Voraussetzungen Schritt 1. Erstellen und Registrieren eines Schlüssels für das Signieren Schritt 2. Stellen Sie den Quorum-Mindestwert auf HSM

Richten Sie die Quorum-Authentifizierung für AWS CloudHSM Crypto Officers ein

In den folgenden Themen werden die Schritte beschrieben, die Sie ausführen müssen, um Ihr Hardware-Sicherheitsmodul (HSM) so zu konfigurieren, dass AWS CloudHSM Crypto Officers (COs) die Quorum-Authentifizierung verwenden können. Sie müssen diese Schritte nur einmal ausführen, wenn Sie die Quorumauthentifizierung für zum ersten Mal konfigurieren. COs Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Benutzerverwaltung mit aktivierter Quorum-Authentifizierung für AWS CloudHSM Management Utility fort.

Themen

Voraussetzungen
Schritt 1. Erstellen und Registrieren eines Schlüssels für das Signieren
Schritt 2. Stellen Sie den Quorum-Mindestwert auf HSM

Voraussetzungen

Um dieses Beispiel verstehen zu können, sollten Sie mit dem -cloudhsm_mgmt_util (CMU) Befehlszeilentool. In diesem Beispiel hat der AWS CloudHSM Cluster zweiHSMs, von denen jeder dasselbe hatCOs, wie in der folgenden Ausgabe des listUsers Befehls dargestellt. Weitere Informationen zum Erstellen von Benutzern finden Sie unter HSMBenutzer.


aws-cloudhsm>listUsers
Users on server 0(10.0.2.14):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                 NO               0               NO
         4              CO              officer2                                 NO               0               NO
         5              CO              officer3                                 NO               0               NO
         6              CO              officer4                                 NO               0               NO
         7              CO              officer5                                 NO               0               NO
Users on server 1(10.0.1.4):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                 NO               0               NO
         4              CO              officer2                                 NO               0               NO
         5              CO              officer3                                 NO               0               NO
         6              CO              officer4                                 NO               0               NO
         7              CO              officer5                                 NO               0               NO

Schritt 1. Erstellen und Registrieren eines Schlüssels für das Signieren

Um die Quorumauthentifizierung zu verwenden, muss jeder CO alle der folgenden Schritte ausführen:

Themen

Erstellen Sie ein RSA key pair
Erstellen und signieren Sie ein Registrierungstoken
Registrieren Sie den öffentlichen Schlüssel mit dem HSM

Erstellen Sie ein RSA key pair

Es gibt viele verschiedene Möglichkeiten, ein Schlüsselpaar zu erstellen und zu schützen. Die folgenden Beispiele zeigen, wie das mit Open gemacht wirdSSL.

Beispiel — Erstellen Sie mit Open einen privaten Schlüssel SSL

Das folgende Beispiel zeigt, wie Sie Open verwenden, SSL um einen RSA 2048-Bit-Schlüssel zu erstellen, der durch eine Passphrase geschützt ist. Um dieses Beispiel zu verwenden, ersetzen Sie officer1.key durch den Namen der Datei, in der Sie den Schlüssel speichern möchten.


$ openssl genrsa -out officer1.key -aes256 2048
Generating RSA private key, 2048 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase for officer1.key:
Verifying - Enter pass phrase for officer1.key:

Generieren eines öffentlichen Schlüssels mit dem privaten Schlüssel, den Sie gerade erstellt haben.

Beispiel — Erstellen Sie einen öffentlichen Schlüssel mit Open SSL

Das folgende Beispiel zeigt, wie Sie Open verwendenSSL, um aus dem soeben erstellten privaten Schlüssel einen öffentlichen Schlüssel zu erstellen.


$ openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pub
Enter pass phrase for officer1.key:
writing RSA key

Erstellen und signieren Sie ein Registrierungstoken

Sie erstellen ein Token und signieren es mit dem privaten Schlüssel, den Sie gerade im vorherigen Schritt generiert haben.

Beispiel – Erstellen Sie ein Token

Das Registrierungstoken ist nur eine Datei mit beliebigen zufälligen Daten, die die maximale Größe von 245 Byte nicht überschreiten. Sie signieren das Token mit dem privaten Schlüssel, um nachzuweisen, dass Sie Zugriff auf den privaten Schlüssel haben. Der folgende Befehl verwendet Echo, um eine Zeichenfolge in eine Datei umzuleiten.


$ echo "token to be signed" > officer1.token

Signieren Sie das Token und speichern Sie es in einer Signaturdatei. Sie benötigen das signierte Token, das unsignierte Token und den öffentlichen Schlüssel, um den CO als MoFN-Benutzer bei der zu registrieren. HSM

Beispiel – Signieren Sie das Token

Verwenden Sie Open SSL und den privaten Schlüssel, um das Registrierungstoken zu signieren und die Signaturdatei zu erstellen.


$ openssl dgst -sha256 \
    -sign officer1.key \
    -out officer1.token.sig officer1.token

Registrieren Sie den öffentlichen Schlüssel mit dem HSM

Nach der Erstellung eines Schlüssels muss das CO den öffentlichen Teil des Schlüssels (den öffentlichen Schlüssel) bei der registrierenHSM.

Um einen öffentlichen Schlüssel zu registrieren bei HSM

Verwenden Sie den folgenden Befehl, um das zu starten cloudhsm_mgmt_util Befehlszeilentool.
```
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
```
Verwenden Sie den loginHSM Befehl, um sich HSM als CO anzumelden. Weitere Informationen finden Sie unter HSMBenutzerverwaltung mit Cloud HSM Management Utility (CMU).
Verwenden Sie den Befehl registerQuorumPubKey, um den öffentlichen Schlüssel zu registrieren. Weitere Informationen finden Sie im folgenden Beispiel. Alternativ können Sie auch den Befehl help registerQuorumPubKey ausführen.

Beispiel — Registrieren Sie einen öffentlichen Schlüssel bei der HSM

Das folgende Beispiel zeigt, wie der registerQuorumPubKey Befehl in der cloudhsm_mgmt_util Befehlszeilentool zur Registrierung des öffentlichen Schlüssels eines CO bei derHSM. Um diesen Befehl verwenden zu können, muss das CO bei angemeldet seinHSM. Ersetzen Sie diese Werte durch Ihre eigenen Werte:


aws-cloudhsm> registerQuorumPubKey CO <officer1> <officer1.token> <officer1.token.sig> <officer1.pub>

*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
registerQuorumPubKey success on server 0(10.0.2.14)

<officer1.token>

Der Pfad zu einer Datei, die ein unsigniertes Registrierungstoken enthält. Kann beliebige Daten mit einer maximalen Dateigröße von 245 Byte enthalten.

Erforderlich: Ja

<officer1.token.sig>

Der Pfad zu einer Datei, die den mit dem PKCS Mechanismus SHA256 _ signierten Hash des Registrierungstokens enthält.

Erforderlich: Ja

<officer1.pub>

Der Pfad zu der Datei, die den öffentlichen Schlüssel eines asymmetrischen RSA -2048-Schlüsselpaars enthält. Verwenden Sie den privaten Schlüssel, um das Registrierungstoken zu signieren.

Erforderlich: Ja

Nachdem alle ihre öffentlichen Schlüssel COs registriert haben, zeigt die Ausgabe des listUsers Befehls dies in der MofnPubKey Spalte an, wie im folgenden Beispiel gezeigt.


aws-cloudhsm>listUsers
Users on server 0(10.0.2.14):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO
Users on server 1(10.0.1.4):
Number of users found:7

    User Id             User Type       User Name                          MofnPubKey    LoginFailureCnt         2FA
         1              PRECO           admin                                    NO               0               NO
         2              AU              app_user                                 NO               0               NO
         3              CO              officer1                                YES               0               NO
         4              CO              officer2                                YES               0               NO
         5              CO              officer3                                YES               0               NO
         6              CO              officer4                                YES               0               NO
         7              CO              officer5                                YES               0               NO

Schritt 2. Stellen Sie den Quorum-Mindestwert auf HSM

Um die Quorumauthentifizierung für zu verwendenCOs, muss sich ein CO bei dem anmelden HSM und dann den Quorum-Mindestwert festlegen, der auch als M-Wert bezeichnet wird. Dies ist die Mindestanzahl von CO-Genehmigungen, die für die Durchführung von HSM Benutzerverwaltungsvorgängen erforderlich sind. Alle COs auf der HSM können den Quorum-Mindestwert festlegen, auch diejenigen, COs die noch keinen Schlüssel zum Signieren registriert haben. Sie können den Quorum-Mindestwert jederzeit ändern. Weitere Informationen finden Sie unter Ändern Sie den Mindestwert.

Um den Quorum-Mindestwert auf dem festzulegen HSM

Verwenden Sie den folgenden Befehl, um das zu starten cloudhsm_mgmt_util Befehlszeilentool.
```
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
```
Verwenden Sie den loginHSM Befehl, um sich HSM als CO anzumelden. Weitere Informationen finden Sie unter HSMBenutzerverwaltung mit Cloud HSM Management Utility (CMU).
Verwenden Sie den setMValue-Befehl, um den Quorum-Mindestwert festzulegen. Weitere Informationen finden Sie im folgenden Beispiel. Alternativ können Sie auch den Befehl help setMValue ausführen.

Beispiel — Legt den Quorum-Mindestwert auf dem fest HSM

In diesem Beispiel wird ein Quorum-Mindestwert von zwei verwendet. Sie können einen beliebigen Wert zwischen zwei (2) und acht (8) wählen, bis zur Gesamtzahl von COs aufHSM. In diesem Beispiel HSM hat der sechsCOs, sodass der maximal mögliche Wert sechs ist.

Um den folgenden Beispielbefehl zu verwenden, ersetzen Sie die letzte Zahl (2) mit dem bevorzugten Quorum-Mindestwert.


aws-cloudhsm>setMValue 3 2
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
Setting M Value(2) for 3 on 2 nodes

Im vorherigen Beispiel identifiziert die erste Zahl (3) den HSMDienst, dessen Quorum-Mindestwert Sie festlegen.

In der folgenden Tabelle sind die HSM Dienstkennungen zusammen mit ihren Namen, Beschreibungen und den Befehlen aufgeführt, die im Dienst enthalten sind.

Dienstkennung	Service-Name	Service description (Service-Beschreibung)	HSMBefehle
3	`USER_MGMT`	HSMBenutzerverwaltung	createUser deleteUser changePswd(gilt nur, wenn das Passwort eines anderen HSM Benutzers geändert wird)
4	`MISC_CO`	Diverser CO-Service	setMValue

Um den Quorum-Mindestwert für einen Service abzurufen, verwenden Sie den getMValue-Befehl wie im folgenden Beispiel.


aws-cloudhsm>getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]

Die Ausgabe des vorherigen getMValue Befehls zeigt, dass der Quorum-Mindestwert für HSM Benutzerverwaltungsoperationen (Dienst 3) jetzt zwei beträgt.

Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit Benutzerverwaltung mit aktivierter Quorum-Authentifizierung für AWS CloudHSM Management Utility fort.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Quorum-Authentifizierungsprozess

Benutzerverwaltung mit Quorum (M oder N)