Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Reconfigurar SSL con un certificado y una clave privada nuevos (opcional)
AWS CloudHSM utiliza un SSL certificado para establecer una conexión con unHSM. Al instalar el cliente, se incluyen una clave y un SSL certificado predeterminados. Sin embargo, puede crear y usar los suyos. Tenga en cuenta que necesitará el certificado autofirmado (customerCA.crt) que creó al inicializar el clúster.
A un nivel alto, es un proceso que consta de dos pasos:
-
Primero, crea una clave privada y, a continuación, usa esa clave para crear una solicitud de firma de certificado (CSR). Utilice el certificado emisor, el certificado que creó al inicializar el clúster, para firmarlo. CSR
-
A continuación, utilice la herramienta de configuración para copiar la clave y el certificado en los directorios correspondientes.
Cree una clave, a yCSR, a continuación, firme el CSR
Los pasos son los mismos para el cliente SDK 3 o el cliente SDK 5.
Para volver a configurarlo SSL con un certificado y una clave privada nuevos
-
Cree una clave privada mediante el siguiente SSL comando Abrir:
openssl genrsa -out ssl-client.key 2048Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) -
Utilice el siguiente SSL comando Abrir para crear una solicitud de firma de certificado (CSR). Se le harán varias preguntas sobre su certificado.
openssl req -new -sha256 -key ssl-client.key -out ssl-client.csrEnter pass phrase for ssl-client.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: -
Firme CSR con el
customerCA.crtcertificado que creó al inicializar el clúster.openssl x509 -req -days 3652 -in ssl-client.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out ssl-client.crtSignature ok subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales Getting CA Private Key
Habilite la opción personalizada para SSL AWS CloudHSM
Los pasos son diferentes para el Cliente SDK 3 o el Cliente SDK 5. Para obtener más información acerca de cómo trabajar con la herramienta de línea de comandos, consulte Herramienta de configuración.
Personalizado SSL para el cliente SDK 3
Utilice la herramienta de configuración del Cliente SDK 3 para habilitar la personalizaciónSSL. Para obtener más información sobre la herramienta de configuración para el Cliente SDK 3, consulteHerramienta de configuración Client SDK 3.
Para usar un certificado y una clave personalizados para la autenticación mutua TLS cliente-servidor con el Cliente SDK 3 en Linux
-
Copie la clave y el certificado en el directorio adecuado.
sudo cp ssl-client.crt/opt/cloudhsm/etcsudo cp ssl-client.key/opt/cloudhsm/etc -
Use la herramienta de configuración para especificar
ssl-client.crtyssl-client.key.sudo /opt/cloudhsm/bin/configure --ssl \ --pkey/opt/cloudhsm/etc/ssl-client.key\ --cert/opt/cloudhsm/etc/ssl-client.crt -
Agregue el certificado
customerCA.crtal almacén de confianza. Cree un hash del nombre del firmante del certificado. De este modo se crea un índice que permite que busque el certificado por ese nombre.openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1 1234abcdCree un directorio.
mkdir /opt/cloudhsm/etc/certsCree un archivo que contenga el certificado con el nombre de hash.
sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0
Personalizado SSL para el cliente 5 SDK
Utilice cualquiera de las herramientas de configuración del Cliente SDK 5 para habilitar la personalizaciónSSL. Para obtener más información sobre la herramienta de configuración para el Cliente SDK 5, consulteHerramienta de configuración del Cliente SDK 5.
