Ändern Sie die Einstellungen für die Haltbarkeit von AWS CloudHSM Client-Schlüsseln - AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern Sie die Einstellungen für die Haltbarkeit von AWS CloudHSM Client-Schlüsseln

Die Schlüsselsynchronisierung ist größtenteils ein automatischer Prozess, aber Sie können die Einstellungen für die Haltbarkeit von Schlüsseln auf der Clientseite verwalten. Die clientseitigen Einstellungen für die Haltbarkeit von Schlüsseln funktionieren in Client SDK 5 und Client SDK 3 unterschiedlich.

  • In Client SDK 5 führen wir das Konzept der Quoren für die Schlüsselverfügbarkeit ein, bei dem Sie Cluster mit mindestens zwei Quoren ausführen müssen. HSMs Sie können die clientseitigen Einstellungen für die Haltbarkeit von Schlüsseln verwenden, um die beiden Anforderungen abzulehnen. HSM Weitere Informationen zu Quora finden Sie unter Konzepte von Client SDK 5.

  • In Client SDK 3 geben Sie mithilfe der clientseitigen Einstellungen für die Haltbarkeit von Schlüsseln die Anzahl HSMs an, für die die Schlüsselerstellung erfolgreich sein muss, damit der gesamte Vorgang als erfolgreich gewertet wird.

In Client SDK 5 ist die Schlüsselsynchronisierung ein vollautomatischer Vorgang. Beim Schlüsselverfügbarkeitsquorum müssen neu erstellte Schlüssel auf zwei HSMs im Cluster vorhanden sein, bevor Ihre Anwendung den Schlüssel verwenden kann. Um das Quorum für die Schlüsselverfügbarkeit verwenden zu können, muss Ihr Cluster über mindestens zwei verfügen. HSMs

Wenn Ihre Clusterkonfiguration die Anforderungen an die Haltbarkeit von Schlüsseln nicht erfüllt, schlägt jeder Versuch, einen Token-Schlüssel zu erstellen oder zu verwenden, fehl und die folgende Fehlermeldung wird in den Protokollen angezeigt:

Key <key handle> does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.

Sie können die Client-Konfigurationseinstellungen verwenden, um das Quorum für die Schlüsselverfügbarkeit zu deaktivieren. Möglicherweise möchten Sie die Ausführung eines Clusters mit einem einzelnen HSM Cluster deaktivieren.

Konzepte von Client SDK 5

Quorum für Schlüsselverfügbarkeit

AWS CloudHSM gibt die Anzahl der Schlüssel HSMs in einem Cluster an, auf denen Schlüssel vorhanden sein müssen, bevor Ihre Anwendung den Schlüssel verwenden kann. Erfordert Cluster mit mindestens zweiHSMs.

Verwaltung der Einstellungen für die Haltbarkeit von Client-Schlüsseln

Um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu verwalten, müssen Sie das Konfigurationstool für Client SDK 5 verwenden.

PKCS #11 library
Um die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Linux zu deaktivieren

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Windows

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Linux

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
JCE provider
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Linux

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Windows

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Linux

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
So deaktivieren Sie die Haltbarkeit von Client-Schlüsseln für Client SDK 5 unter Windows

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

In Client SDK 3 ist die Schlüsselsynchronisierung größtenteils ein automatischer Vorgang, aber Sie können die Einstellungen für die Haltbarkeit von Schlüsseln auf dem Client verwenden, um die Lebensdauer von Schlüsseln zu erhöhen. Sie geben die Anzahl HSMs an, bei der die Schlüsselerstellung erfolgreich sein muss, damit der gesamte Vorgang als erfolgreich gewertet wird. Bei der clientseitigen Synchronisation wird stets versucht, Schlüssel für alle Schlüssel HSM im Cluster zu klonen, unabhängig davon, welche Einstellung Sie wählen. Ihre Einstellung erzwingt die Schlüsselerstellung anhand der von Ihnen angegebenen Anzahl. HSMs Wenn Sie einen Wert angeben und das System den Schlüssel nicht auf diese Anzahl von replizieren kannHSMs, entfernt das System automatisch unerwünschtes Schlüsselmaterial, und Sie können es erneut versuchen.

Wichtig

Wenn Sie keine Einstellungen für die Haltbarkeit von Client-Schlüsseln festlegen (oder den Standardwert 1 verwenden), besteht die Gefahr, dass Ihre Schlüssel verloren gehen. Sollte Ihr aktueller HSM Schlüssel ausfallen, bevor der serverseitige Dienst diesen Schlüssel auf einen anderen geklont hatHSM, verlieren Sie das Schlüsselmaterial.

Um die Haltbarkeit der Schlüssel zu maximieren, sollten Sie erwägen, mindestens zwei HSMs für die clientseitige Synchronisation anzugeben. Denken Sie daran, dass die Arbeitslast auf Ihrem Cluster unabhängig davon, wie viele HSMs Sie angeben, dieselbe bleibt. Bei der clientseitigen Synchronisation wird stets nach bestem Bemühen versucht, Schlüssel für alle Schlüssel HSM im Cluster zu klonen.

Empfehlungen

  • Minimum: Zwei pro Cluster HSMs

  • Maximum: Eins weniger als die Gesamtzahl der HSMs in Ihrem Cluster

Wenn die clientseitige Synchronisation fehlschlägt, bereinigt der Client-Dienst alle unerwünschten Schlüssel, die möglicherweise erstellt wurden und nun unerwünscht sind. Bei dieser Bereinigung handelt es sich um eine bestmögliche Lösung, die möglicherweise nicht immer funktioniert. Wenn die Bereinigung fehlschlägt, müssen Sie möglicherweise unerwünschtes Schlüsselmaterial löschen. Weitere Informationen finden Sie unter Schlüssel-Synchronisierungsfehler.

Einrichtung der Konfigurationsdatei für die Haltbarkeit von Client-Schlüsseln

Um die Einstellungen für die Haltbarkeit von Client-Schlüsseln festzulegen, müssen Sie cloudhsm_client.cfg bearbeiten.

Bearbeiten der Clientkonfigurationsdatei

  1. Öffnen Sie cloudhsm_client.cfg.

    Linux:

    /opt/cloudhsm/etc/cloudhsm_client.cfg

    Windows:

    C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  2. Fügen Sie im client Knoten der Datei einen Wert hinzu create_object_minimum_nodes und geben Sie einen Wert für die Mindestanzahl HSMs an, für die Schlüssel erfolgreich erstellt AWS CloudHSM werden müssen, damit die Schlüsselerstellung erfolgreich ist.

    "create_object_minimum_nodes" : 2
    Anmerkung

    Das Befehlszeilentool key_mgmt_util (KMU) bietet eine zusätzliche Einstellung für die Haltbarkeit von Client-Schlüsseln. Weitere Informationen finden Sie unter KMUund clientseitige Synchronisation

Konfigurationsreferenz

Dies sind die clientseitigen Synchronisierungseigenschaften, die in einem Auszug aus der cloudhsm_client.cfg:

{
    "client": {
        "create_object_minimum_nodes" : 2,
        ...
    },
    
    ...
}
create_object_minimum_nodes

Gibt die Mindestanzahl von Vorgängen an, die HSMs erforderlich sind, um die Schlüsselgenerierung, den Schlüsselimport oder das Entpacken von Schlüsseln als erfolgreich zu betrachten. Falls eingestellt, ist die Voreinstellung 1. Das bedeutet, dass der clientseitige Dienst bei jedem Vorgang zur Schlüsselerstellung versucht, Schlüssel für jeden Vorgang HSM im Cluster zu erstellen. Um jedoch einen Erfolg zurückzugeben, muss nur ein einziger Schlüssel für einen Schlüssel im Cluster erstellt werden. HSM

KMUund clientseitige Synchronisation

Wenn Sie Schlüssel mit dem Befehlszeilentool key_mgmt_util (KMU) erstellen, verwenden Sie einen optionalen Befehlszeilenparameter (-min_srv), um die Anzahl der Schlüssel zu begrenzen, auf denen Schlüssel geklont werden sollen. HSMs Wenn Sie den Befehlszeilenparameter und einen Wert in der Konfigurationsdatei angeben, wird der der beiden Werte berücksichtigt. AWS CloudHSM LARGER

Weitere Informationen finden Sie unter den folgenden Themen: