Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Ändern Sie die Einstellungen für die Haltbarkeit von AWS CloudHSM Client-Schlüsseln
Die Schlüsselsynchronisierung ist größtenteils ein automatischer Prozess, aber Sie können die Einstellungen für die Haltbarkeit von Schlüsseln auf der Clientseite verwalten. Die clientseitigen Einstellungen für die Haltbarkeit von Schlüsseln funktionieren in Client-SDK 5 und Client-SDK 3 unterschiedlich.
+ In Client SDK 5 führen wir das Konzept der *Schlüsselverfügbarkeitsquoren ein, bei* dem Sie Cluster mit mindestens zwei Quoren ausführen müssen. HSMs Sie können die clientseitigen Einstellungen für die Haltbarkeit von Schlüsseln verwenden, um die beiden HSM-Anforderungen abzulehnen. Weitere Informationen zu Quora finden Sie unter [AWS CloudHSM wichtige Konzepte](concepts-key-sync.md).
+ Im Client-SDK 3 geben Sie mithilfe der clientseitigen Einstellungen für die Haltbarkeit von Schlüsseln die Anzahl der HSMs Schlüssel an, für die die Schlüsselerstellung erfolgreich sein muss, damit der gesamte Vorgang als erfolgreich gewertet wird.
## Client-SDK 5: Einstellungen für die Haltbarkeit von Client-Schlüsseln
In Client-SDK 5 ist die Schlüsselsynchronisierung ein vollautomatischer Prozess. Beim Quorum für die Schlüsselverfügbarkeit müssen neu erstellte Schlüssel auf zwei HSMs im Cluster vorhanden sein, bevor Ihre Anwendung den Schlüssel verwenden kann. Um das Quorum für die Schlüsselverfügbarkeit verwenden zu können, muss Ihr Cluster über mindestens zwei verfügen. HSMs
Wenn Ihre Clusterkonfiguration die Anforderungen an die Haltbarkeit von Schlüsseln nicht erfüllt, schlägt jeder Versuch, einen Token-Schlüssel zu erstellen oder zu verwenden, fehl und die folgende Fehlermeldung wird in den Protokollen angezeigt:
```
Key does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.
```
Sie können die Client-Konfigurationseinstellungen verwenden, um das Quorum für die Schlüsselverfügbarkeit zu deaktivieren. Möglicherweise möchten Sie sich abmelden, um beispielsweise einen Cluster mit einem einzigen HSM auszuführen.
### Konzepte des Client-SDK 5
**Quorum für Schlüsselverfügbarkeit**
AWS CloudHSM gibt die Anzahl der HSMs in einem Cluster vorhandenen Schlüssel an, bevor Ihre Anwendung den Schlüssel verwenden kann. Erfordert Cluster mit mindestens zwei HSMs.
### Verwaltung der Einstellungen für die Haltbarkeit von Client-Schlüsseln
Um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu verwalten, müssen Sie das Configure-Tool für Client-SDK 5 verwenden.
------
#### [ PKCS \$111 library ]
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
```
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Windows zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
```
------
#### [ OpenSSL Dynamic Engine ]
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
```
------
#### [ OpenSSL Dynamic Engine Provider ]
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --disable-key-availability-check
```
------
#### [ Key Storage Provider (KSP) ]
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Windows zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
```
------
#### [ JCE provider ]
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
```
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Windows zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
```
------
#### [ CloudHSM CLI ]
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
```
**Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Windows zu deaktivieren**
+ Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
```
------
## Client-SDK 3: Einstellungen für die Haltbarkeit von Client-Schlüsseln
In Client-SDK 3 ist die Schlüsselsynchronisierung größtenteils ein automatischer Prozess, aber Sie können die Einstellungen für die Haltbarkeit von Schlüsseln des Clients verwenden, um die Haltbarkeit von Schlüsseln zu erhöhen. Sie geben die Anzahl HSMs an, bei der die Schlüsselerstellung erfolgreich sein muss, damit der gesamte Vorgang als erfolgreich gewertet wird. Bei der clientseitigen Synchronisation wird stets versucht, Schlüssel für jedes HSM im Cluster zu klonen, unabhängig davon, welche Einstellung Sie wählen. Ihre Einstellung erzwingt die Schlüsselerstellung anhand der von HSMs Ihnen angegebenen Anzahl. Wenn Sie einen Wert angeben und das System den Schlüssel nicht auf diese Anzahl von replizieren kann HSMs, entfernt das System automatisch unerwünschtes Schlüsselmaterial, und Sie können es erneut versuchen.
**Wichtig**
Wenn Sie keine Einstellungen für die Haltbarkeit von Client-Schlüsseln festlegen (oder den Standardwert 1 verwenden), besteht die Gefahr, dass Ihre Schlüssel verloren gehen. Wenn Ihr aktuelles HSM ausfällt, bevor der serverseitige Dienst diesen Schlüssel auf ein anderes HSM geklont hat, verlieren Sie das Schlüsselmaterial.
Um die Haltbarkeit der Schlüssel zu maximieren, sollten Sie HSMs für die clientseitige Synchronisation mindestens zwei angeben. Denken Sie daran, dass die Arbeitslast auf Ihrem Cluster unabhängig davon, wie viele HSMs Sie angeben, dieselbe bleibt. Bei der clientseitigen Synchronisation wird stets nach besten Kräften versucht, Schlüssel für jedes HSM im Cluster zu klonen.
**Empfehlungen**
+ **Minimum**: Zwei HSMs pro Cluster
+ **Maximum**: Eins weniger als die Gesamtzahl der HSMs in Ihrem Cluster
Wenn die clientseitige Synchronisation fehlschlägt, bereinigt der Client-Dienst alle unerwünschten Schlüssel, die möglicherweise erstellt wurden und nun unerwünscht sind. Bei dieser Bereinigung handelt es sich um eine bestmögliche Lösung, die möglicherweise nicht immer funktioniert. Wenn die Bereinigung fehlschlägt, müssen Sie möglicherweise unerwünschtes Schlüsselmaterial löschen. Weitere Informationen finden Sie unter [Schlüssel-Synchronisierungsfehler](ts-client-sync-fail.md).
### Einrichtung der Konfigurationsdatei für die Haltbarkeit von Client-Schlüsseln
Um die Einstellungen für die Haltbarkeit von Client-Schlüsseln festzulegen, müssen Sie `cloudhsm_client.cfg` bearbeiten.
**Bearbeiten der Clientkonfigurationsdatei**
1. Öffnen Sie `cloudhsm_client.cfg`.
**Linux:**
```
/opt/cloudhsm/etc/cloudhsm_client.cfg
```
**Windows:**
```
C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
```
1. Fügen Sie im `client` Knoten der Datei einen Wert hinzu `create_object_minimum_nodes` und geben Sie einen Wert für die Mindestanzahl HSMs an, für die Schlüssel erfolgreich erstellt AWS CloudHSM werden müssen, damit die Schlüsselerstellung erfolgreich ist.
```
"create_object_minimum_nodes" : 2
```
**Anmerkung**
Das Befehlszeilentool key\$1mgmt\$1util (KMU) bietet eine zusätzliche Einstellung für die Haltbarkeit von Client-Schlüsseln. Weitere Informationen finden Sie unter [KMU- und clientseitige Schlüsselsynchronisierung](#kmu-sync).
#### Konfigurationsreferenz
Dies sind die clientseitigen Synchronisierungseigenschaften, die in einem Auszug aus der `cloudhsm_client.cfg`:
```
{
"client": {
"create_object_minimum_nodes" : 2,
...
},
...
}
```
**create\$1object\$1minimum\$1nodes**
Gibt die Mindestanzahl von Vorgängen an, die HSMs erforderlich sind, um die Schlüsselgenerierung, den Schlüsselimport oder das Entpacken von Schlüsseln als erfolgreich zu betrachten. Falls eingestellt, ist die Voreinstellung 1. Das bedeutet, dass der clientseitige Dienst bei jedem Vorgang zur Schlüsselerstellung versucht, Schlüssel für jedes HSM im Cluster zu erstellen. Um jedoch einen Erfolg zurückzugeben, muss nur ein *einziger Schlüssel* auf einem HSM im Cluster erstellt werden.
### KMU- und clientseitige Schlüsselsynchronisierung
*Wenn Sie Schlüssel mit dem Befehlszeilentool key\$1mgmt\$1util (KMU) erstellen, verwenden Sie einen optionalen Befehlszeilenparameter (`-min_srv`), um die Anzahl der zu klonenden Schlüssel zu begrenzen.* HSMs Wenn Sie den Befehlszeilenparameter *und* einen Wert in der Konfigurationsdatei angeben, wird der GRÖSSERE der beiden Werte berücksichtigt. AWS CloudHSM
Weitere Informationen finden Sie unter den folgenden Themen:
+ [Gen-Paar DSAKey](key_mgmt_util-genDSAKeyPair.md)
+ [ECCKeyGen-Paar](key_mgmt_util-genECCKeyPair.md)
+ [RSAKeyGen-Paar](key_mgmt_util-genRSAKeyPair.md)
+ [genSymKey](key_mgmt_util-genSymKey.md)
+ [importPrivateKey](key_mgmt_util-importPrivateKey.md)
+ [importPubKey](key_mgmt_util-importPubKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [insertMaskedObject](key_mgmt_util-insertMaskedObject.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)