Erstellen Sie Benutzer mit aktivierter 2FA für Benutzer der Management Utility AWS CloudHSM - AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie Benutzer mit aktivierter 2FA für Benutzer der Management Utility AWS CloudHSM

Verwenden Sie das AWS CloudHSM Management Utility CMU (CMU) und das key pair, um einen neuen Crypto Office (CO) -Benutzer mit aktivierter Zwei-Faktor-Authentifizierung (2FA) zu erstellen.

Um CO-Benutzer mit aktivierter 2FA zu erstellen

  1. Führen Sie an einem Terminal die folgenden Schritte aus:

    1. Greifen Sie auf Ihr Cloud HSM Management Utility zu HSM und melden Sie sich dort an:

      /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

    2. Melden Sie sich als CO an und verwenden Sie den folgenden Befehl, um einen neuen Benutzer MFA mit 2FA zu erstellen:

      aws-cloudhsm>createUser CO MFA <CO USER NAME> -2fa /home/ec2-user/authdata
*************************CAUTION********************************This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the 
nodes on which this operation is not executed or failed, please 
ensure this operation is executed on all nodes in the cluster.  
****************************************************************

Do you want to continue(y/n)?

yCreating User exampleuser3(CO) on 1 nodesAuthentication data written to: "/home/ec2-user/authdata"Generate Base64-encoded signatures for SHA256 digests in the authentication datafile. 
To generate the signatures, use the RSA private key, which is the second factor ofauthentication for this user. Paste the signatures and the corresponding public keyinto the authentication data file and provide 
the file path below.Leave this field blank to use the path initially provided.Enter filename:

    3. Belassen Sie das obige Terminal in diesem Zustand. Drücken Sie nicht die Eingabetaste und geben Sie keinen Dateinamen ein.

  2. Führen Sie in einem anderen Terminal die folgenden Schritte aus:

    1. Greifen Sie auf Ihr Cloud HSM Management Utility zu HSM und melden Sie sich dort an:

      /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg

    2. Generieren Sie mit den folgenden Befehlen ein öffentlich-privates Schlüsselpaar:

      openssl genpkey -algorithm RSA -out private_key.pem -pkeyopt rsa_keygen_bits:2048
      openssl rsa -pubout -in private_key.pem -out public_key.pem

    3. Führen Sie den folgenden Befehl aus, um eine JSON-Abfragefunktion zum Extrahieren des Digest aus der Authdata-Datei zu installieren:

      sudo yum install jq

    4. Um den Digest-Wert zu extrahieren, suchen Sie zunächst die folgenden Daten in der Authdata-Datei:

      {
  "Version":"1.0",
  "PublicKey":"",
  "Data":[
    {
      "HsmId": <"HSM ID">,
      "Digest": <"DIGEST">,
      "Signature":""
    }
  ]
}
      Anmerkung

      Der erhaltene Digest ist Base64-kodiert. Um den Digest zu signieren, muss die Datei jedoch zuerst dekodiert und dann signiert werden. Der folgende Befehl dekodiert den Digest und speichert den dekodierten Inhalt in „digest1.bin“.

      cat authdata | jq '.Data[0].Digest' | cut -c2- | rev | cut -c2- | rev | base64 -d > digest1.bin

    5. Konvertiert den Inhalt des öffentlichen Schlüssels, fügt „\n“ hinzu und entfernt Leerzeichen, wie hier gezeigt:

      -----BEGIN PUBLIC KEY-----\n<PUBLIC KEY>\n-----END PUBLIC KEY-----
      Wichtig

      Der obige Befehl zeigt, wie „\n“ unmittelbar nach BEGIN PUBLIC KEY----- hinzugefügt wird, Leerzeichen zwischen „\n“ und dem ersten Zeichen des öffentlichen Schlüssels entfernt werden, „\n“ vor -----END PUBLIC KEY hinzugefügt wird und Leerzeichen zwischen „\n“ und dem Ende des öffentlichen Schlüssels entfernt werden.

      Dies ist das PEM Format für öffentliche Schlüssel, das in der Authdata-Datei akzeptiert wird.

    6. Fügen Sie den Inhalt des öffentlichen Schlüssels im PEM-Format in den Abschnitt mit dem öffentlichen Schlüssel der Authdata-Datei ein.

      vi authdata
      {
  "Version":"1.0",
  "PublicKey":"-----BEGIN PUBLIC KEY-----\n<"PUBLIC KEY">\n-----END PUBLIC KEY-----",
  "Data":[    
{      
  "HsmId":<"HSM ID">,
  "Digest":<"DIGEST">,      
  "Signature":””    
}  
]
}

    7. Signieren Sie die Token-Datei mit dem folgenden Befehl:

      openssl pkeyutl -sign -in digest1.bin -inkey private_key.pem -pkeyopt digest:sha256 | base64

Output Expected:
<"THE SIGNATURE">
      Anmerkung

      Verwenden Sie, wie im obigen Befehl gezeigt, openssl pkeyutl statt openssl dgst zum Signieren.

    8. Fügen Sie den signierten Digest in die Authdata-Datei im Feld „Signatur“ ein.

      vi authdata
      {
    "Version": "1.0",
    "PublicKey": "-----BEGIN PUBLIC KEY----- ... -----END PUBLIC KEY-----",
    "Data": [
        {
            "HsmId": <"HSM ID">,
            "Digest": <"DIGEST">,
            "Signature": "Kkdl ... rkrvJ6Q=="
        },
        {
            "HsmId": <"HSM ID">,
            "Digest": <"DIGEST">,
            "Signature": "K1hxy ... Q261Q=="
        }
    ]
}

  3. Gehen Sie zurück zum ersten Terminal und drücken Sie Enter:

    Generate Base64-encoded signatures for SHA256 digests in the authentication datafile. To generate the signatures, use the RSA private key, 
which is the second factor ofauthentication for this user. Paste the signatures and the corresponding public keyinto the authentication data file and provide the file path below. Leave this field blank to use the path initially provided. 
Enter filename: >>>>> Press Enter here

createUser success on server 0(10.0.1.11)