Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Neukonfiguration SSL mit einem neuen Zertifikat und einem privaten Schlüssel (optional)
AWS CloudHSM verwendet ein SSL Zertifikat, um eine Verbindung zu einem herzustellenHSM. Ein Standardschlüssel und ein SSL Zertifikat sind bei der Installation des Clients enthalten. Sie können aber eigene Schlüssel und Zertifikate erstellen und verwenden. Beachten Sie, dass Sie das selbstsignierte Zertifikat (customerCA.crt
), benötigen, das Sie beim Initialisieren des Clusters erstellt haben.
Allgemein gesehen ist dies ein zweistufiger Prozess:
-
Zuerst erstellen Sie einen privaten Schlüssel und verwenden diesen Schlüssel dann, um eine Zertifikatsignieranforderung zu erstellen (CSR). Verwenden Sie das ausstellende Zertifikat, das Zertifikat, das Sie bei der Initialisierung des Clusters erstellt haben, um das zu signieren. CSR
-
Als Nächstes verwenden Sie das Configure-Tool, um den Schlüssel und das Zertifikat in die entsprechenden Verzeichnisse zu kopieren.
Erstellen Sie einen Schlüssel, aCSR, und signieren Sie dann den CSR
Die Schritte sind für Client SDK 3 oder Client SDK 5 identisch.
Um die Konfiguration SSL mit einem neuen Zertifikat und einem neuen privaten Schlüssel neu zu konfigurieren
-
Erstellen Sie mit dem folgenden SSL Open-Befehl einen privaten Schlüssel:
openssl genrsa -out ssl-client.key 2048
Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001)
-
Verwenden Sie den folgenden SSL Open-Befehl, um eine Zertifikatsignieranforderung zu erstellen (CSR). Sie werden gebeten, eine Reihe von Fragen zum Zertifikat zu beantworten.
openssl req -new -sha256 -key ssl-client.key -out ssl-client.csr
Enter pass phrase for ssl-client.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
-
Signieren Sie das CSR mit dem
customerCA.crt
Zertifikat, das Sie bei der Initialisierung Ihres Clusters erstellt haben.openssl x509 -req -days 3652 -in ssl-client.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out ssl-client.crt
Signature ok subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales Getting CA Private Key
Benutzerdefiniert aktivieren für SSL AWS CloudHSM
Die Schritte sind für Client SDK 3 oder Client SDK 5 unterschiedlich. Weitere Informationen über die Arbeit mit dem Befehlszeilentool Configure finden Sie unter Configure-Tool.
Benutzerdefiniert SSL für Kunde SDK 3
Verwenden Sie das Konfigurationstool für Client SDK 3, um Benutzerdefiniert zu aktivierenSSL. Weitere Informationen zum Konfigurationstool für Client SDK 3 finden Sie unterKonfigurationstool für Client SDK 3.
So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige TLS Client-Server-Authentifizierung mit Client SDK 3 unter Linux
-
Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
sudo cp ssl-client.crt
/opt/cloudhsm/etc
sudo cp ssl-client.key/opt/cloudhsm/etc
-
Verwenden Sie das Configure-Tool, um
ssl-client.crt
undssl-client.key
anzugeben.sudo /opt/cloudhsm/bin/configure --ssl \ --pkey
/opt/cloudhsm/etc/ssl-client.key
\ --cert/opt/cloudhsm/etc/ssl-client.crt
-
Fügen Sie das Zertifikat
customerCA.crt
dem Vertrauensspeicher hinzu. Erstellen Sie einen Hash des Zertifikat-Themennamens. Dadurch wird ein Index erstellt, in dem das Zertifikat über den Namen gesucht werden kann.openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1 1234abcd
Erstellen Sie ein Verzeichnis.
mkdir /opt/cloudhsm/etc/certs
Erstellen Sie eine Datei, die das Zertifikat mit dem Hashnamen enthält.
sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0
Benutzerdefiniert SSL für Client 5 SDK
Verwenden Sie eines der Client SDK 5-Konfigurationstools, um Benutzerdefiniert zu aktivierenSSL. Weitere Informationen zum Konfigurationstool für Client SDK 5 finden Sie unterKonfigurationstool für Client SDK 5.