Übersicht Zertifikate aus dem HSM laden Die Stammzertifikate laden Zertifikatketten prüfen Extrahieren und Vergleichen der öffentlichen Schlüssel

Überprüfen der Identität und Authentizität des HSM Ihres Clusters (optional)

Zum Initialisieren Ihres Clusters signieren Sie eine Zertifikatssignierungsanforderung (Certificate Signing Request, CSR), die vom ersten HSM des Clusters generiert wurde. Bevor Sie dies tun, sollten Sie die Identität und Authentizität des HSM überprüfen.

Anmerkung

Dieses Verfahren ist optional. Es funktioniert jedoch nur solange, bis ein Cluster initialisiert wird. Nachdem der Cluster initialisiert wurde, können Sie diesen Prozess nicht mehr zum Abrufen der Zertifikate oder zum Verifizieren der HSMs einsetzen.

Themen

Übersicht
Zertifikate aus dem HSM laden
Die Stammzertifikate laden
Zertifikatketten prüfen
Extrahieren und Vergleichen der öffentlichen Schlüssel

Übersicht

Um die Identität des ersten HSM Ihres Clusters zu überprüfen, führen Sie die folgenden Schritte aus:

Abrufen der Zertifikate und der CSR – In diesem Schritt laden Sie drei Zertifikate und eine CSR aus dem HSM. Sie erhalten außerdem zwei Stammzertifikate, eines vom AWS CloudHSM und eines vom HSM-Hardwarehersteller.
Überprüfen Sie die Zertifikatsketten — In diesem Schritt erstellen Sie zwei Zertifikatsketten, eine für das AWS CloudHSM Stammzertifikat und eine für das Stammzertifikat des Herstellers. Anschließend verifizieren Sie das HSM-Zertifikat anhand dieser Zertifikatsketten, um festzustellen, dass AWS CloudHSM sowohl das HSM-Zertifikat als auch der Hardwarehersteller die Identität und Echtheit des HSM bestätigen.
Vergleichen öffentlicher Schlüssel – In diesem Schritt extrahieren und vergleichen Sie den öffentlichen Schlüssel im HSM-Zertifikat und die Cluster-CSR, um sicherzustellen, dass sie identisch sind. Dadurch sollten Sie das Vertrauen erhalten, dass die CSR von einem authentischen, vertrauenswürdigen HSM generiert wurde.

Das folgende Diagramm zeigt die CSR, die Zertifikate und ihre Beziehung zueinander. In der folgenden Liste sind alle Zertifikate definiert.

AWS Stammzertifikat: Das ist AWS CloudHSM das Stammzertifikat.
Hersteller-Stammzertifikat: Dies ist das Stammzertifikat des Hardwareherstellers.
AWS Hardware-Zertifikat: AWS CloudHSM hat dieses Zertifikat erstellt, als die HSM-Hardware zur Flotte hinzugefügt wurde. Dieses Zertifikat bestätigt, dass der AWS CloudHSM Eigentümer der Hardware ist.
Hersteller-Hardwarezertifikat: Der HSM-Hardwarehersteller hat dieses Zertifikat erstellt, als er die HSM-Hardware hergestellt hat. Dieses Zertifikat versichert, dass die Hersteller die Hardware erstellt hat.
HSM-Zertifikat: Das HSM-Zertifikat wird mit der FIPS-validierten Hardware erstellt, wenn Sie das erste HSM im Cluster anlegen. Dieses Zertifikat versichert, dass die HSM-Hardware das HSM erstellt hat.
Cluster-CSR: Das erste HSM erstellt die Cluster-CSR. Wenn Sie die Cluster-CSR signieren, beanspruchen Sie den Cluster für sich. Anschließend können Sie die signierte CSR nutzen, um den Cluster zu initialisieren.

Zertifikate aus dem HSM laden

Um die Identität und Authentizität Ihres HSM zu überprüfen, laden Sie zuerst eine CSR und fünf Zertifikate. Sie erhalten drei der Zertifikate vom HSM, was Sie mit der AWS CloudHSM Konsole, der AWS Command Line Interface (AWS CLI) oder der AWS CloudHSM API tun können.

Laden der CSR und der Zertifikate (Konsole)

Öffnen Sie die AWS CloudHSM Konsole unter https://console.aws.amazon.com/cloudhsm/home.
Wählen Sie die Optionsschaltfläche neben der Cluster-ID mit dem HSM, das Sie überprüfen möchten.
Wählen Sie Aktionen aus. Wählen Sie aus dem Drop-down-Menü die Option Initialisieren.
Wenn Sie den vorherigen Schritt zur Erstellung eines HSM nicht abgeschlossen haben, wählen Sie eine Availability Zone (AZ) für das HSM, das Sie erstellen. Wählen Sie dann Erstellen aus.
Wenn die Zertifikate und die CSR bereit sind, finden Sie Links, um sie herunterzuladen.
Klicken Sie auf die einzelnen Links, um die CSR und Zertifikate herunterzuladen und zu speichern. Zur Vereinfachung der nachfolgenden Schritte speichern Sie alle Dateien in demselben Verzeichnis und nutzen die Standard-Dateinamen.

Abrufen der CSR und der HSM-Zertifikate (AWS CLI)

Führen Sie über die Eingabeaufforderung den Befehl describe-clusters viermal aus, extrahieren Sie jedes Mal die CSR und die verschiedenen Zertifikate und speichern Sie sie in Dateien.

Geben Sie zum Extrahieren der Cluster-CSR den folgenden Befehl aus. Ersetzen Sie <cluster ID> durch die ID des Clusters, das Sie zuvor erstellt haben.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr

Geben Sie zum Extrahieren des HSM-Zertifikats den folgenden Befehl aus. Ersetzen Sie <cluster ID> durch die ID des Clusters, das Sie zuvor erstellt haben.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.HsmCertificate' \
                                   > <cluster ID>_HsmCertificate.crt

Geben Sie den folgenden Befehl ein, um das AWS Hardwarezertifikat zu extrahieren. Ersetzen Sie <cluster ID> durch die ID des Clusters, das Sie zuvor erstellt haben.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.AwsHardwareCertificate' \
                                   > <cluster ID>_AwsHardwareCertificate.crt

Geben Sie zum Extrahieren des Hardwarezertifikats des Herstellers den folgenden Befehl aus. Ersetzen Sie <cluster ID> durch die ID des Clusters, das Sie zuvor erstellt haben.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \
                                   > <cluster ID>_ManufacturerHardwareCertificate.crt

Um die CSR- und HSM-Zertifikate (AWS CloudHSM API) zu erhalten

Senden Sie eine DescribeClusters-Anforderung und extrahieren und speichern dann die CSR und die Zertifikate aus der Antwort.

Die Stammzertifikate laden

Gehen Sie wie folgt vor, um die Stammzertifikate für AWS CloudHSM und den Hersteller zu erhalten. Speichern Sie die Stammzertifikatsdateien in das Verzeichnis, das die CSR und die HSM-Zertifikatsdateien enthält.

Um die Stammzertifikate AWS CloudHSM und die Stammzertifikate des Herstellers zu erhalten

Laden Sie das AWS CloudHSM Stammzertifikat herunter: AWS_CloudHSM_Root-G1.zip
Laden Sie das richtige Stammzertifikat des Herstellers für Ihren HSM-Typ herunter:
- Stammzertifikat des Herstellers hsm1.medium: liquid_security_certificate.zip
- Stammzertifikat des Herstellers hsm2m.medium: liquid_security_certificate.zip
Anmerkung
Verwenden Sie die folgenden Links, um jedes Zertifikat von der jeweiligen Landingpage herunterzuladen:
- Landingpage für das Stammzertifikat des Herstellers von hsm1.medium
- Landingpage für das Herstellerstammzertifikat von hsm2m.medium
Möglicherweise müssen Sie mit der rechten Maustaste auf den Link Download Certificate (Zertifikat herunterladen) klicken und dann Save Link As... (Link speichern unter) wählen, um die Zertifikatdatei zu speichern.
Nachdem Sie die Dateien heruntergeladen haben, extrahieren (entpacken) Sie den Inhalt.

Zertifikatketten prüfen

In diesem Schritt erstellen Sie zwei Zertifikatsketten, eine für das AWS CloudHSM Stammzertifikat und eine für das Stammzertifikat des Herstellers. Anschließend verwenden Sie OpenSSL, um das HSM-Zertifikat mit jeder Zertifikatkette zu verifizieren.

Öffnen Sie zum Erstellen der Zertifikatketten eine Linux-Shell. Sie benötigen OpenSSL (in den meisten Linux-Shells verfügbar) und Sie benötigen das Stammzertifikat und die HSM-Zertifikatsdateien, die Sie heruntergeladen haben. Sie benötigen die AWS CLI für diesen Schritt jedoch nicht, und die Shell muss nicht mit Ihrem AWS Konto verknüpft werden.

Um das HSM-Zertifikat mit dem AWS CloudHSM Stammzertifikat zu verifizieren

Navigieren Sie zu dem Verzeichnis, in dem das Stammzertifikat und die HSM-Zertifikatsdateien gespeichert sind, die Sie heruntergeladen haben. Die folgenden Befehle gehen davon aus, dass sich alle Zertifikate im aktuellen Verzeichnis befinden und die Standard-Dateinamen verwendet werden.

Verwenden Sie den folgenden Befehl, um eine Zertifikatskette zu erstellen, die das AWS Hardwarezertifikat und das AWS CloudHSM Stammzertifikat in dieser Reihenfolge umfasst. Ersetzen Sie <cluster ID> durch die ID des Clusters, das Sie zuvor erstellt haben.
```
$ cat <cluster ID>_AwsHardwareCertificate.crt \
      AWS_CloudHSM_Root-G1.crt \
      > <cluster ID>_AWS_chain.crt
```
Verwenden Sie den folgenden OpenSSL-Befehl, um das HSM-Zertifikat anhand der AWS -Zertifikatkette zu überprüfen. Ersetzen Sie <cluster ID> durch die ID des Clusters, das Sie zuvor erstellt haben.
```
$ openssl verify -CAfile <cluster ID>_AWS_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK
```

Das HSM-Zertifikat anhand des Hersteller-Stammzertifikats überprüfen

Verwenden Sie den folgenden Befehl zum Erstellen einer Zertifikatkette, die das Hersteller-Hardware-Zertifikat und das Hersteller-Stammzertifikat (in dieser Reihenfolge) enthält. Ersetzen Sie <cluster ID> durch die ID des Clusters, das Sie zuvor erstellt haben.
```
$ cat <cluster ID>_ManufacturerHardwareCertificate.crt \
      liquid_security_certificate.crt \
      > <cluster ID>_manufacturer_chain.crt
```
Verwenden Sie den folgenden Befehl, um das HSM-Zertifikat anhand der Hersteller-Zertifikatkette zu überprüfen. Ersetzen Sie <cluster ID> durch die ID des Clusters, das Sie zuvor erstellt haben.
```
$ openssl verify -CAfile <cluster ID>_manufacturer_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK
```

Extrahieren und Vergleichen der öffentlichen Schlüssel

Verwenden Sie OpenSSL, um die öffentlichen Schlüssel im HSM-Zertifikat und die Cluster-CSR zu extrahieren und zu vergleichen, um sicherzustellen, dass sie identisch sind.

Nutzen Sie zum Vergleichen der öffentlichen Schlüssel die Linux-Shell. Sie benötigen OpenSSL, das in den meisten Linux-Shells verfügbar ist, aber Sie benötigen das AWS CLI für diesen Schritt nicht. Die Shell muss nicht mit Ihrem AWS Konto verknüpft sein.

Extrahieren und Vergleichen der öffentlichen Schlüssel

Um den öffentlichen Schlüssel aus dem HSM-Zertifikat zu extrahieren, führen Sie den folgenden Befehl aus.
```
$ openssl x509 -in <cluster ID>_HsmCertificate.crt -pubkey -noout > <cluster ID>_HsmCertificate.pub
```
Um den öffentlichen Schlüssel aus der Cluster-CSR zu extrahieren, führen Sie den folgenden Befehl aus.
```
$ openssl req -in <cluster ID>_ClusterCsr.csr -pubkey -noout > <cluster ID>_ClusterCsr.pub
```
Verwenden Sie den folgenden Befehl, um die öffentlichen Schlüssel zu vergleichen. Wenn die öffentlichen Schlüssel identisch sind, erzeugt der folgende Befehl keine Ausgabe.
```
$ diff <cluster ID>_HsmCertificate.pub <cluster ID>_ClusterCsr.pub
```

Nach dem Überprüfen der Identität und Authentizität des HSM fahren Sie mit fort Initialisieren des Clusters.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erstellen eines HSM

Initialisieren des Clusters