Conexión del SDK de cliente al clúster de AWS CloudHSM - AWS CloudHSM
Colocación del certificado de emisión en cada instancia de EC2Especifique la ubicación del certificado de emisión.Proceso de arranque del SDK de cliente

Conexión del SDK de cliente al clúster de AWS CloudHSM

Para conectarse al clúster con el SDK 5 de cliente o el SDK 3 de cliente, primero debe hacer dos cosas:

  • Contar con un certificado de emisión en la instancia EC2

  • Inicio del arranque del SDK del cliente en el clúster

Colocación del certificado de emisión en cada instancia de EC2

Crea el certificado de emisión al inicializar el clúster. Copie el certificado de emisión en la ubicación predeterminada de la plataforma en cada instancia EC2 que se conecte al clúster.

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Especifique la ubicación del certificado de emisión.

Con SDK 5 de cliente, se utiliza la herramienta de configuración para especificar la ubicación del certificado de emisión.

PKCS #11 library
Cómo ubicar el certificado de emisión en Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Cómo ubicar el certificado de emisión en Windows para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Cómo ubicar el certificado de emisión en Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Cómo ubicar el certificado de emisión en Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Cómo ubicar el certificado de emisión en Windows para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Cómo ubicar el certificado de emisión en Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Cómo ubicar el certificado de emisión en Windows para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar una ubicación para el certificado de emisión. 

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Para obtener más información, consulte Herramienta de configuración.

Para obtener más información sobre la inicialización del clúster o la creación y firma del certificado, consulte Inicializar el clúster.

Proceso de arranque del SDK de cliente

El proceso de arranque es diferente según la versión del SDK de cliente que utilice, pero debe tener la dirección IP de uno de los módulos de seguridad de hardware (HSM) del clúster. Puede usar la dirección IP de cualquier HSM adjuntado al clúster. Una vez que el SDK de cliente se conecta, recupera las direcciones IP de cualquier HSM adicional y realiza las operaciones de equilibrio de carga y sincronización de claves del lado del cliente.

Para obtener una dirección IP para un HSM (consola)

  1. Abra la consola de AWS CloudHSM en https://console.aws.amazon.com/cloudhsm/home.

  2. Para cambiar la región de AWS, utilice el selector de regiones en la esquina superior derecha de la página.

  3. Para abrir la página de detalles del clúster, en la tabla de clústeres, elija el ID del clúster.

  4. Para obtener la dirección IP, vaya a la pestaña HSM y elija una de las direcciones IP que aparecen en la lista Dirección IP de ENI.

Para obtener una dirección IP para un HSM (AWS CLI)

  • Obtenga la dirección IP de un HSM mediante el comando describe-clusters del AWS CLI. En el resultado del comando, la dirección IP de los HSM son los valores de EniIp. 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

Para obtener más información sobre las acciones de arranque, consulte la Herramienta de configuración.

PKCS #11 library
Arranque de una instancia EC2 de Linux para SDK 5 de cliente

  • Use la herramienta de configuración para especificar la dirección IP de un HSM de su clúster. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Arranque de una instancia EC2 de Windows para SDK 5 de cliente

  • Use la herramienta de configuración para especificar la dirección IP de un HSM de su clúster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Arranque de una instancia EC2 de Linux para SDK 5 de cliente

  • Use la herramienta de configuración para especificar la dirección IP de un HSM de su clúster. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
Arranque de una instancia EC2 de Linux para SDK 5 de cliente

  • Use la herramienta de configuración para especificar la dirección IP de un HSM de su clúster. 

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Arranque de una instancia EC2 de Windows para SDK 5 de cliente

  • Use la herramienta de configuración para especificar la dirección IP de un HSM de su clúster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Arranque de una instancia EC2 de Linux para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar la dirección IP de los HSM de su clúster. 

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
Arranque de una instancia EC2 de Windows para SDK 5 de cliente

  • Utilice la herramienta de configuración para especificar la dirección IP de los HSM de su clúster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
nota

puede usar el parámetro –-cluster-id en lugar de -a <HSM_IP_ADDRESSES>. Para ver los requisitos de uso de –-cluster-id, consulte Herramienta de configuración de Client SDK 5 de AWS CloudHSM.

Arranque de una instancia EC2 de Linux para SDK 3 de cliente

  • Use configure para especificar la dirección IP de un HSM de su clúster. 

    sudo /opt/cloudhsm/bin/configure -a <IP address>
Arranque de una instancia EC2 de Windows para SDK 3 de cliente

  • Use configure para especificar la dirección IP de un HSM de su clúster. 

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

Para obtener más información sobre la configuración, consulte Herramienta de configuración de AWS CloudHSM.