen
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
Um Optionen für die Dateiprotokollierung zu konfigurieren
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file <file name with path> --log-rotation daily --log-level info
Um Optionen für die Terminalprotokollierung zu konfigurieren
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
OpenSSL Dynamic Engine
Standardspeicherort für Protokollspeicherort

  • Wenn Sie keinen Speicherort für die Datei angeben, schreibt das System Protokolle an den folgenden Standardspeicherort:

    Linux

    stderr
Um die Protokollierungsebene zu konfigurieren und andere Protokollierungsoptionen auf Standard zu setzen
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-level info
Um Optionen für die Dateiprotokollierung zu konfigurieren
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type <file name> --log-file file --log-rotation daily --log-level info
Um Optionen für die Terminalprotokollierung zu konfigurieren
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
JCE provider
Standardspeicherort für Protokollspeicherort

  • Wenn Sie keinen Speicherort für die Datei angeben, schreibt das System Protokolle an den folgenden Standardspeicherort:

    Linux

    /opt/cloudhsm/run/cloudhsm-jce.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
Um die Protokollierungsebene zu konfigurieren und andere Protokollierungsoptionen auf Standard zu setzen
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-level info
Um Optionen für die Dateiprotokollierung zu konfigurieren
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file <file name> --log-rotation daily --log-level info
Um Optionen für die Terminalprotokollierung zu konfigurieren
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
CloudHSM CLI
Standardspeicherort für Protokollspeicherort

  • Wenn Sie keinen Speicherort für die Datei angeben, schreibt das System Protokolle an den folgenden Standardspeicherort:

    Linux

    /opt/cloudhsm/run/cloudhsm-cli.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
Um die Protokollierungsebene zu konfigurieren und andere Protokollierungsoptionen auf Standard zu setzen
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-level info
Um Optionen für die Dateiprotokollierung zu konfigurieren
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file <file name> --log-rotation daily --log-level info
Um Optionen für die Terminalprotokollierung zu konfigurieren
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info

Weitere Informationen über die Parameter log-file, log-level, log-rotation und log-type finden Sie unter Parameter.

In diesem Beispiel wird der --hsm-ca-cert Parameter verwendet, um den Speicherort des ausstellenden Zertifikats für Client SDK 5 zu aktualisieren.

PKCS #11 library
Um das ausstellende Zertifikat auf Linux für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Um das ausstellende Zertifikat auf Windows für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Um das ausstellende Zertifikat auf Linux für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Um das ausstellende Zertifikat auf Linux für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Um das ausstellende Zertifikat auf Windows für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Um das ausstellende Zertifikat auf Linux für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Um das ausstellende Zertifikat auf Windows für Client SDK 5 zu platzieren

  • Verwenden Sie das Configure-Tool, um einen Speicherort für das ausstellende Zertifikat anzugeben. 

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Weitere Informationen zum Parameter --hsm-ca-cert erhalten Sie unter Parameter.

Parameter

-a <ENI IP address>

Fügt die angegebene IP-Adresse zu den Konfigurationsdateien von Client SDK 5 hinzu. Geben Sie eine beliebige ENI IP-Adresse eines HSM Clusters ein. Weitere Informationen zur Verwendung dieser Option finden Sie unter Bootstrap Client SDK 5.

Erforderlich: Ja

--hsm-ca-cert <customerCA certificate file path>

Pfad zu dem Verzeichnis, in dem das Zertifikat der Zertifizierungsstelle (CA) gespeichert ist, mit dem EC2 Client-Instances mit dem Cluster verbunden werden. Sie erstellen diese Datei, wenn Sie den Cluster initialisieren. Standardmäßig sucht das System am folgenden Speicherort nach dieser Datei:

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Weitere Informationen zur Initialisierung des Clusters oder zum Platzieren des Zertifikats finden Sie unter Platzieren Sie das ausstellende Zertifikat auf jeder EC2-Instance und Initialisieren des Clusters.

Erforderlich: Nein

--cluster-id <cluster ID>

Führt einen DescribeClusters Aufruf durch, um alle HSM elastic network interface (ENI) -IP-Adressen im Cluster zu finden, die der Cluster-ID zugeordnet sind. Das System fügt die ENI IP-Adressen zu den AWS CloudHSM Konfigurationsdateien hinzu.

Anmerkung

Wenn Sie den --cluster-id Parameter von einer EC2 Instanz innerhalb einer Instanz aus verwendenVPC, die keinen Zugriff auf das öffentliche Internet hat, müssen Sie einen VPC Schnittstellenendpunkt erstellen, mit dem Sie eine Verbindung herstellen können AWS CloudHSM. Weitere Informationen zu VPC Endpunkten finden Sie unterAWS CloudHSM und Endpunkte VPC.

Erforderlich: Nein

--endpoint <endpoint>

Geben Sie den AWS CloudHSM API Endpunkt an, der für den DescribeClusters Anruf verwendet wird. Sie müssen diese Option in Kombination mit --cluster-id festlegen.

Erforderlich: Nein

--Region <region>

Geben Sie die Region Ihres Clusters an. Sie müssen diese Option in Kombination mit --cluster-id festlegen.

Wenn Sie den --region-Parameter nicht angeben, wählt das System die Region aus, indem es versucht, die Umgebungsvariablen AWS_DEFAULT_REGION oder AWS_REGION zu lesen. Wenn diese Variablen nicht gesetzt sind, überprüft das System die Region, die Ihrem Profil in Ihrer AWS Konfigurationsdatei zugeordnet ist (normalerweise~/.aws/config), sofern Sie in der AWS_CONFIG_FILE Umgebungsvariablen keine andere Datei angegeben haben. Wenn keine der oben genannten Optionen festgelegt ist, verwendet das System standardmäßig die us-east-1-Region.

Erforderlich: Nein

--server-client-cert-file <client certificate file path>

Pfad zum Client-Zertifikat, das für die gegenseitige TLS Client-Server-Authentifizierung verwendet wird.

Verwenden Sie diese Option nur, wenn Sie nicht den Standardschlüssel und das TLS StandardzertifikatSSL/verwenden möchten, die in Client SDK 5 enthalten sind. Sie müssen diese Option in Kombination mit --server-client-key-file festlegen.

Erforderlich: Nein

--server-client-key-file <client key file path>

Pfad zum Client-Schlüssel, der für die gegenseitige TLS Client-Server-Authentifizierung verwendet wird.

Verwenden Sie diese Option nur, wenn Sie nicht den Standardschlüssel und das TLS StandardzertifikatSSL/verwenden möchten, die in Client SDK 5 enthalten sind. Sie müssen diese Option in Kombination mit --server-client-cert-file festlegen.

Erforderlich: Nein

- client-cert-hsm-tls - -Datei <client certificate hsm tls path>

Pfad zum Client-Zertifikat, das für die HSM gegenseitige TLS Client-Authentifizierung verwendet wird.

Verwenden Sie diese Option nur, wenn Sie mindestens einen Vertrauensanker HSM bei Cloud registriert haben HSMCLI. Sie müssen diese Option in Kombination mit --client-key-hsm-tls-file festlegen.

Erforderlich: Nein

- client-key-hsm-tls - -Datei <client key hsm tls path>

Pfad zum Client-Schlüssel, der für die HSM gegenseitige TLS Client-Authentifizierung verwendet wird.

Verwenden Sie diese Option nur, wenn Sie mindestens einen Vertrauensanker HSM bei Cloud registriert haben HSMCLI. Sie müssen diese Option in Kombination mit --client-cert-hsm-tls-file festlegen.

Erforderlich: Nein

--log-level <error | warn | info | debug | trace>

Gibt die Mindestprotokollierungsebene an, die das System in die Protokolldatei schreiben soll. Jede Stufe umfasst die vorherigen Stufen, wobei Fehler die Mindeststufe und Trace die Höchststufe ist. Das heißt, wenn Sie Fehler angeben, schreibt das System nur Fehler in das Protokoll. Wenn Sie trace angeben, schreibt das System Fehler, Warnungen, Informations- (Info-) und Debugmeldungen in das Protokoll. Weitere Informationen finden Sie unter Client SDK 5-Protokollierung.

Erforderlich: Nein

--log-rotation <daily | weekly>

Gibt die Häufigkeit an, mit der das System Protokolle rotiert. Weitere Informationen finden Sie unter Client SDK 5-Protokollierung.

Erforderlich: Nein

--log-Datei <file name with path>

Gibt an, wo das System die Protokolldatei schreiben wird. Weitere Informationen finden Sie unter Client SDK 5-Protokollierung.

Erforderlich: Nein

--log-type <term | file>

Gibt an, ob das System das Protokoll in eine Datei oder ein Terminal schreibt. Weitere Informationen finden Sie unter Client SDK 5-Protokollierung.

Erforderlich: Nein

-h | --help

Zeigt Hilfe an.

Erforderlich: Nein

-v | --version

Zeigt die Version an.

Erforderlich: Nein

--disable-key-availability-check

Markierung, um das Quorum für die Schlüsselverfügbarkeit zu deaktivieren. Verwenden Sie dieses Flag, um anzugeben, dass das Schlüsselverfügbarkeitsquorum deaktiviert werden AWS CloudHSM soll und dass Sie Schlüssel verwenden können, die nur auf einem HSM im Cluster vorhanden sind. Weitere Hinweise zur Verwendung dieses Flags zum Festlegen eines Quorums für Schlüsselverfügbarkeit finden Sie unter Verwaltung der Einstellungen für die Haltbarkeit von Client-Schlüsseln.

Erforderlich: Nein

--enable-key-availability-check

Markierung, um das Quorum für die Schlüsselverfügbarkeit zu aktivieren. Verwenden Sie dieses Flag, um anzugeben, dass das Schlüsselverfügbarkeitsquorum verwendet werden AWS CloudHSM soll und dass Sie Schlüssel erst verwenden dürfen, wenn diese Schlüssel auf zwei HSMs im Cluster vorhanden sind. Weitere Hinweise zur Verwendung dieses Flags zum Festlegen eines Quorums für Schlüsselverfügbarkeit finden Sie unter Verwaltung der Einstellungen für die Haltbarkeit von Client-Schlüsseln.

Standardmäßig aktiviert.

Erforderlich: Nein

-- -init disable-validate-key-at

Verbessert die Leistung, indem angegeben wird, dass Sie einen Initialisierungsaufruf überspringen können, um die Berechtigungen für einen Schlüssel für nachfolgende Aufrufe zu überprüfen. Verwenden Sie es mit Bedacht.

Hintergrund: Einige Mechanismen in der PKCS #11 -Bibliothek unterstützen mehrteilige Operationen, bei denen ein Initialisierungsaufruf überprüft, ob Sie den Schlüssel für nachfolgende Aufrufe verwenden können. Dies erfordert einen Bestätigungsaufruf an dieHSM, was die Latenz des gesamten Vorgangs erhöht. Mit dieser Option können Sie den nachfolgenden Aufruf deaktivieren und möglicherweise die Leistung verbessern.

Erforderlich: Nein

-- enable-validate-key-at -init

Gibt an, dass Sie einen Initialisierungsaufruf verwenden sollten, um die Berechtigungen für einen Schlüssel für nachfolgende Aufrufe zu überprüfen. Dies ist die Standardoption. Verwenden Sieenable-validate-key-at-init, um diese Initialisierungsrufe wieder aufzunehmen, nachdem Sie mit disable-validate-key-at-init sie unterbrochen haben.

Erforderlich: Nein

Verwandte Themen