Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erste Schritte mit AWS CloudHSM
Die folgenden Themen helfen Ihnen beim Erstellen, Initialisieren und Aktivieren eines Clusters in. AWS CloudHSM Nachdem Sie diese Verfahren abgeschlossen haben, können Sie Benutzer verwalten, Cluster verwalten und die integrierten Software-Bibliotheken zur Durchführung kryptografischer Operationen nutzen. Für eine optimale Benutzererfahrung sollten Sie die Themen in der angegebenen Reihenfolge befolgen.
**Topics**
+ [Erstellen Sie IAM-Administrationsgruppen für AWS CloudHSM](create-iam-user.md)
+ [Erstellen Sie eine virtuelle private Cloud (VPC) für AWS CloudHSM](create-vpc.md)
+ [Erstellen Sie einen Cluster in AWS CloudHSM](create-cluster.md)
+ [Überprüfen Sie die Sicherheitsgruppe für Ihren Cluster in AWS CloudHSM](configure-sg.md)
+ [Starten Sie eine Amazon EC2 EC2-Client-Instance für die Interaktion mit AWS CloudHSM](launch-client-instance.md)
+ [Konfigurieren Sie die Sicherheitsgruppen der Amazon EC2 EC2-Client-Instanz für AWS CloudHSM](configure-sg-client-instance.md)
+ [Erstellen Sie ein HSM in AWS CloudHSM](create-hsm.md)
+ [Überprüfen Sie die Identität und Authentizität des HSM Ihres Clusters in AWS CloudHSM (optional)](verify-hsm-identity.md)
+ [Initialisieren Sie den Cluster in AWS CloudHSM](initialize-cluster.md)
+ [CloudHSM-CLI installieren und konfigurieren](gs_cloudhsm_cli-install.md)
+ [Aktiviere den Cluster in AWS CloudHSM](activate-cluster.md)
+ [Richten Sie gegenseitiges TLS zwischen Client und AWS CloudHSM (empfohlen) ein](getting-started-setup-mtls.md)
+ [Schlüssel erstellen und verwenden in AWS CloudHSM](create-apps.md)
# Erstellen Sie IAM-Administrationsgruppen für AWS CloudHSM
Der erste Schritt für den Einstieg AWS CloudHSM besteht darin, IAM-Berechtigungen einzurichten.
Als [bewährte Methode sollten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users) Sie Ihre nicht verwenden, Root-Benutzer des AWS-Kontos um mit AWS anderen zu interagieren. AWS CloudHSM Verwenden Sie stattdessen AWS Identity and Access Management (IAM), um einen IAM-Benutzer, eine IAM-Rolle oder einen Verbundbenutzer zu erstellen. Folgen Sie den Schritten im Abschnitt[Erstellen von IAM-Benutzern und -Administratorgruppen](#create-iam-admin), um eine Administratorgruppe zu erstellen und ihr die **AdministratorAccess**Richtlinie anzuhängen. Erstellen Sie dann einen neuen Administratorbenutzer und fügen Sie den Benutzer der Gruppe hinzu. Fügen Sie der Gruppe bei Bedarf weitere Benutzer hinzu. Jeder Benutzer, den Sie hinzufügen, erbt die **AdministratorAccess**Richtlinie von der Gruppe.
Eine weitere bewährte Methode besteht darin, eine AWS CloudHSM Administratorgruppe zu erstellen, die nur über die für die Ausführung AWS CloudHSM erforderlichen Berechtigungen verfügt. Fügen Sie dieser Gruppe bei Bedarf einzelne Benutzer hinzu. Jeder Benutzer übernimmt die eingeschränkten Berechtigungen, die der Gruppe zugeordnet sind, anstatt uneingeschränkten AWS -Zugriff zu erhalten. Der folgende [Vom Kunden verwaltete Richtlinien für AWS CloudHSM](identity-access-management.md#permissions-for-cloudhsm) Abschnitt enthält die Richtlinie, die Sie Ihrer AWS CloudHSM Administratorgruppe zuordnen sollten.
AWS CloudHSM definiert eine [dienstbezogene Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) für Ihr AWS Konto. Die dienstbezogene Rolle definiert derzeit Berechtigungen, die es Ihrem Konto ermöglichen, Ereignisse zu protokollieren. AWS CloudHSM Die Rolle kann automatisch von Ihnen AWS CloudHSM oder manuell erstellt werden. Sie können die Rolle zwar nicht bearbeiten, aber Sie können sie löschen. Weitere Informationen finden Sie unter [Mit Diensten verknüpfte Rollen für AWS CloudHSM](service-linked-roles.md).
## Erstellen von IAM-Benutzern und -Administratorgruppen
Beginnen Sie, indem Sie einen IAM-Benutzer sowie eine Administratorgruppe für diesen Benutzer erstellen.
### Melde dich an für eine AWS-Konto
Wenn Sie noch keine haben AWS-Konto, führen Sie die folgenden Schritte aus, um eine zu erstellen.
**Um sich für eine anzumelden AWS-Konto**
1. Öffnen Sie [https://portal.aws.amazon.com/billing/die Anmeldung.](https://portal.aws.amazon.com/billing/signup)
1. Folgen Sie den Online-Anweisungen.
Während der Anmeldung erhalten Sie einen Telefonanruf oder eine Textnachricht und müssen einen Verifizierungscode über die Telefontasten eingeben.
Wenn Sie sich für eine anmelden AWS-Konto, *Root-Benutzer des AWS-Kontos*wird eine erstellt. Der Root-Benutzer hat Zugriff auf alle AWS-Services und Ressourcen des Kontos. Als bewährte Sicherheitsmethode weisen Sie einem Benutzer Administratorzugriff zu und verwenden Sie nur den Root-Benutzer, um [Aufgaben auszuführen, die Root-Benutzerzugriff erfordern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS sendet Ihnen nach Abschluss des Anmeldevorgangs eine Bestätigungs-E-Mail. Du kannst jederzeit deine aktuellen Kontoaktivitäten einsehen und dein Konto verwalten, indem du zu [https://aws.amazon.com/](https://aws.amazon.com/)gehst und **Mein Konto** auswählst.
### Erstellen eines Benutzers mit Administratorzugriff
Nachdem Sie sich für einen angemeldet haben AWS-Konto, sichern Sie Ihren Root-Benutzer des AWS-Kontos AWS IAM Identity Center, aktivieren und erstellen Sie einen Administratorbenutzer, sodass Sie den Root-Benutzer nicht für alltägliche Aufgaben verwenden.
**Sichern Sie Ihre Root-Benutzer des AWS-Kontos**
1. Melden Sie sich [AWS-Managementkonsole](https://console.aws.amazon.com/)als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
Hilfe bei der Anmeldung mit dem Root-Benutzer finden Sie unter [Anmelden als Root-Benutzer](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) im *AWS-Anmeldung -Benutzerhandbuch* zu.
1. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer.
Anweisungen finden Sie unter [Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto Root-Benutzer (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) im *IAM-Benutzerhandbuch*.
**Erstellen eines Benutzers mit Administratorzugriff**
1. Aktivieren Sie das IAM Identity Center.
Anweisungen finden Sie unter [Aktivieren AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
1. Gewähren Sie einem Administratorbenutzer im IAM Identity Center Benutzerzugriff.
*Ein Tutorial zur Verwendung von IAM-Identity-Center-Verzeichnis als Identitätsquelle finden Sie IAM-Identity-Center-Verzeichnis im Benutzerhandbuch unter [Benutzerzugriff mit der Standardeinstellung konfigurieren](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html).AWS IAM Identity Center *
**Anmelden als Administratorbenutzer**
+ Um sich mit Ihrem IAM-Identity-Center-Benutzer anzumelden, verwenden Sie die Anmelde-URL, die an Ihre E-Mail-Adresse gesendet wurde, als Sie den IAM-Identity-Center-Benutzer erstellt haben.
Hilfe bei der Anmeldung mit einem IAM Identity Center-Benutzer finden Sie [im *AWS-Anmeldung Benutzerhandbuch* unter Anmeldung beim AWS Access-Portal](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html).
**Weiteren Benutzern Zugriff zuweisen**
1. Erstellen Sie im IAM-Identity-Center einen Berechtigungssatz, der den bewährten Vorgehensweisen für die Anwendung von geringsten Berechtigungen folgt.
Anweisungen hierzu finden Sie unter [ Berechtigungssatz erstellen](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
1. Weisen Sie Benutzer einer Gruppe zu und weisen Sie der Gruppe dann Single Sign-On-Zugriff zu.
Eine genaue Anleitung finden Sie unter [ Gruppen hinzufügen](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
Richtlinien AWS CloudHSM , die Sie Ihrer IAM-Benutzergruppe zuordnen können, finden Sie beispielsweise unter. [Identitäts- und Zugriffsmanagement für AWS CloudHSM](identity-access-management.md)
# Erstellen Sie eine virtuelle private Cloud (VPC) für AWS CloudHSM
Sie benötigen eine Virtual Private Cloud (VPC) für Ihren Cluster in AWS CloudHSM. Wenn Sie noch keine haben, folgen Sie den Schritten in diesem Thema, um eine VPC zu erstellen.
**Anmerkung**
Wenn Sie diese Schritte befolgen, werden öffentliche und private Subnetze erstellt.
**So erstellen Sie eine VPC**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Verwenden Sie in der Navigationsleiste die Regionsauswahl, um eine der [AWS Regionen auszuwählen, die AWS CloudHSM derzeit unterstützt](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region) werden.
1. Wählen Sie die Schaltfläche **VPC erstellen**.
1. Wählen Sie unter **Zu erstellende Ressourcen** die Option **VPC und mehr** aus.
1. Geben Sie für **Automatische Generierung von Namenstags** einen eindeutigen Namen ein, z. B. **CloudHSM**.
1. Wählen Sie für **IPv6 CIDR-Block** den von **Amazon bereitgestellten IPv6 CIDR-Block** aus, um die IPv6 Konnektivität für Sie zu nutzen, HSMs und lassen Sie Ihrem Cluster einen IPv6 CIDR-Block AWS zuweisen. Diese Einstellung unterstützt den Dual-Stack-Netzwerktyp. Behalten Sie die Standardeinstellung bei, wenn Sie keine IPv6 Konnektivität benötigen.
1. Belassen Sie alle anderen Optionen auf ihren Standardwerten.
1. Wählen Sie **VPC erstellen** aus.
1. Nachdem die VPC erstellt wurde, wählen Sie **VPC anzeigen** aus, um die VPC anzuzeigen, die Sie gerade erstellt haben.
# Erstellen Sie einen Cluster in AWS CloudHSM
Ein Cluster ist eine Sammlung einzelner Hardware-Sicherheitsmodule (HSMs). AWS CloudHSM synchronisiert die HSMs in jedem Cluster, sodass sie als logische Einheit funktionieren. AWS CloudHSM *bietet zwei Typen von HSMs: *hsm1.medium und hsm2m.medium*.* Wenn Sie einen Cluster erstellen, wählen Sie aus, welcher der beiden in Ihrem Cluster enthalten sein soll. Einzelheiten zu den Unterschieden zwischen den einzelnen HSM-Typen und Clustermodi finden Sie unter[AWS CloudHSM Cluster-Modi](cluster-hsm-types.md).
Wenn Sie einen Cluster erstellen, AWS CloudHSM erstellt er in Ihrem Namen eine Sicherheitsgruppe für den Cluster. Diese Sicherheitsgruppe steuert den Netzwerkzugriff auf die HSMs im Cluster. Es erlaubt nur eingehende Verbindungen von Amazon Elastic Compute Cloud (Amazon EC2) -Instances, die sich in der Sicherheitsgruppe befinden. Die Sicherheitsgruppe enthält standardmäßig zunächst keine Instances. Später [starten Sie eine Client-Instance](launch-client-instance.md) und [konfigurieren die Sicherheitsgruppe des Clusters,](configure-sg.md), um die Kommunikation und Verbindungen mit dem HSM zu ermöglichen.
**Überlegungen**
+ Im Folgenden finden Sie einige Überlegungen bei der Erstellung eines Clusters in AWS CloudHSM:
+ Wenn Sie einen Cluster erstellen, AWS CloudHSM wird eine [serviceverknüpfte Rolle mit](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) dem Namen AWSService RoleForCloud HSM erstellt. Wenn die Rolle AWS CloudHSM nicht erstellt werden kann oder die Rolle noch nicht vorhanden ist, können Sie möglicherweise keinen Cluster erstellen. Weitere Informationen finden Sie unter [Behebung von Fehlern bei der AWS CloudHSM Clustererstellung](troubleshooting-create-cluster.md). Weitere Informationen zu serviceverknüpften Rollen finden Sie unter [Mit Diensten verknüpfte Rollen für AWS CloudHSM](service-linked-roles.md).
+ Wenn Sie den [AWS CloudHSM Dual-Stack-Endpunkt verwenden (d.](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) h. cloudhsmv2). **.api.aws), stellen Sie sicher, dass Ihre IAM-Richtlinien entsprechend aktualisiert wurden. IPv6 Weitere Informationen finden Sie im Abschnitt „[IAM-Richtlinien aktualisieren auf](https://docs.aws.amazon.com/cloudhsm/latest/userguide/ip-access.html)“ unter Sicherheit. IPv6
Sie können einen Cluster über die [AWS CloudHSM -Konsole](https://console.aws.amazon.com/cloudhsm/), die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) oder die AWS CloudHSM -API erstellen.
Einzelheiten zu Cluster-Argumenten und APIs finden Sie [https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)in der AWS CLI Befehlsreferenz.
------
#### [ Console ]
**Einen Cluster erstellen (Konsole)**
1. Öffnen Sie die AWS CloudHSM Konsole zu [https://console.aws.amazon.com/cloudhsm/Hause](https://console.aws.amazon.com/cloudhsm/home).
1. Verwenden Sie die Regionenauswahl in der Navigationsleiste, um eine der [AWS -Regionen auszuwählen, in denen AWS CloudHSM derzeit unterstützt wird](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region).
1. Wählen Sie **Cluster erstellen**.
1. Führen Sie im Abschnitt **Cluster-Konfiguration** Folgendes aus:
1. Wählen Sie für **VPC** die VPC, die Sie in [Erstellen Sie eine virtuelle private Cloud (VPC) für AWS CloudHSM](create-vpc.md) erstellt haben.
1. Wählen Sie für **Availability Zone(s)**, neben jeder Availability Zone, ein von Ihnen erstelltes privates Subnetz aus.
**Anmerkung**
Auch wenn dies AWS CloudHSM in einer bestimmten Availability Zone nicht unterstützt wird, sollte die Leistung nicht beeinträchtigt werden, da der Lastenausgleich für alle HSMs in einem Cluster AWS CloudHSM automatisch erfolgt. Informationen zur Availability Zone-Unterstützung für AWS CloudHSM finden *Allgemeine AWS-Referenz*Sie unter [AWS CloudHSM Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region) in der.
1. Wählen Sie als **HSM-Typ** den HSM-Typ aus, der in Ihrem Cluster erstellt werden kann, zusammen mit dem gewünschten Modus des Clusters. [Welche HSM-Typen in den einzelnen Regionen unterstützt werden, finden Sie im AWS CloudHSM Preisrechner.](https://aws.amazon.com/cloudhsm/pricing/)
**Wichtig**
Nachdem der Cluster erstellt wurde, kann der Clustermodus nicht mehr geändert werden. Informationen darüber, welcher Typ und welcher Modus für Ihren Anwendungsfall geeignet sind, finden Sie unter[AWS CloudHSM Cluster-Modi](cluster-hsm-types.md).
1. Wählen Sie unter **Netzwerktyp** die IP-Adressprotokolle für den Zugriff auf Ihr HSMs. IPv4 schränkt die Kommunikation zwischen Ihrer Anwendung und IPv4 nur HSMs auf ein. Dies ist die Standardoption. Dual-Stack ermöglicht beides IPv4 und IPv6 Kommunikation. Um Dual-Stack zu verwenden, fügen Sie sowohl als auch IPv6 CIDRs zu Ihren VPC IPv4 - und Subnetzkonfigurationen hinzu. Der Netzwerktyp lässt sich nach der Ersteinrichtung nur schwer ändern. Um ihn zu ändern, erstellen Sie eine Sicherungskopie Ihres vorhandenen Clusters und stellen Sie einen neuen Cluster mit dem gewünschten Netzwerktyp wieder her. Weitere Informationen finden Sie unter [AWS CloudHSM Cluster aus Backups erstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html)
1. Geben Sie **unter Clusterquelle** an, ob Sie einen neuen Cluster erstellen oder einen aus einer vorhandenen Sicherung wiederherstellen möchten.
+ Backups von Clustern im Nicht-FIPS-Modus können nur zur Wiederherstellung von Clustern verwendet werden, die sich im Nicht-FIPS-Modus befinden.
+ Backups von Clustern im FIPS-Modus können nur zur Wiederherstellung von Clustern verwendet werden, die sich im FIPS-Modus befinden.
1. Wählen Sie **Weiter** aus.
1. Geben Sie an, wie lange der Dienst Sicherungen aufbewahren soll.
1. Akzeptieren Sie den standardmäßigen Aufbewahrungszeitraum von 90 Tagen oder geben Sie einen neuen Wert zwischen 7 und 379 Tagen ein. Der Dienst löscht automatisch Sicherungen in diesem Cluster, die älter sind als der hier angegebene Wert. Sie können dies später ändern. Weitere Informationen finden Sie unter [Konfigurieren Sie die Aufbewahrung von Backups](manage-backup-retention.md).
1. Wählen Sie **Weiter**.
1. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wählen Sie **Tag hinzufügen**, wenn Sie mehr als ein Tag zum Cluster hinzufügen möchten.
1. Wählen Sie **Überprüfen**.
1. Überprüfen Sie Ihre Cluster-Konfiguration und wählen Sie dann **Cluster erstellen** aus.
Wenn Ihre Versuche, einen Cluster zu erstellen, fehlschlagen, kann dies auf Probleme mit den AWS CloudHSM dienstverknüpften Rollen zurückzuführen sein. Hilfe beim Beheben des Fehlers finden Sie unter [Behebung von Fehlern bei der AWS CloudHSM Clustererstellung](troubleshooting-create-cluster.md).
------
#### [ AWS CLI ]
**Erstellen eines Clusters ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ Führen Sie über die Eingabeaufforderung den folgenden **[create-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)**-Befehl aus. Geben Sie den HSM-Instanztyp, den Aufbewahrungszeitraum für Backups und das Subnetz IDs der Subnetze an, die Sie erstellen möchten. HSMs Verwenden Sie das Subnetz IDs der privaten Subnetze, die Sie erstellt haben. Geben Sie nur ein Subnetz pro Availability Zone an.
```
$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
--backup-retention-policy Type=DAYS,Value= \
--subnet-ids \
--mode \
--network-type
{
"Cluster": {
"BackupPolicy": "DEFAULT",
"BackupRetentionPolicy": {
"Type": "DAYS",
"Value": 90
},
"VpcId": "vpc-50ae0636",
"SubnetMapping": {
"us-west-2b": "subnet-49a1bc00",
"us-west-2c": "subnet-6f950334",
"us-west-2a": "subnet-fd54af9b"
},
"SecurityGroup": "sg-6cb2c216",
"HsmType": "hsm2m.medium",
"NetworkType": "IPV4",
"Certificates": {},
"State": "CREATE_IN_PROGRESS",
"Hsms": [],
"ClusterId": "cluster-igklspoyj5v",
"ClusterMode": "FIPS",
"CreateTimestamp": 1502423370.069
}
}
```
**Anmerkung**
`ClusterMode`ist ein erforderlicher Parameter für alle HSM-Typen außer hsm1.medium. `--mode`:
```
$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
--backup-retention-policy Type=DAYS,Value= \
--subnet-ids \
--mode NON_FIPS
```
Wenn Ihre Versuche, einen Cluster zu erstellen, fehlschlagen, kann dies auf Probleme mit den AWS CloudHSM dienstverknüpften Rollen zurückzuführen sein. Hilfe beim Beheben des Fehlers finden Sie unter [Behebung von Fehlern bei der AWS CloudHSM Clustererstellung](troubleshooting-create-cluster.md).
------
#### [ AWS CloudHSM API ]
**Um einen Cluster (AWS CloudHSM API) zu erstellen**
+ Senden Sie eine [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html)-Anforderung. Geben Sie den HSM-Instanztyp, die Backup-Aufbewahrungsrichtlinie und das Subnetz IDs der Subnetze an, die Sie erstellen möchten. HSMs Verwenden Sie das Subnetz IDs der privaten Subnetze, die Sie erstellt haben. Geben Sie nur ein Subnetz pro Availability Zone an.
Wenn Ihre Versuche, einen Cluster zu erstellen, fehlschlagen, kann dies auf Probleme mit den AWS CloudHSM dienstverknüpften Rollen zurückzuführen sein. Hilfe beim Beheben des Fehlers finden Sie unter [Behebung von Fehlern bei der AWS CloudHSM Clustererstellung](troubleshooting-create-cluster.md).
------
# Überprüfen Sie die Sicherheitsgruppe für Ihren Cluster in AWS CloudHSM
Wenn Sie einen Cluster erstellen oder einem Cluster ein HSM hinzufügen, AWS CloudHSM erstellt eine Sicherheitsgruppe mit dem Namen, `cloudhsm-cluster--sg` falls noch keine vorhanden ist. Diese Sicherheitsgruppe enthält eine vorkonfigurierte TCP-Regel, die eine eingehende und ausgehende Kommunikation innerhalb der Cluster-Sicherheitsgruppe über die Ports 2223-2225 zulässt. Diese SG ermöglicht es Ihren EC2-Instances, Ihre VPC für die Kommunikation HSMs in Ihrem Cluster zu verwenden.
**Warnung**
Löschen oder ändern Sie nicht die vorkonfigurierte TCP-Regel, die in der Cluster-Sicherheitsgruppe vorhanden ist. Diese Regel kann Verbindungsprobleme und unbefugten Zugriff auf Ihre verhindern. HSMs
Die Cluster-Sicherheitsgruppe verhindert unbefugten Zugriff auf Ihre HSMs. Jeder, der auf Instances in der Sicherheitsgruppe zugreifen kann, kann auf Ihre zugreifen HSMs. Die meisten Operationen erfordern, dass sich ein Benutzer am HSM anmeldet. Es ist jedoch möglich, HSMs ohne Authentifizierung auf Null zu setzen, wodurch das Schlüsselmaterial, die Zertifikate und andere Daten zerstört werden. Wenn dies geschieht, gehen alle Daten, die seit der letzten Sicherung erstellt oder geändert wurden, verloren und können nicht wiederhergestellt werden. Um den unbefugten Zugriff zu verhindern, stellen Sie sicher, dass nur vertrauenswürdige Administratoren die Instances in der Standardsicherheitsgruppe ändern oder auf sie zugreifen können.
Die hsm2m.medium-Cluster führen die mTLS-Funktion ein, mit der nicht autorisierte Benutzer daran gehindert werden, eine Verbindung zum Cluster herzustellen. Unbefugte Benutzer benötigen gültige mTLS-Anmeldeinformationen, um erfolgreich eine Verbindung zum Cluster herzustellen, bevor sie versuchen, sie auf Null zu setzen.
Im nächsten Schritt können Sie [eine Amazon EC2 EC2-Instance starten](launch-client-instance.md) und sie mit Ihrer verbinden, HSMs indem Sie ihr [die Cluster-Sicherheitsgruppe anhängen](configure-sg-client-instance.md).
# Starten Sie eine Amazon EC2 EC2-Client-Instance für die Interaktion mit AWS CloudHSM
Um mit Ihrem AWS CloudHSM Cluster und Ihren HSM-Instances zu interagieren und diese zu verwalten, müssen Sie in der Lage sein, mit den Elastic Network-Schnittstellen Ihrer HSMs zu kommunizieren. Die einfachste Möglichkeit ist die Verwendung einer EC2-Instance in derselben VPC wie Ihr Cluster. Für die Verbindung zu Ihrem Cluster können Sie auch die folgenden AWS -Ressourcen verwenden:
+ [Amazon-VPC-Peering](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html)
+ [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [VPN-Verbindungen](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
**Anmerkung**
Dieses Handbuch enthält ein vereinfachtes Beispiel dafür, wie Sie eine EC2-Instance mit Ihrem Cluster verbinden. AWS CloudHSM Bewährte Methoden rund um sichere Netzwerkkonfigurationen finden Sie [Sicherer Zugriff auf Ihren Cluster](bp-cluster-management.md#bp-secure-access) unter.
In der AWS CloudHSM Dokumentation wird normalerweise davon ausgegangen, dass Sie eine EC2-Instance in derselben VPC und Availability Zone (AZ) verwenden, in der Sie Ihren Cluster erstellen.
**So erstellen Sie eine EC2-Instance**
1. Öffnen Sie das **EC2-Dashboard unter**. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Wählen Sie **Instance starten** aus. Wählen Sie im Drop-down-Menü die Option **Instance starten** aus.
1. Geben Sie in das Feld **Name** einen Namen für Ihre EC2-Instance ein.
1. Wählen Sie im Abschnitt **Anwendungen und Betriebssystem-Images (Amazon Machine Image)** ein Amazon Machine Image (AMI), das einer von CloudHSM unterstützten Plattform entspricht. Weitere Informationen finden Sie unter [AWS CloudHSM Client SDK 5 unterstützte Plattformen](client-supported-platforms.md).
1. Wählen Sie im Bereich **Instance-Typ** einen Instance-Typ aus.
1. Verwenden Sie im Abschnitt **Schlüsselpaar** ein vorhandenes Schlüsselpaar oder wählen Sie **Neues Schlüsselpaar erstellen** aus und führen Sie die folgenden Schritte aus:
1. Geben Sie unter **Schlüsselpaarname** einen Namen für das Schlüsselpaar ein.
1. Wählen Sie für **Schlüsselpaartyp** einen Schlüsselpaartyp aus.
1. Wählen Sie unter **Dateiformat des privaten Schlüssels** das Dateiformat des privaten Schlüssels.
1. Wählen Sie **Schlüsselpaar erstellen** aus.
1. Laden Sie die private Schlüsseldatei herunter und speichern Sie sie.
**Wichtig**
Dies ist die einzige Möglichkeit, die private Schlüsseldatei zu speichern. Laden Sie die Datei herunter und speichern Sie sie an einem sicheren Ort. Sie müssen den Namen für Ihr Schlüsselpaar beim Starten einer Instance angeben. Außerdem müssen Sie jedes Mal, wenn Sie sich mit der Instance verbinden, den entsprechenden privaten Schlüssel angeben und das Schlüsselpaar wählen, das Sie bei der Einrichtung erstellt haben.
1. Wählen Sie in den **Netzwerkeinstellungen** die Option **Bearbeiten** aus.
1. Wählen Sie für **VPC** die zuvor für Ihren Cluster erstellte VPC aus.
1. Wählen Sie für **Subnetz** das für die VPC erstellte öffentliche Subnetz aus.
1. Wählen Sie für **Öffentlche IP automatisch zuweisen** **Aktivieren** aus.
1. Wählen Sie für **Auto-Assign IPv6 IP** die Option **Enable** aus, um die IPv6-Konnektivität mit Ihren Clustern und dem Dual-Stack zu nutzen. NetworkType Wenn Sie diese Option aktivieren, aktualisieren Sie die Sicherheitsgruppenregeln, die VPC- und Subnetz-Routing-Tabellen sowie das Netzwerk Ihrer Amazon EC2 EC2-Instance, ACLs um IPv6 ausgehenden Datenverkehr von der Instance zur zuzulassen. HSMs
1. Wählen Sie **Bestehende Sicherheitsgruppe auswählen** aus.
1. Wählen Sie unter **Allgemeine Sicherheitsgruppen** die Standardsicherheitsgruppe aus dem Drop-down-Menü aus.
1. Verwenden Sie unter **Speicher konfigurieren** die Drop-down-Menüs, um eine Speicherkonfiguration auszuwählen.
1. Wählen Sie im **Übersichtsfenster** die Option **Instance starten** aus.
**Anmerkung**
Wenn Sie diesen Schritt abschließen, wird der Prozess zum Erstellen Ihrer EC2 Instance gestartet.
Weitere Informationen zum Erstellen eines Linux-AmazonEC2-Clients, finden Sie unter [Erste Schritte mit Amazon EC2 Linux Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html). Informationen zum Herstellen einer Verbindung mit einem ausgeführten Client finden Sie in den folgenden Themen:
+ [Herstellen einer Verbindung mit Ihrer Linux-Instance per SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html)
+ [Herstellung einer Verbindung zu Ihrer Linux-Instance von Windows mit PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html)
Das Amazon-EC2-Benutzerhandbuch enthält detaillierte Anweisungen zum Einrichten und Verwenden Ihrer Amazon-EC2-Instances. Die folgende Liste gibt einen Überblick über die verfügbare Dokumentation für Linux- und Windows-Amazon-EC2-Clients:
+ Um einen Linux-Amazon-EC2-Client zu erstellen, lesen Sie [Erste Schritte mit Amazon-EC2-Linux-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html).
Informationen zum Herstellen einer Verbindung mit einem ausgeführten Client finden Sie in den folgenden Themen:
+ [Herstellen einer Verbindung mit Ihrer Linux-Instance per SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html)
+ [Herstellung einer Verbindung zu Ihrer Linux-Instance von Windows mit PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html)
+ Um einen Windows-Amazon-EC2-Client zu erstellen, lesen Sie [Erste Schritte mit Amazon-EC2-Windows-Instances](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html). Weitere Informationen über das Herstellen einer Verbindung mit dem Windows-Client finden Sie unter [Verbinden mit der Windows Instanz](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows).
**Anmerkung**
Ihre EC2-Instance kann alle in diesem Handbuch AWS CLI enthaltenen Befehle ausführen. Wenn die AWS CLI nicht installiert ist, können Sie sie von [AWS Command Line Interface](https://aws.amazon.com/cli/) herunterladen. Wenn Sie Windows verwenden, können Sie ein 32- oder 64-Bit-Windows-Installationsprogramm herunterladen. Wenn Sie Linux oder macOS verwenden, können Sie die CLI mit pip installieren.
# Konfigurieren Sie die Sicherheitsgruppen der Amazon EC2 EC2-Client-Instanz für AWS CloudHSM
Als Sie eine Amazon EC2 EC2-Instance für Ihren Cluster gestartet haben AWS CloudHSM, haben Sie sie mit einer standardmäßigen Amazon VPC-Sicherheitsgruppe verknüpft. In diesem Thema wird erläutert, wie Sie die Cluster-Sicherheitsgruppe der EC2-Instance zuordnen. Diese Zuordnung ermöglicht es dem AWS CloudHSM Client, der auf Ihrer EC2-Instance ausgeführt wird, mit Ihren HSMs zu kommunizieren. Um Ihre EC2-Instance mit Ihrem AWS CloudHSM Cluster zu verbinden, müssen Sie die VPC-Standardsicherheitsgruppe ordnungsgemäß konfigurieren *und* die Cluster-Sicherheitsgruppe der Instance zuordnen.
Gehen Sie wie folgt vor, um die Konfigurationsänderungen abzuschließen.
**Topics**
+ [Schritt 1. Ändern der Standardsicherheitsgruppe](#configure-sg-client-instance-modify-default-security-group)
+ [Schritt 2. Connect die Amazon EC2 EC2-Instance mit dem Cluster AWS CloudHSM](#configure-sg-client-instance-connect-the-ec2-instance-to-the-HSM-cluster)
## Schritt 1. Ändern der Standardsicherheitsgruppe
Sie müssen die Standardsicherheitsgruppe so ändern, dass diese die SSH- oder RDP-Verbindung zulässt, damit Sie Clientsoftware herunterladen und installieren und mit Ihrem HSM interagieren können.
**So ändern Sie die Standardsicherheitsgruppe:**
1. Öffnen Sie das **EC2-Dashboard** unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie **Instances (running)** aus und aktivieren Sie dann das Kontrollkästchen neben der EC2-Instance, für die Sie den AWS CloudHSM Client installieren möchten.
1. Wählen Sie auf der Registerkarte **Sicherheit** die Sicherheitsgruppe namens **Standard** aus.
1. Wählen Sie oben auf der Seite **Aktionen** und dann **Eingangsregeln bearbeiten** aus.
1. Wählen Sie **Regel hinzufügen** aus.
1. Führen Sie für **Typ** eine der folgenden Aktionen aus:
+ Für eine Windows Server Amazon-EC2-Instance wählen Sie **RDP**. Der Port `3389` wird automatisch ausgefüllt.
+ Für eine Linux Amazon-EC2-Instance wählen Sie **SSH**. Der Portbereich `22` wird automatisch ausgefüllt.
1. Setzen Sie bei einer der beiden Optionen die **Quelle** auf **Meine IP**, damit Sie mit Ihrer Amazon-EC2-Instance kommunizieren können.
**Wichtig**
Geben Sie nicht 0.0.0.0/0 als CIDR-Bereich an, um zu vermeiden, dass jemand auf Ihre Instance zugreifen kann.
1. Wählen Sie **Speichern**.
## Schritt 2. Connect die Amazon EC2 EC2-Instance mit dem Cluster AWS CloudHSM
Sie müssen die Cluster-Sicherheitsgruppe an die EC2-Instance anhängen, damit die EC2-Instance mit HSMs Ihrem Cluster kommunizieren kann. Die Cluster-Sicherheitsgruppe enthält eine vorkonfigurierte Regel, die eingehende Kommunikation über die Ports 2223-2225 zulässt.
**Um die EC2-Instance mit dem Cluster zu verbinden AWS CloudHSM**
1. Öffnen Sie das **EC2-Dashboard unter**. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Wählen Sie **Instances (running)** aus und aktivieren Sie dann das Kontrollkästchen für die EC2-Instance, auf der Sie den AWS CloudHSM Client installieren möchten.
1. Wählen Sie oben auf der Seite **Aktionen**, **Sicherheit** und dann **Sicherheitsgruppen ändern** aus.
1. Wählen Sie die Sicherheitsgruppe mit dem Gruppennamen aus, der Ihrer Cluster-ID entspricht (z. B. `cloudhsm-cluster--sg`).
1. Wählen Sie **Sicherheitsgruppen hinzufügen** aus.
1. Wählen Sie **Speichern**.
**Anmerkung**
Sie können einer Amazon-EC2-Instance maximal fünf Sicherheitsgruppen zuweisen. Wenn Sie die maximale Grenze erreicht haben, müssen Sie die Standardsicherheitsgruppe der Amazon-EC2-Instance und die Cluster-Sicherheitsgruppe ändern:
Gehen Sie in der Standardsicherheitsgruppe wie folgt vor:
Fügen Sie eine eingehende Regel hinzu, um den Datenverkehr über das TCP-Protokoll über die Ports `2223-2225` von Cluster-Sicherheitsgruppe zuzulassen.
Gehen Sie in der Cluster-Sicherheitsgruppe wie folgt vor:
Fügen Sie eine eingehende Regel hinzu, um den Datenverkehr über das TCP-Protokoll über die Ports `2223-2225` der Standardsicherheitsgruppe zuzulassen.
# Erstellen Sie ein HSM in AWS CloudHSM
Nachdem Sie einen Cluster erstellt haben AWS CloudHSM, können Sie ein Hardware-Sicherheitsmodul (HSM) erstellen. Ein HSM kann nur dann im Cluster erstellt werden, wenn sich der Cluster im nicht initialisierten Status befindet. Um den Status des Clusters zu ermitteln, rufen Sie die [Clusterseite in der AWS CloudHSM Konsole](https://console.aws.amazon.com/cloudhsm/home) auf, verwenden Sie den, AWS CLI um den **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** Befehl auszuführen, oder senden Sie eine [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Anfrage in der AWS CloudHSM API. Sie können ein HSM aus der [AWS CloudHSM -Konsole](https://console.aws.amazon.com/cloudhsm/), der [AWS CLI](https://aws.amazon.com/cli/) oder der AWS CloudHSM -API erstellen.
**Wichtig**
Erstellen Sie nur ein HSM, solange sich Ihr Cluster im uninitialisierten Zustand befindet.
------
#### [ Console ]
**Ein HSM erstellen (Konsole)**
1. [Öffnen Sie die AWS CloudHSM Konsole zu Hause. https://console.aws.amazon.com/cloudhsm/](https://console.aws.amazon.com/cloudhsm/home)
1. Aktivieren Sie das Kontrollkästchen neben dem Cluster, für den Sie ein HSM erstellen möchten.
1. Wählen Sie **Aktionen** aus. Wählen Sie aus dem Drop-down-Menü die Option **Initialisieren**.
1. Wählen Sie eine Availability Zone (AZ) für das HSM, das Sie erstellen.
1. Wählen Sie **Erstellen** aus.
Nachdem Sie einen Cluster und ein HSM erstellt haben, können Sie optional [die Identität des HSM überprüfen](verify-hsm-identity.md) oder direkt mit [Initialisieren des Clusters](initialize-cluster.md) fortfahren.
------
#### [ AWS CLI ]
**Erstellen eines HSM ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ Führen Sie über die Eingabeaufforderung den folgenden **[create-hsm](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-hsm.html)**-Befehl aus. Geben Sie die Cluster-ID des zuvor erstellten Clusters und eine Availability Zone für das HSM an. Geben Sie die Availability Zone in der Form `us-west-2a`, `us-west-2b`, usw. an.
```
$ aws cloudhsmv2 create-hsm --cluster-id --availability-zone
{
"Hsm": {
"HsmId": "hsm-ted36yp5b2x",
"EniIp": "10.0.1.12",
"EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
"AvailabilityZone": "us-west-2a",
"ClusterId": "cluster-igklspoyj5v",
"EniId": "eni-5d7ade72",
"SubnetId": "subnet-fd54af9b",
"State": "CREATE_IN_PROGRESS"
}
}
```
Nachdem Sie einen Cluster und ein HSM erstellt haben, können Sie optional [die Identität des HSM überprüfen](verify-hsm-identity.md) oder direkt mit [Initialisieren des Clusters](initialize-cluster.md) fortfahren.
------
#### [ AWS CloudHSM API ]
**Um ein HSM (AWS CloudHSM API) zu erstellen**
+ Senden Sie eine [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)-Anforderung. Geben Sie die Cluster-ID des zuvor erstellten Clusters und eine Availability Zone für das HSM an.
Nachdem Sie einen Cluster und ein HSM erstellt haben, können Sie optional [die Identität des HSM überprüfen](verify-hsm-identity.md) oder direkt mit [Initialisieren des Clusters](initialize-cluster.md) fortfahren.
------
# Überprüfen Sie die Identität und Authentizität des HSM Ihres Clusters in AWS CloudHSM (optional)
Um Ihren Cluster zu initialisieren AWS CloudHSM, signieren Sie eine Certificate Signing Request (CSR), die vom ersten Hardware-Sicherheitsmodul (HSM) des Clusters generiert wird. Bevor Sie dies tun, sollten Sie die Identität und Authentizität des HSM überprüfen.
**Anmerkung**
Dieses Verfahren ist optional. Es funktioniert jedoch nur solange, bis ein Cluster initialisiert wird. Nach der Initialisierung des Clusters können Sie diesen Prozess nicht verwenden, um die Zertifikate abzurufen oder zu überprüfen. HSMs
Um die Identität des ersten HSM Ihres Clusters zu überprüfen, führen Sie die folgenden Schritte aus:
1. [Abrufen der Zertifikate und der CSR](#get-certificates) – In diesem Schritt laden Sie drei Zertifikate und eine CSR aus dem HSM. Sie erhalten außerdem zwei Stammzertifikate, eines vom AWS CloudHSM und eines vom HSM-Hardwarehersteller.
1. [Überprüfen Sie die Zertifikatsketten](#verify-certificate-chains) — In diesem Schritt erstellen Sie zwei Zertifikatsketten, eine für das AWS CloudHSM Stammzertifikat und eine für das Stammzertifikat des Herstellers. Anschließend verifizieren Sie das HSM-Zertifikat anhand dieser Zertifikatsketten, um festzustellen, dass AWS CloudHSM sowohl das HSM-Zertifikat als auch der Hardwarehersteller die Identität und Echtheit des HSM bestätigen.
1. [Vergleichen öffentlicher Schlüssel](#compare-public-keys) – In diesem Schritt extrahieren und vergleichen Sie den öffentlichen Schlüssel im HSM-Zertifikat und die Cluster-CSR, um sicherzustellen, dass sie identisch sind. Dadurch sollten Sie das Vertrauen erhalten, dass die CSR von einem authentischen, vertrauenswürdigen HSM generiert wurde.
Das folgende Diagramm zeigt die CSR, die Zertifikate und ihre Beziehung zueinander. In der folgenden Liste sind alle Zertifikate definiert.
![\[HSM-Zertifikate und ihre Beziehungen.\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/hsm-certificate-relationships.png)
**AWS Stammzertifikat**
Das ist AWS CloudHSM das Stammzertifikat.
**Hersteller-Stammzertifikat**
Dies ist das Stammzertifikat des Hardwareherstellers.
**AWS Hardware-Zertifikat**
AWS CloudHSM hat dieses Zertifikat erstellt, als die HSM-Hardware zur Flotte hinzugefügt wurde. Dieses Zertifikat bestätigt, dass der AWS CloudHSM Eigentümer der Hardware ist.
**Hersteller-Hardwarezertifikat**
Der HSM-Hardwarehersteller hat dieses Zertifikat erstellt, als er die HSM-Hardware hergestellt hat. Dieses Zertifikat versichert, dass die Hersteller die Hardware erstellt hat.
**HSM-Zertifikat**
Das HSM-Zertifikat wird mit der FIPS-validierten Hardware erstellt, wenn Sie das erste HSM im Cluster anlegen. Dieses Zertifikat versichert, dass die HSM-Hardware das HSM erstellt hat.
**Cluster-CSR**
Das erste HSM erstellt die Cluster-CSR. Wenn Sie [die Cluster-CSR signieren](initialize-cluster.md#sign-csr), beanspruchen Sie den Cluster für sich. Anschließend können Sie die signierte CSR nutzen, um den [Cluster zu initialisieren](initialize-cluster.md#initialize).
## Schritt 1. Zertifikate aus dem HSM laden
Um die Identität und Authentizität Ihres HSM zu überprüfen, laden Sie zuerst eine CSR und fünf Zertifikate. Sie erhalten drei der Zertifikate vom HSM, was Sie mit der [AWS CloudHSM Konsole](https://console.aws.amazon.com/cloudhsm/), der [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) oder der AWS CloudHSM API tun können.
------
#### [ Console ]
**Laden der CSR und der Zertifikate (Konsole)**
1. Öffnen Sie die AWS CloudHSM Konsole zu [https://console.aws.amazon.com/cloudhsm/Hause](https://console.aws.amazon.com/cloudhsm/home).
1. Wählen Sie die Optionsschaltfläche neben der Cluster-ID mit dem HSM, das Sie überprüfen möchten.
1. Wählen Sie **Aktionen** aus. Wählen Sie aus dem Drop-down-Menü die Option **Initialisieren**.
1. Wenn Sie den [vorherigen Schritt](create-hsm.md) zur Erstellung eines HSM nicht abgeschlossen haben, wählen Sie eine Availability Zone (AZ) für das HSM, das Sie erstellen. Wählen Sie dann **Erstellen** aus.
1. Wenn die Zertifikate und die CSR bereit sind, finden Sie Links, um sie herunterzuladen.
![\[Die Seite mit der Anforderung zum Herunterladen der Zertifikatsignierung in der AWS CloudHSM Konsole.\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png)
1. Klicken Sie auf die einzelnen Links, um die CSR und Zertifikate herunterzuladen und zu speichern. Zur Vereinfachung der nachfolgenden Schritte speichern Sie alle Dateien in demselben Verzeichnis und nutzen die Standard-Dateinamen.
------
#### [ AWS CLI ]
**Abrufen der CSR und der HSM-Zertifikate ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ Führen Sie über die Eingabeaufforderung den Befehl **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** viermal aus, extrahieren Sie jedes Mal die CSR und die verschiedenen Zertifikate und speichern Sie sie in Dateien.
1. Geben Sie zum Extrahieren der Cluster-CSR den folgenden Befehl aus. **Ersetzen Sie sie durch die ID des Clusters, den Sie zuvor erstellt haben.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ClusterCsr' \
> _ClusterCsr.csr
```
1. Geben Sie zum Extrahieren des HSM-Zertifikats den folgenden Befehl aus. **Ersetzen Sie durch die ID des Clusters, den Sie zuvor erstellt haben.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.HsmCertificate' \
> _HsmCertificate.crt
```
1. Geben Sie den folgenden Befehl ein, um das AWS Hardwarezertifikat zu extrahieren. **Ersetzen Sie es durch die ID des Clusters, den Sie zuvor erstellt haben.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.AwsHardwareCertificate' \
> _AwsHardwareCertificate.crt
```
1. Geben Sie zum Extrahieren des Hardwarezertifikats des Herstellers den folgenden Befehl aus. **Ersetzen Sie durch die ID des Clusters, den Sie zuvor erstellt haben.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \
> _ManufacturerHardwareCertificate.crt
```
------
#### [ AWS CloudHSM API ]
**Um die CSR- und HSM-Zertifikate (AWS CloudHSM API) zu erhalten**
+ Senden Sie eine [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)-Anforderung und extrahieren und speichern dann die CSR und die Zertifikate aus der Antwort.
------
## Schritt 2. Die Stammzertifikate laden
Gehen Sie wie folgt vor, um die Stammzertifikate für AWS CloudHSM und den Hersteller zu erhalten. Speichern Sie die Stammzertifikatsdateien in das Verzeichnis, das die CSR und die HSM-Zertifikatsdateien enthält.
**Um die Stammzertifikate AWS CloudHSM und die Stammzertifikate des Herstellers zu erhalten**
1. Laden Sie das AWS CloudHSM Stammzertifikat herunter: [AWS\$1CloudHSM\$1Root-G1.zip](samples/AWS_CloudHSM_Root-G1.zip)
1. Laden Sie das richtige Stammzertifikat des Herstellers für Ihren HSM-Typ herunter:
+ [Stammzertifikat des Herstellers hsm1.medium: liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquid_security_certificate.zip)
+ [Stammzertifikat des Herstellers hsm2m.medium: liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquidsecurity2_ar_v1.zip)
**Anmerkung**
Verwenden Sie die folgenden Links, um jedes Zertifikat von der jeweiligen Landingpage herunterzuladen:
[Landingpage für das Stammzertifikat des Herstellers von hsm1.medium](https://www.marvell.com/products/security-solutions/liquid-security-hsm-adapters-and-appliances/liquidsecurity-certificate.html)
[Landingpage für das Herstellerstammzertifikat von hsm2m.medium](https://www.marvell.com/products/security-solutions/nitrox-hs-adapters/liquidsecurity2-certificate-ls2-g-axxx-ar-f-bo-v1.html)
Möglicherweise müssen Sie mit der rechten Maustaste auf den Link **Download Certificate (Zertifikat herunterladen)** klicken und dann **Save Link As... (Link speichern unter)** wählen, um die Zertifikatdatei zu speichern.
1. Nachdem Sie die Dateien heruntergeladen haben, extrahieren (entpacken) Sie den Inhalt.
## Schritt 3. Zertifikatketten prüfen
In diesem Schritt erstellen Sie zwei Zertifikatsketten, eine für das AWS CloudHSM Stammzertifikat und eine für das Stammzertifikat des Herstellers. Anschließend verwenden Sie OpenSSL, um das HSM-Zertifikat mit jeder Zertifikatkette zu verifizieren.
Öffnen Sie zum Erstellen der Zertifikatketten eine Linux-Shell. Sie benötigen OpenSSL (in den meisten Linux-Shells verfügbar) und Sie benötigen das [Stammzertifikat](#get-root-certificates) und die [HSM-Zertifikatsdateien](#get-certificates), die Sie heruntergeladen haben. Sie benötigen die AWS CLI für diesen Schritt jedoch nicht, und die Shell muss nicht mit Ihrem AWS Konto verknüpft werden.
**Um das HSM-Zertifikat mit dem AWS CloudHSM Stammzertifikat zu verifizieren**
1. Navigieren Sie zu dem Verzeichnis, in dem das [Stammzertifikat](#get-root-certificates) und die [HSM-Zertifikatsdateien](#get-certificates) gespeichert sind, die Sie heruntergeladen haben. Die folgenden Befehle gehen davon aus, dass sich alle Zertifikate im aktuellen Verzeichnis befinden und die Standard-Dateinamen verwendet werden.
Verwenden Sie den folgenden Befehl, um eine Zertifikatskette zu erstellen, die das AWS Hardwarezertifikat und das AWS CloudHSM Stammzertifikat in dieser Reihenfolge umfasst. **Ersetzen Sie es durch die ID des Clusters, den Sie zuvor erstellt haben.
```
$ cat _AwsHardwareCertificate.crt \
AWS_CloudHSM_Root-G1.crt \
> _AWS_chain.crt
```
1. Verwenden Sie den folgenden OpenSSL-Befehl, um das HSM-Zertifikat anhand der AWS -Zertifikatkette zu überprüfen. **Ersetzen Sie durch die ID des Clusters, den Sie zuvor erstellt haben.
```
$ openssl verify -CAfile _AWS_chain.crt _HsmCertificate.crt
_HsmCertificate.crt: OK
```
**Das HSM-Zertifikat anhand des Hersteller-Stammzertifikats überprüfen**
1. Verwenden Sie den folgenden Befehl zum Erstellen einer Zertifikatkette, die das Hersteller-Hardware-Zertifikat und das Hersteller-Stammzertifikat (in dieser Reihenfolge) enthält. **Ersetzen Sie durch die ID des Clusters, den Sie zuvor erstellt haben.
```
$ cat _ManufacturerHardwareCertificate.crt \
liquid_security_certificate.crt \
> _manufacturer_chain.crt
```
1. Verwenden Sie den folgenden Befehl, um das HSM-Zertifikat anhand der Hersteller-Zertifikatkette zu überprüfen. **Ersetzen Sie durch die ID des Clusters, den Sie zuvor erstellt haben.
```
$ openssl verify -CAfile _manufacturer_chain.crt _HsmCertificate.crt
_HsmCertificate.crt: OK
```
## Schritt 4. Extrahieren und Vergleichen der öffentlichen Schlüssel
Verwenden Sie OpenSSL, um die öffentlichen Schlüssel im HSM-Zertifikat und die Cluster-CSR zu extrahieren und zu vergleichen, um sicherzustellen, dass sie identisch sind.
Nutzen Sie zum Vergleichen der öffentlichen Schlüssel die Linux-Shell. Sie benötigen OpenSSL, das in den meisten Linux-Shells verfügbar ist, aber Sie benötigen das AWS CLI für diesen Schritt nicht. Die Shell muss nicht mit Ihrem AWS Konto verknüpft sein.
**Extrahieren und Vergleichen der öffentlichen Schlüssel**
1. Um den öffentlichen Schlüssel aus dem HSM-Zertifikat zu extrahieren, führen Sie den folgenden Befehl aus.
```
$ openssl x509 -in _HsmCertificate.crt -pubkey -noout > _HsmCertificate.pub
```
1. Um den öffentlichen Schlüssel aus der Cluster-CSR zu extrahieren, führen Sie den folgenden Befehl aus.
```
$ openssl req -in _ClusterCsr.csr -pubkey -noout > _ClusterCsr.pub
```
1. Verwenden Sie den folgenden Befehl, um die öffentlichen Schlüssel zu vergleichen. Wenn die öffentlichen Schlüssel identisch sind, erzeugt der folgende Befehl keine Ausgabe.
```
$ diff _HsmCertificate.pub _ClusterCsr.pub
```
Nach dem Überprüfen der Identität und Authentizität des HSM fahren Sie mit fort [Initialisieren des Clusters](initialize-cluster.md).
# Initialisieren Sie den Cluster in AWS CloudHSM
Nachdem Sie Ihren Cluster erstellt und Ihr Hardware-Sicherheitsmodul (HSM) hinzugefügt haben AWS CloudHSM, können Sie den Cluster initialisieren. Führen Sie die Schritte in der folgenden Themen durch, um Ihr -Cluster zu initialisieren.
**Anmerkung**
Bevor Sie den Cluster initialisieren, überprüfen Sie den Prozess, mit dem Sie die [Identität und Authentizität des Clusters überprüfen](verify-hsm-identity.md) können. HSMs Dieser Prozess ist optional und funktioniert nur, bis ein Cluster initialisiert wird. Nach der Initialisierung des Clusters können Sie diesen Prozess nicht verwenden, um Ihre Zertifikate abzurufen oder zu überprüfen. HSMs
**Topics**
+ [-Übersicht](#initialize-cluster-overview)
+ [Schritt 1. Anfordern der Cluster-CSR](#get-csr)
+ [Schritt 2. Erstellen Sie einen privaten Schlüssel für Ihre Root-CA](#sign-csr-create-key)
+ [Schritt 3. Signieren der CSR](#sign-csr)
+ [Schritt 4. Initialisieren des Clusters](#initialize)
## -Übersicht
Der Cluster-Initialisierungsprozess legt fest, dass Sie Eigentümer und Kontrolle über den Cluster haben, und zwar HSMs über ein zertifikatsbasiertes Authentifizierungssystem. Dieser Prozess beweist kryptografisch, dass Sie der alleinige Eigentümer des HSMs Clusters sind, und schafft die Vertrauensbasis, die für alle future Verbindungen zu Ihrem erforderlich ist. HSMs
Auf dieser Seite erfahren Sie, wie Sie Folgendes tun können:
+ Rufen Sie die Zertifikatsignieranforderung (CSR) Ihres Clusters ab.
+ Generieren und verwenden Sie die privaten Schlüssel, um ein selbstsigniertes Stammzertifikat oder eine Zertifikatskette zu erstellen.
+ Signieren Sie die CSR Ihres Clusters, um ein signiertes HSM-Zertifikat zu erstellen.
+ Initialisieren Sie Ihren Cluster mithilfe des signierten HSM-Zertifikats und des selbstsignierten Zertifikats oder der Zertifikatskette.
Wenn Sie bereit sind, sehen Sie sich [Schritt 1. Anfordern der Cluster-CSR](#get-csr) an.
## Schritt 1. Anfordern der Cluster-CSR
Bevor Sie den Cluster initialisieren, müssen Sie eine Zertifikatsignieranforderung (CSR, Certificate Signing Request) herunterladen und signieren, die vom ersten HSM des Clusters erstellt wurde. Wenn Sie die Schritte ausgeführt haben, um [die Identität des HSM Ihres Clusters zu überprüfen](verify-hsm-identity.md), befinden Sie sich bereits im Besitz der CSR und können sie signieren. Andernfalls rufen Sie die CSR jetzt mithilfe der [AWS CloudHSM Konsole](https://console.aws.amazon.com/cloudhsm/), der [AWS Command Line Interface (AWS CLI) oder der API](https://aws.amazon.com/cli/) ab. AWS CloudHSM
------
#### [ Console ]
**Die CSR laden (Konsole)**
1. Öffne die AWS CloudHSM Konsole zu [https://console.aws.amazon.com/cloudhsm/Hause](https://console.aws.amazon.com/cloudhsm/home).
1. Wählen Sie die Optionsschaltfläche neben der Cluster-ID mit dem HSM, das Sie überprüfen möchten.
1. Wählen Sie **Aktionen** aus. Wählen Sie aus dem Drop-down-Menü die Option **Initialisieren**.
1. Wenn Sie den [vorherigen Schritt](create-hsm.md) zur Erstellung eines HSM nicht abgeschlossen haben, wählen Sie eine Availability Zone (AZ) für das HSM, das Sie erstellen. Wählen Sie dann **Erstellen** aus.
1. Wenn der CSR bereit ist, sehen Sie einen Link, über den Sie sie herunterladen können.
![\[Laden Sie die Seite mit der Anforderung zur Zertifikatsignierung in der AWS CloudHSM Konsole herunter.\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png)
1. Wählen Sie **Cluster-CSR**, um die CSR herunterzuladen und zu speichern.
------
#### [ AWS CLI ]
**Abrufen der CSR ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ Führen Sie an der Eingabeaufforderung den folgenden **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)**-Befehl aus, der die CSR extrahiert und in einer Datei speichert. **Ersetzen Sie es durch die ID des Clusters, den Sie [zuvor erstellt haben](create-cluster.md).
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ClusterCsr' \
> _ClusterCsr.csr
```
------
#### [ AWS CloudHSM API ]
**Um die CSR (AWS CloudHSM API) zu erhalten**
1. Senden Sie eine [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)-Anforderung.
1. Extrahieren und speichern Sie die CSR aus der Antwort.
------
## Schritt 2. Erstellen Sie einen privaten Schlüssel für Ihre Root-CA
**Anmerkung**
Für einen Produktionscluster sollte der Schlüssel, den Sie erstellen wollen, auf sichere Weise mit einer vertrauenswürdigen Zufallsquelle erstellt werden. Wir empfehlen, dass Sie ein sicheres standortexternes und Offline-HSM oder etwas Äquivalentes verwenden. Speichern Sie den Schlüssel sicher. Der Schlüssel legt die Identität des Clusters und Ihre alleinige Kontrolle über die HSMs darin enthaltenen Elemente fest.
Für die Entwicklung und für Tests können Sie ein beliebiges Tool (z. B. OpenSSL) verwenden, um das Cluster-Zertifikat zu erstellen und zu signieren. Im folgenden Beispiel wird gezeigt, wie Sie einen Schlüssel erstellen. Nachdem Sie den Schlüssel verwendet haben, um ein selbstsigniertes Zertifikat zu erstellen (siehe unten), sollten Sie ihn sicher speichern. Um sich bei Ihrer AWS CloudHSM Instance anzumelden, muss das Zertifikat vorhanden sein, der private Schlüssel jedoch nicht.
In der folgenden Tabelle sind die unterstützten Algorithmen, Schlüsselgrößen und Kurven für die Zertifikatsgenerierung aufgeführt.
| Algorithmen | Größe/Kurven |
| --- | --- |
| **RSA 5. PKCSv1** | 2048, 3072, 4096 |
| **RSA-PSS** | 2048, 3072, 4096 |
| **ECDSA** | prime256v1, secp384r1, secp521r1 |
| **Digest** | SHA-224, SHA-256, SHA-384 und SHA-512 |
Verwenden Sie den folgenden Beispielbefehl, um einen privaten Schlüssel für Ihre selbstsignierte Root-CA zu erstellen.
```
$ openssl genrsa -aes256 -out customerRootCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerRootCA.key:
Verifying - Enter pass phrase for customerRootCA.key:
```
## Schritt 3. Signieren der CSR
In den vorherigen Schritten haben Sie die CSR Ihres Clusters abgerufen und einen privaten Schlüssel für Ihre Stammzertifizierungsstelle erstellt. In diesem Schritt verwenden Sie Ihren privaten Schlüssel, um ein Signaturzertifikat zu generieren, mit dem Sie die CSR Ihres Clusters signieren können. Die folgenden Themen führen Sie durch den Prozess der Erstellung eines einzelnen selbstsignierten Zertifikats oder einer Zertifikatskette mit OpenSSL. Sie benötigen das AWS CLI für diesen Schritt nicht, und die Shell muss nicht mit Ihrem AWS Konto verknüpft werden.
**Wichtig**
Um Ihren Cluster zu initialisieren, muss Ihr Trust Anchor [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) entsprechen und die folgenden Anforderungen erfüllen:
Wenn Sie X509v3-Erweiterungen verwenden, muss die X509v3-Erweiterung Basic Constraints vorhanden sein.
Der Trust Anchor muss ein selbstsigniertes Zertifikat sein.
Erweiterungswerte dürfen nicht miteinander in Konflikt stehen.
Wählen Sie eine der folgenden Methoden, um die CSR Ihres Clusters zu signieren:
### Wählen Sie Ihren Zertifikatsansatz
Sie müssen einen der folgenden beiden Ansätze wählen. Schließen Sie nicht beide Ansätze ab.
**Option A: Einzelnes selbstsigniertes Zertifikat**
Erstellen Sie ein einzelnes selbstsigniertes Stammzertifikat, um die CSR Ihres Clusters zu signieren. Dies ist die einfachste und direkteste Methode, um Vertrauen aufzubauen.
**Empfohlen für:**
+ Umgebungen, in denen keine externe PKI erforderlich ist
+ Test- und Entwicklungsumgebungen, in denen Einfachheit bevorzugt wird
Gehe zu: [Erstellen Sie ein einzelnes selbstsigniertes Zertifikat](#self-signed-certificate)
**Option B: Zertifikatskette mit zwischengeschalteter CA**
Erstellen Sie eine Zertifikatskette mithilfe einer Zwischenzertifizierungsstelle. Eine Zwischenzertifikatskette bietet mehr Sicherheit, Skalierbarkeit und Flexibilität, da Stammzertifizierungsstellen (CAs) offline bleiben können, während die Zertifikatsausstellung an eine Zwischenzertifizierungsstelle delegiert wird CAs, wodurch das Risiko einer Beeinträchtigung der Stammzertifizierungsstelle verringert wird.
**Empfohlen für:**
+ Umgebungen, in denen eine externe PKI erforderlich ist
+ Integration mit AWS Private Certificate Authority (PCA)
**Beispiel für eine AWS PCA-Integration:** Sie können AWS Private Certificate Authority verwenden, um Ihre CA-Zwischenzertifikate zu erstellen und zu verwalten. Dies ermöglicht ein automatisiertes Lebenszyklusmanagement von Zertifikaten, einschließlich Verlängerung und Widerruf, und bietet gleichzeitig die Sicherheitsvorteile, die sich aus dem Offline-Betrieb Ihrer Stammzertifizierungsstelle ergeben. Weitere Informationen zu AWS PCA finden Sie im [AWS Private Certificate Authority User Guide](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).
Gehen Sie zu: [Erstellen Sie eine ICA-Kette (Intermediate Certificate Authority)](#certificate-chain)
### Erstellen Sie ein einzelnes selbstsigniertes Zertifikat
Die vertrauenswürdige Hardware, die Sie verwenden, um den privaten Schlüssel für Ihre Produktions-Cluster zu erstellen, sollte auch ein Software-Tool bereitstellen, um unter Verwendung dieses Schlüssels ein selbstsigniertes Zertifikat zu generieren. Das folgende Beispiel verwendet OpenSSL und den privaten Schlüssel, den Sie im vorherigen Schritt erstellt haben, um ein selbstsigniertes Root-CA-Signaturzertifikat zu erstellen. Das Zertifikat gilt für 10 Jahre (3652 Tage). Lesen Sie die Anweisungen auf dem Bildschirm und befolgen Sie die Eingabeaufforderungen.
```
$ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt
Enter pass phrase for customerRootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```
Mit diesem Befehl wird ein Zertifikat mit dem Namen `customerRootCA.crt` erstellt. Legen Sie dieses Zertifikat auf jedem Host ab, von dem aus Sie eine Verbindung zu Ihrem AWS CloudHSM Cluster herstellen möchten. Wenn Sie der Datei einen anderen Namen geben oder unter einem anderen Pfad als dem Root-Verzeichnis speichern, müssen Sie Ihre Client-Konfigurationsdatei entsprechend anpassen. Verwenden Sie das Zertifikat und den privaten Schlüssel, die Sie gerade erstellt haben, um die Cluster-Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) im nächsten Schritt zu signieren.
#### Signieren Sie die Cluster-CSR mit Ihrer selbstsignierten Root-CA
Die vertrauenswürdige Hardware, die Sie verwenden, um Ihren privaten Schlüssel für Ihre Produktions-Cluster zu erstellen, sollte auch ein Tool bereitstellen, um die CSR mit diesem Schlüssel zu signieren. In dem folgenden Beispiel wird OpenSSL zum Signieren der Cluster-CSR verwendet. Der folgende Beispielbefehl signiert die CSR mit der selbstsignierten `customerRootCA.crt`
```
$ openssl x509 -req -days 3652 -in _ClusterCsr.csr \
-CA .crt \
-CAkey .key \
-CAcreateserial \
-out _CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM::PARTN:, for FIPS mode
Getting CA Private Key
Enter pass phrase for .key:
```
Mit diesem Befehl wird eine Datei mit dem Namen `_CustomerHsmCertificate.crt` erstellt. Verwenden Sie diese Datei als signiertes Zertifikat, wenn Sie den Cluster initialisieren.
Überprüfen Sie das signierte Zertifikat anhand der Stammzertifizierungsstelle (optional):
```
$ openssl verify -purpose sslserver -CAfile customerRootCA.crt _CustomerHsmCertificate.crt
_CustomerHsmCertificate.crt: OK
```
Nachdem Sie das signierte HSM-Zertifikat mit Ihrer selbstsignierten Root-CA erstellt haben, gehen Sie zu. [Schritt 4. Initialisieren des Clusters](#initialize)
### Erstellen Sie eine ICA-Kette (Intermediate Certificate Authority)
Die folgenden Beispiele führen Sie durch die Erstellung einer Zertifikatskette der Länge 2, bestehend aus einer Stammzertifizierungsstelle (CA) und einer Zwischenzertifizierungsstelle. Sie erstellen zunächst ein selbstsigniertes Stammzertifizierungsstellenzertifikat und dann eine Zwischenzertifizierungsstelle, die von der Stammzertifizierungsstelle signiert ist. Schließlich verwenden Sie die Zwischenzertifizierungsstelle, um die CSR Ihres Clusters zu signieren und so eine vollständige Vertrauenskette von Ihrem HSM-Zertifikat zurück zur Stammzertifizierungsstelle zu erstellen. Dieser Ansatz bietet mehr Sicherheit, da die Stammzertifizierungsstelle offline bleibt, während die Zwischenzertifizierungsstelle für day-to-day Zertifikatsoperationen verwendet wird.
**Wichtig**
Um Ihren Cluster mit einer Zertifikatskette zu initialisieren, muss Ihre Kette die folgenden Anforderungen erfüllen:
Die Kette muss geordnet werden, beginnend mit der Zwischenzertifizierungsstelle, die die Cluster-CSR signiert. In dieser Reihenfolge sollte die erste ICA einen Emittenten haben, der dem Betreff der nächsten ICA in der Kette entspricht, usw.
Nur die Stammzertifizierungsstelle sollte selbstsigniert sein, was bedeutet, dass Emittent und Betreff identisch sein sollten.
Die Kette darf aus nicht mehr als 4 Zertifikaten bestehen (einschließlich der Root-CA am Ende), und die Gesamtgröße der Kette darf 16 KB (Kilobyte) nicht überschreiten.
Alle Zertifizierungsstellen (CAs) sollten den [RFC](https://datatracker.ietf.org/doc/html/rfc5280) 5280-Richtlinien entsprechen.
Dieser Abschnitt enthält Beispiele für die Erstellung einer zwischengeschalteten Zertifizierungsstellenkette mit zwei verschiedenen Ansätzen: OpenSSL für die lokale Zertifikatsgenerierung und AWS Private Certificate Authority (PCA) für verwaltete Zertifikatsdienste. Wählen Sie den Ansatz, der am besten zu Ihrer Umgebung und Ihren Sicherheitsanforderungen passt.
**Anmerkung**
Die folgenden Beispiele sind allgemeine Anwendungsfälle und sind beide vereinfacht, wobei die einfachste Konfiguration verwendet wird. Sehen Sie sich für Produktionsumgebungen die zusätzlichen Konfigurationsoptionen und Sicherheitsanforderungen an, die für Ihren Anwendungsfall spezifisch sind.
------
#### [ OpenSSL ]
Erstellen Sie eine OpenSSL-Konfigurationsdatei mit gängigen v3-Erweiterungen für CA:
```
$ cat > ca-extensions.conf < chainCA.crt
-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----
```
Signieren Sie die Cluster-CSR mit Ihrer Zwischen-CA:
```
$ openssl x509 -req -days 3652 -in _ClusterCsr.csr \
-CA intermediateCA.crt \
-CAkey intermediateCA.key \
-CAcreateserial \
-out _CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM::PARTN:, for FIPS mode
Getting CA Private Key
Enter pass phrase for intermediateCA.key:
```
------
#### [ AWS PCA ]
Erstellen und aktivieren Sie eine Root-CA mit AWS Private Certificate Authority:
```
$ # 1. Create Root CA
aws acm-pca create-certificate-authority \
--certificate-authority-configuration \
"KeyAlgorithm=RSA_4096,
SigningAlgorithm=SHA256WITHRSA,
Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=RootCA}" \
--certificate-authority-type ROOT
# Store the Root CA Authority ARN from the previous output
ROOT_CA_AUTHORITY_ARN="arn:aws:acm-pca:::certificate-authority/"
# 2. Generate Root CA CSR
aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--output text > customerRootCA.csr
# 3. Self-sign Root CA Certificate
aws acm-pca issue-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--csr fileb://customerRootCA.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3652,Type=DAYS
# Store the Root CA certificate ARN from the previous output
ROOT_CA_ARN="arn:aws:acm-pca:::certificate-authority//certificate/"
# 4. Retrieve the Root CA certificate
aws acm-pca get-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--certificate-arn $ROOT_CA_ARN \
--output text > customerRootCA.crt
# 5. Import the Root CA Certificate
aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--certificate fileb://customerRootCA.crt
```
Erstellen und aktivieren Sie eine untergeordnete Zertifizierungsstelle (auch als Zwischenzertifizierungsstelle bezeichnet):
```
$ # 6. Create Subordinate CA
aws acm-pca create-certificate-authority \
--certificate-authority-configuration \
"KeyAlgorithm=RSA_4096,
SigningAlgorithm=SHA256WITHRSA,
Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=SubordinateCA}" \
--certificate-authority-type SUBORDINATE
# Store the Subordinate CA Authority ARN from the previous output
SUB_CA_AUTHORITY_ARN="arn:aws:acm-pca:::certificate-authority/"
# 7. Generate Subordinate CA CSR
aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
--output text > intermediateCA.csr
# 8. Issue Subordinate CA Certificate using Root CA
aws acm-pca issue-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--csr fileb://intermediateCA.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 \
--validity Value=3651,Type=DAYS
# Store the Subordinate CA certificate ARN from the previous output
SUB_CA_ARN="arn:aws:acm-pca:::certificate-authority/"
# 9. Retrieve Subordinate CA Certificate
aws acm-pca get-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--certificate-arn $SUB_CA_ARN \
--query 'Certificate' \
--output text > intermediateCA.crt
# 10. Import the Subordinate CA Certificate
aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
--certificate fileb://intermediateCA.crt \
--certificate-chain fileb://customerRootCA.crt
```
Kombinieren Sie die Zertifikate zu einer Kettendatei:
```
$ cat intermediateCA.crt customerRootCA.crt > chainCA.crt
-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----
```
Signieren Sie die Cluster-CSR mit AWS PCA:
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
--csr fileb://_ClusterCsr.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/EndEntityCertificate/V1 \
--validity Value=3650,Type=DAYS
# Store your cluster's cert ARN from the previous output
CLUSTER_CERT_ARN="arn:aws:acm-pca:::certificate-authority/"
```
Laden Sie das signierte Cluster-Zertifikat herunter:
```
$ aws acm-pca get-certificate \
--certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
--certificate-arn $CLUSTER_CERT_ARN \
--output text --query Certificate > _CustomerHsmCertificate.crt
```
------
Mit diesem Befehl wird eine Datei mit dem Namen `_CustomerHsmCertificate.crt` erstellt. Verwenden Sie diese Datei als signiertes Zertifikat, wenn Sie den Cluster initialisieren.
Überprüfen Sie das signierte Zertifikat anhand der Zertifikatskette (optional):
```
$ openssl verify -purpose sslserver -CAfile chainCA.crt _CustomerHsmCertificate.crt
_CustomerHsmCertificate.crt: OK
```
Nachdem Sie das signierte HSM-Zertifikat mit Ihrer Zwischenzertifizierungsstelle erstellt haben, gehen Sie zu[Schritt 4. Initialisieren des Clusters](#initialize).
## Schritt 4. Initialisieren des Clusters
Verwenden Sie das signierte HSM-Zertifikat und Ihr Signaturzertifikat, um den Cluster zu initialisieren. Sie können die [AWS CloudHSM Konsole [AWS CLI](https://aws.amazon.com/cli/)](https://console.aws.amazon.com/cloudhsm/), die oder die AWS CloudHSM API verwenden.
------
#### [ Console ]
**Initialisieren eines Clusters (Konsole)**
1. Öffnen Sie die AWS CloudHSM Konsole zu [https://console.aws.amazon.com/cloudhsm/Hause](https://console.aws.amazon.com/cloudhsm/home).
1. Wählen Sie die Optionsschaltfläche neben der Cluster-ID mit dem HSM, das Sie überprüfen möchten.
1. Wählen Sie **Aktionen** aus. Wählen Sie aus dem Drop-down-Menü die Option **Initialisieren**.
1. Wenn Sie den [vorherigen Schritt](create-hsm.md) zur Erstellung eines HSM nicht abgeschlossen haben, wählen Sie eine Availability Zone (AZ) für das HSM, das Sie erstellen. Wählen Sie dann **Erstellen** aus.
1. Wählen Sie auf der Seite **Herunterladen der Zertifikat-Signierungsanforderung** **Weiter** aus. Wenn die Schaltfläche **Weiter** nicht verfügbar ist, wählen Sie zuerst einen der CSR- oder Zertifikat-Links. Wählen Sie anschließend **Weiter**.
1. Wählen Sie auf der Seite **Zertifikatsignierungsanforderung (CSR) signieren** **Weiter**.
1. Gehen Sie auf der Seite **Die Zertifikate hochladen** wie folgt vor:
1. Wählen Sie neben **Cluster-Zertifikat** **Datei hochladen**. Suchen Sie anschließend das HSM-Zertifikat, das Sie zuvor signiert haben, und wählen Sie es aus. Wenn Sie die Schritte im vorigen Abschnitt ausgeführt haben, wählen Sie die Datei `_CustomerHsmCertificate.crt`.
1. Wählen Sie neben **Zertifikat ausstellen** **Datei hochladen**. Wählen Sie dann Ihr Signaturzertifikat auf der Grundlage des von Ihnen gewählten Ansatzes aus:
+ **Wenn Sie Option A (einzelnes selbstsigniertes Zertifikat) gewählt haben:** Wählen Sie die Datei mit dem Namen `.crt`
+ **Wenn Sie Option B (Zertifikatskette) gewählt haben:** Wählen Sie die Datei mit dem Namen aus `.crt`
1. Wählen Sie **Hochladen und initialisieren**.
------
#### [ AWS CLI ]
**So initialisieren Sie einen Cluster ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ Führen Sie über die Eingabeaufforderung den folgenden **[initialize-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/initialize-cluster.html)**-Befehl aus. Stellen Sie Folgendes bereit:
+ Die ID des Clusters, den Sie zuvor erstellt haben.
+ Das HSM-Zertifikat, das Sie zuvor signiert haben. Wenn Sie die Schritte im vorigen Abschnitt ausgeführt haben, wurde es in der Datei `_CustomerHsmCertificate.crt` gespeichert.
+ Ihr Signaturzertifikat basiert auf dem von Ihnen gewählten Ansatz:
+ **Wenn Sie Option A (einzelnes selbstsigniertes Zertifikat) gewählt haben:** Verwenden Sie die Datei mit dem Namen `.crt`
+ **Wenn Sie Option B (Zertifikatskette) gewählt haben:** Verwenden Sie die Datei mit dem Namen `.crt`
```
$ aws cloudhsmv2 initialize-cluster --cluster-id \
--signed-cert file://_CustomerHsmCertificate.crt \
--trust-anchor file://
{
"State": "INITIALIZE_IN_PROGRESS",
"StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
}
```
------
#### [ AWS CloudHSM API ]
**Um einen Cluster (AWS CloudHSM API) zu initialisieren**
+ Senden Sie eine [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_InitializeCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_InitializeCluster.html)-Anforderung mit folgendem Inhalt:
+ Die ID des Clusters, den Sie zuvor erstellt haben.
+ Das HSM-Zertifikat, das Sie zuvor signiert haben. Wenn Sie die Schritte im vorigen Abschnitt ausgeführt haben, wurde es in der Datei `_CustomerHsmCertificate.crt` gespeichert.
+ Ihr Signaturzertifikat basiert auf dem von Ihnen gewählten Ansatz:
+ **Wenn Sie Option A (einzelnes selbstsigniertes Zertifikat) gewählt haben:** Verwenden Sie die Datei mit dem Namen `.crt`
+ **Wenn Sie Option B (Zertifikatskette) gewählt haben:** Verwenden Sie die Datei mit dem Namen `.crt`
------
# CloudHSM-CLI installieren und konfigurieren
Um mit dem HSM in Ihrem AWS CloudHSM Cluster zu interagieren, benötigen Sie die CloudHSM-CLI.
Connect zu Ihrer Client-Instance her und führen Sie die folgenden Befehle aus, um die AWS CloudHSM Befehlszeilentools herunterzuladen und zu installieren. Weitere Informationen finden Sie unter [Starten Sie eine Amazon EC2 EC2-Client-Instance für die Interaktion mit AWS CloudHSM](launch-client-instance.md).
------
#### [ Amazon Linux 2023 ]
Amazon Linux 2023 auf x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.amzn2023.x86_64.rpm
```
Amazon Linux 2023 zur ARM64 Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.amzn2023.aarch64.rpm
```
------
#### [ Amazon Linux 2 ]
Amazon Linux 2 auf x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el7.x86_64.rpm
```
Amazon Linux 2 zur ARM64 Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el7.aarch64.rpm
```
------
#### [ RHEL 10 (10.0\$1) ]
RHEL 10 auf der x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el10.x86_64.rpm
```
RHEL 10 zur Architektur: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el10.aarch64.rpm
```
------
#### [ RHEL 9 (9.2\$1) ]
RHEL 9 auf der x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el9.x86_64.rpm
```
RHEL 9 zur Architektur: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el9.aarch64.rpm
```
------
#### [ RHEL 8 (8.3\$1) ]
RHEL 8 auf x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el8.x86_64.rpm
```
RHEL 8 zur ARM64 Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el8.aarch64.rpm
```
------
#### [ Ubuntu 24.04 LTS ]
Ubuntu 24.04 LTS auf der x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_amd64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u24.04_amd64.deb
```
Ubuntu 24.04 LTS zur Architektur: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_arm64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u24.04_arm64.deb
```
------
#### [ Ubuntu 22.04 LTS ]
Ubuntu 22.04 LTS auf der x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_amd64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u22.04_amd64.deb
```
Ubuntu 22.04 LTS zur Architektur: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_arm64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u22.04_arm64.deb
```
------
#### [ Windows Server 2022 ]
Öffnen Sie Windows Server 2022 auf einer x86\$164-Architektur PowerShell als Administrator und führen Sie den folgenden Befehl aus:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
#### [ Windows Server 2019 ]
Öffnen Sie Windows Server 2019 auf einer x86\$164-Architektur PowerShell als Administrator und führen Sie den folgenden Befehl aus:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
#### [ Windows Server 2016 ]
Öffnen Sie Windows Server 2016 auf einer x86\$164-Architektur PowerShell als Administrator und führen Sie den folgenden Befehl aus:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
Verwenden Sie die folgenden Befehle, um CloudHSM-CLI zu konfigurieren.
**Um eine EC2 Linux-Instanz für Client SDK 5 zu booten**
+ Verwenden Sie das Configure-Tool, um die IP-Adresse der HSM(s) in Ihrem Cluster anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-cli -a
```
**Um eine EC2 Windows-Instanz für das Client SDK 5 zu booten**
+ Verwenden Sie das Configure-Tool, um die IP-Adresse der HSM(s) in Ihrem Cluster anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a
```
# Aktiviere den Cluster in AWS CloudHSM
Wenn Sie einen AWS CloudHSM Cluster aktivieren, ändert sich der Status des Clusters von initialisiert zu aktiv. Sie können dann die [Benutzer des Hardware-Sicherheitsmoduls (HSM) verwalten](manage-hsm-users.md) und [das HSM verwenden](use-hsm.md).
**Wichtig**
Bevor Sie den Cluster aktivieren können, müssen Sie zunächst das ausstellende Zertifikat auf jeder EC2 Instance, die eine Verbindung zum Cluster herstellt, in den Standardspeicherort für die Plattform kopieren (Sie erstellen das ausstellende Zertifikat, wenn Sie den Cluster initialisieren). Verwenden Sie die entsprechende Zertifikatsdatei, die auf dem Ansatz basiert, den Sie bei der Cluster-Initialisierung gewählt haben:
**Wenn Sie Option A (einzelnes selbstsigniertes Zertifikat) gewählt** haben: Kopieren `customerRootCA.crt`
**Wenn Sie Option B (Zertifikatskette) gewählt haben: Kopieren** `chainCA.crt`
**Linux-Speicherort:**
```
/opt/cloudhsm/etc/
```
**Windows-Standort:**
```
C:\ProgramData\Amazon\CloudHSM\
```
Nachdem Sie die Zertifikatsdatei kopiert haben, bearbeiten Sie die `/opt/cloudhsm/etc/cloudhsm-cli.cfg` Datei, um sicherzustellen, dass der Name der Zertifikatsdatei mit dem Namen des CA-Zertifikats übereinstimmt, das Sie kopiert haben.
Nachdem Sie das ausstellende Zertifikat platziert haben, installieren Sie die CloudHSM-CLI und führen Sie den [**cluster activate**](cloudhsm_cli-cluster-activate.md)-Befehl auf Ihrem ersten HSM aus. Sie werden feststellen, dass das Administratorkonto auf dem ersten HSM in Ihrem Cluster die Rolle [unactivated-admin](understanding-users.md) hat. Dies ist eine temporäre Rolle, die nur vor der Clusteraktivierung existiert. Wenn Sie Ihren Cluster aktivieren, ändert sich die Rolle „unactivated-admin“ in „admin“.
**Aktivieren eines Clusters**
1. Stellen Sie eine Verbindung zu der Client-Instance her, die Sie zuvor gestartet haben. Weitere Informationen finden Sie unter [Starten Sie eine Amazon EC2 EC2-Client-Instance für die Interaktion mit AWS CloudHSM](launch-client-instance.md). Sie können eine Linux-Instance oder Windows Server starten.
1. Führen Sie die CloudHSM-CLI im interaktiven Modus aus.
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. (Optional) Verwenden Sie den Befehl **user list**, um die vorhandenen Benutzer anzuzeigen.
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "unactivated-admin",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
}
]
}
}
```
1. Verwenden Sie den **cluster activate**-Befehl, um das anfängliche Admin-Passwort festzulegen.
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
Wir empfehlen, das neue Passwort auf einem Passwort-Arbeitsblatt zu notieren. Verlieren Sie das Arbeitsblatt nicht. Wir empfehlen, eine Kopie des Passwort-Arbeitsblatts auszudrucken, Ihre wichtigen HSM-Passwörter darauf zu notieren und die Kopie anschließend an einem sicheren Ort abzulegen. Wir empfehlen, mindestens eine Kopie dieses Arbeitsblatts an einem sicheren Ort außerhalb des Standorts aufzubewahren.
1. (Optional) Verwenden Sie den Befehl **user list**, um sicherzustellen, dass sich der Typ des Benutzers in [Admin/CO](understanding-users-cmu.md#crypto-officer) geändert hat.
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
}
]
}
}
```
1. Verwenden Sie den **quit**-Befehl, um das CloudHSM-CLI-Tool zu stoppen.
```
aws-cloudhsm > quit
```
Weitere Informationen zur Arbeit mit der CloudHSM-CLI oder der CMU finden Sie unter [Grundlegendes zu HSM-Benutzern](understanding-users.md) und [Grundlegendes zur HSM-Benutzerverwaltung mit CMU.](understand-users.md)
# Richten Sie gegenseitiges TLS zwischen Client und AWS CloudHSM (empfohlen) ein
In den folgenden Themen werden die Schritte beschrieben, die Sie ausführen müssen, um die gegenseitige Transport Layer Security (mTLS) zwischen Client und zu aktivieren. AWS CloudHSM
**Überlegungen**
+ Derzeit ist diese Funktion ausschließlich auf hsm2m.medium verfügbar. Weitere Informationen zum HSM-Typ finden Sie unter. [AWS CloudHSM Cluster-Modi](cluster-hsm-types.md)
+ mTLS wird für AWS CloudHSM Schlüsselspeicher, die mit verwendet werden, nicht unterstützt. AWS Key Management Service
**Topics**
+ [Schritt 1. Erstellen und registrieren Sie einen Vertrauensanker auf dem HSM](#setup-mtls-create-and-register-trust-anchor)
+ [Schritt 2. Aktivieren Sie mTLS für AWS CloudHSM](#getting-start-setup-mtl-sdk)
+ [Schritt 3. Stellen Sie die mTLS-Durchsetzung ein für AWS CloudHSM](#getting-start-setup-mtls-enforcement)
## Schritt 1. Erstellen und registrieren Sie einen Vertrauensanker auf dem HSM
Vor der Aktivierung von mTLS muss ein Vertrauensanker erstellt und auf dem HSM registriert werden. Dies ist ein zweistufiger Prozess:
**Topics**
+ [Erstellen Sie einen privaten Schlüssel und ein selbstsigniertes Stammzertifikat](#setup-mtls-create-trust-anchor)
+ [Registrieren Sie den Vertrauensanker auf dem HSM](#setup-mtls-register-trust-anchor)
### Erstellen Sie einen privaten Schlüssel und ein selbstsigniertes Stammzertifikat
**Anmerkung**
Für einen Produktionscluster sollte der Schlüssel, den Sie erstellen wollen, auf sichere Weise mit einer vertrauenswürdigen Zufallsquelle erstellt werden. Wir empfehlen, dass Sie ein sicheres standortexternes und Offline-HSM oder etwas Äquivalentes verwenden. Speichern Sie den Schlüssel sicher.
Für die Entwicklung und das Testen können Sie jedes praktische Tool (wie OpenSSL) verwenden, um den Schlüssel zu erstellen und ein Stammzertifikat selbst zu signieren. Sie benötigen den Schlüssel und das Stammzertifikat, um das Client-Zertifikat in der Datei [enable mTLS](#getting-start-setup-mtl-sdk) for zu signieren. AWS CloudHSM
Die folgenden Beispiele zeigen, wie Sie mit [OpenSSL](https://www.openssl.org/) einen privaten Schlüssel und ein selbstsigniertes Stammzertifikat erstellen.
**Example – Erstellen eines privaten Schlüssels mit OpenSSL**
Verwenden Sie den folgenden Befehl, um einen 4096-Bit-RSA-Schlüssel zu erstellen, der mit dem AES-256-Algorithmus verschlüsselt ist. Um dieses Beispiel zu verwenden, ** ersetzen Sie es durch den Namen der Datei, in der Sie den Schlüssel speichern möchten.
```
$ openssl genrsa -out -aes256 4096
Generating RSA private key, 4096 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase for mtls_ca_root_1.key:
Verifying - Enter pass phrase for mtls_ca_root_1.key:
```
**Example — Erstellen Sie ein selbstsigniertes Root-Zertifikat mit OpenSSL**
Verwenden Sie den folgenden Befehl, um ein selbstsigniertes Stammzertifikat zu erstellen, das nach `mtls_ca_root_1.crt` dem privaten Schlüssel benannt ist, den Sie gerade erstellt haben. Das Zertifikat ist 25 Jahre (9130 Tage) gültig. Lesen Sie die Anweisungen auf dem Bildschirm und befolgen Sie die Eingabeaufforderungen.
```
$ openssl req -new -x509 -days 9130 -key mtls_ca_root_1.key -out mtls_ca_root_1.crt
Enter pass phrase for mtls_ca_root_1.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```
### Registrieren Sie den Vertrauensanker auf dem HSM
Nach der Erstellung eines selbstsignierten Stammzertifikats muss der Administrator es als Vertrauensanker im Cluster registrieren. AWS CloudHSM
**Um einen Vertrauensanker beim HSM zu registrieren**
1. Verwenden Sie den folgenden Befehl, um die CloudHSM-CLI zu starten:
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. Melden Sie sich mit der CloudHSM-CLI als Administrator an.
```
aws-cloudhsm > login --username --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "",
"role": "admin"
}
}
```
1. Verwenden Sie den ** [Registrieren Sie einen Vertrauensanker mit CloudHSM CLI](cloudhsm_cli-cluster-mtls-register-trust-anchor.md) ** Befehl, um den Vertrauensanker zu registrieren. Weitere Informationen finden Sie im folgenden Beispiel. Alternativ können Sie auch den Befehl **help cluster mtls register-trust-anchor** ausführen.
**Example — Registriert einen Vertrauensanker beim AWS CloudHSM Cluster**
Das folgende Beispiel zeigt, wie der **cluster mtls register-trust-anchor** Befehl in der CloudHSM-CLI verwendet wird, um einen Vertrauensanker auf dem HSM zu registrieren. Der Admin muss bei dem HSM angemeldet sein, um diesen Befehl zu verwenden. Ersetzen Sie diese Werte durch Ihre eigenen Werte:
```
aws-cloudhsm > cluster mtls register-trust-anchor --path
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
AWS CloudHSM unterstützt die Registrierung von Zwischenzertifikaten als Vertrauensanker. In solchen Fällen muss die gesamte PEM-kodierte Zertifikatskettendatei im HSM registriert werden, wobei die Zertifikate in hierarchischer Reihenfolge angeordnet sind.
AWS CloudHSM unterstützt eine Zertifikatskette von 6980 Byte.
Nachdem Sie den Vertrauensanker erfolgreich registriert haben, können Sie den **cluster mtls list-trust-anchors** Befehl ausführen, um die aktuell registrierten Vertrauensanker zu überprüfen, wie unten gezeigt:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
Die maximale Anzahl von Vertrauensankern, die auf hsm2m.medium registriert werden können, beträgt zwei (2).
## Schritt 2. Aktivieren Sie mTLS für AWS CloudHSM
Um die mTLs für zu aktivieren AWS CloudHSM, müssen Sie einen privaten Schlüssel und ein Client-Zertifikat erstellen, das mit dem Stammzertifikat signiert ist, das wir unter [Erstellen und Registrieren eines Vertrauensankers auf dem HSM](#setup-mtls-create-and-register-trust-anchor) generiert haben, und dann eines der Konfigurationstools des Client SDK 5 verwenden, um den privaten Schlüsselpfad und den Pfad der Client-Zertifikatskette einzurichten.
**Topics**
+ [Erstellen Sie einen privaten Schlüssel und eine Client-Zertifikatskette](#create-client-ssl)
+ [Konfigurieren Sie mTLS für Client SDK 5](#enable-ssl-5)
### Erstellen Sie einen privaten Schlüssel und eine Client-Zertifikatskette
**Example – Erstellen eines privaten Schlüssels mit OpenSSL**
Verwenden Sie den folgenden Befehl, um einen 4096-Bit-RSA-Schlüssel zu erstellen. Um dieses Beispiel zu verwenden, ** ersetzen Sie es durch den Namen der Datei, in der Sie den Schlüssel speichern möchten.
```
$ openssl genrsa -out 4096
Generating RSA private key, 4096 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
```
**Example — Generieren Sie eine Certificate Signing Request (CSR) mit OpenSSL**
Verwenden Sie den folgenden Befehl, um eine Zertifikatssignieranforderung (CSR) aus dem privaten Schlüssel zu generieren, den Sie gerade erstellt haben. Lesen Sie die Anweisungen auf dem Bildschirm und befolgen Sie die Eingabeaufforderungen.
```
$ openssl req -new -key -out
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```
**Example — Signieren Sie die CSR mit dem Stammzertifikat**
Verwenden Sie den folgenden Befehl, um die CSR mit dem Stammzertifikat zu signieren, das wir unter [Erstellen und registrieren Sie einen Vertrauensanker auf dem HSM erstellt und registriert haben, und erstellen Sie ein Client-Zertifikat mit dem](#setup-mtls-create-and-register-trust-anchor) Namen. `ssl-client.crt` Das Zertifikat ist 5 Jahre (1826 Tage) gültig.
```
$ openssl x509 -req -days 1826 -in -CA -CAkey -CAcreateserial -out
```
**Example — Erstellen Sie eine Client-Zertifikatskette**
Verwenden Sie den folgenden Befehl, um das Client-Zertifikat und das Stammzertifikat, das wir unter [Erstellen und registrieren Sie einen Vertrauensanker auf dem HSM](#setup-mtls-create-and-register-trust-anchor) erstellt und registriert haben, zu kombinieren und eine Client-Zertifikatskette mit dem Namen zu erstellen`ssl-client.pem`, die im nächsten Schritt zur Konfiguration verwendet wird.
```
$ cat >
```
Wenn Sie Zwischenzertifikate unter [Erstellen registriert haben und einen Vertrauensanker auf dem HSM als Vertrauensanker registrieren](#setup-mtls-create-and-register-trust-anchor), stellen Sie sicher, dass Sie das Client-Zertifikat mit der gesamten Zertifikatskette kombinieren, um eine Client-Zertifikatskette zu erstellen.
### Konfigurieren Sie mTLS für Client SDK 5
Verwenden Sie eines der Konfigurationstools des Client SDK 5, um das gegenseitige TLS zu aktivieren, indem Sie den richtigen Client-Schlüsselpfad und den richtigen Pfad für die Client-Zertifikatskette angeben. Weitere Informationen zum Konfigurationstool für Client SDK 5 finden Sie unter[AWS CloudHSM Konfigurationstool für das Client-SDK 5](configure-sdk-5.md).
------
#### [ PKCS \$111 library ]
**So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Linux**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
$ sudo cp ssl-client.pem
$ sudo cp ssl-client.key
```
1. Verwenden Sie das Configure-Tool, um `ssl-client.pem` und `ssl-client.key` anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Windows**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um und anzugeben. `ssl-client.pem` `ssl-client.key`
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
------
#### [ OpenSSL Dynamic Engine ]
**Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Linux zu verwenden**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. Verwenden Sie das Configure-Tool, um `ssl-client.pem` und `ssl-client.key` anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-dyn \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
------
#### [ Key Storage Provider (KSP) ]
**So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Windows**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um und anzugeben. `ssl-client.pem` `ssl-client.key`
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
------
#### [ JCE provider ]
**Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Linux zu verwenden**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. Verwenden Sie das Configure-Tool, um `ssl-client.pem` und `ssl-client.key` anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-jce \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Windows**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um und anzugeben. `ssl-client.pem` `ssl-client.key`
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
------
#### [ CloudHSM CLI ]
**Um ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Linux zu verwenden**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. Verwenden Sie das Configure-Tool, um `ssl-client.pem` und `ssl-client.key` anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-cli \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**So verwenden Sie ein benutzerdefiniertes Zertifikat und einen Schlüssel für die gegenseitige Authentifizierung zwischen TLS Client und HSM mit Client SDK 5 unter Windows**
1. Kopieren Sie Schlüssel und Zertifikat in das entsprechende Verzeichnis.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Verwenden Sie mit einem PowerShell Interpreter das Konfigurationstool, um und anzugeben. `ssl-client.pem` `ssl-client.key`
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
------
## Schritt 3. Stellen Sie die mTLS-Durchsetzung ein für AWS CloudHSM
Nach der Konfiguration mit einem der Konfigurationstools des Client SDK 5 AWS CloudHSM erfolgt die Verbindung zwischen Client und Client über gegenseitiges TLS im Cluster. Wenn Sie jedoch den privaten Schlüsselpfad und den Pfad der Client-Zertifikatskette aus der Konfigurationsdatei entfernen, wird die Verbindung wieder in reguläres TLS umgewandelt. Sie können die CloudHSM-CLI verwenden, um die MTLS-Erzwingung im Cluster festzulegen, indem Sie die folgenden Schritte ausführen:
1. Verwenden Sie den folgenden Befehl, um die CloudHSM-CLI zu starten:
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. Melden Sie sich mit der CloudHSM-CLI als Administrator an.
```
aws-cloudhsm > login --username --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "",
"role": "admin"
}
}
```
**Anmerkung**
1. Stellen Sie sicher, dass Sie die CloudHSM-CLI konfiguriert haben, und starten Sie die CloudHSM-CLI unter einer mTLS-Verbindung.
2. **Sie müssen als Standard-Admin-Benutzer mit dem Benutzernamen admin angemeldet sein, bevor Sie die mTLS-Durchsetzung einrichten können.**
1. Verwenden Sie den ** [Legen Sie die mTLS-Durchsetzungsstufe mit der CloudHSM CLI fest](cloudhsm_cli-cluster-mtls-set-enforcement.md) ** Befehl, um die Durchsetzung festzulegen. Weitere Informationen finden Sie im folgenden Beispiel. Alternativ können Sie auch den Befehl **help cluster mtls set-enforcement** ausführen.
**Example — Stellen Sie die mTLS-Durchsetzung mit dem AWS CloudHSM Cluster ein**
Das folgende Beispiel zeigt, wie Sie den **cluster mtls set-enforcement** Befehl in der CloudHSM-CLI verwenden, um die mTLS-Erzwingung mit dem HSM festzulegen. Um diesen Befehl verwenden zu können, muss der Administrator mit dem Benutzernamen admin beim HSM angemeldet sein.
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
**Warnung**
Nachdem Sie die Verwendung von mTLS im Cluster erzwungen haben, werden alle bestehenden Verbindungen, die keine MTLS-Verbindungen sind, gelöscht und Sie können sich nur mit mTLS-Zertifikaten mit dem Cluster verbinden.
# Schlüssel erstellen und verwenden in AWS CloudHSM
[Bevor Sie Schlüssel in Ihrem neuen Cluster erstellen und verwenden können, erstellen Sie einen HSM-Benutzer (Hardware Security Module) mit der AWS CloudHSM CLI. Weitere Informationen finden Sie unter [Grundlegendes zu HSM-Benutzerverwaltungsaufgaben, Erste Schritte mit der AWS CloudHSM](understand-users.md)[CloudHSM-Befehlszeilenschnittstelle (CLI)](cloudhsm_cli-getting-started.md) und So verwalten Sie HSM-Benutzer.](manage-hsm-users.md)
**Anmerkung**
Wenn Sie Client-SDK 3 verwenden, verwenden Sie [CloudHSM Management Utility (CMU)](cloudhsm_mgmt_util.md) anstelle von CloudHSM-CLI.
Nachdem Sie HSM-Benutzer erstellt haben, können Sie sich mit einer der folgenden Optionen beim HSM anmelden und Schlüssel verwalten:
+ Verwenden Sie das [Schlüsselverwaltungsprogramm, ein Befehlszeilentool](key_mgmt_util-getting-started.md)
+ Erstellen Sie eine C-Anwendung mit der [PKCS \$111-Bibliothek](pkcs11-library.md)
+ Erstellen Sie eine Java-Anwendung mit dem [JCE-Anbieter](java-library.md)
+ Verwenden Sie die [OpenSSL Dynamic Engine direkt von der Befehlszeile aus](openssl-library.md)
+ Verwenden Sie die OpenSSL Dynamic Engine für TLS-Offload mit [NGINX- und Apache-Webservern](ssl-offload.md)
+ Verwenden Sie den Key Storage Provider (KSP) für AWS CloudHSM mit der [Microsoft Windows Server Certificate Authority (CA)](win-ca-overview-sdk5.md)
+ Verwenden Sie den Key Storage Provider (KSP) für AWS CloudHSM mit dem [Microsoft Sign Tool](signtool-sdk5.md)
+ Verwenden Sie den Key Storage Provider (KSP) für das TLS-Offload mit dem [Internet Information Server (IIS](ssl-offload.md)) -Webserver