Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Empezar con AWS CloudHSM
Los siguientes temas le ayudan a crear, inicializar y activar un clúster en. AWS CloudHSM Después de completar estos procedimientos, estará preparado para administrar usuarios y clústeres, y para utilizar las bibliotecas de software incluidas para realizar operaciones criptográficas. Para disfrutar de la mejor experiencia, siga los temas en el orden indicado.
**Topics**
+ [Crear grupos administrativos de IAM para AWS CloudHSM](create-iam-user.md)
+ [Cree una nube privada virtual (VPC) para AWS CloudHSM](create-vpc.md)
+ [Crear un clúster en AWS CloudHSM](create-cluster.md)
+ [Revise el grupo de seguridad de su clúster en AWS CloudHSM](configure-sg.md)
+ [Lance una instancia de cliente Amazon EC2 para interactuar con AWS CloudHSM](launch-client-instance.md)
+ [Configure los grupos de seguridad de instancias Amazon EC2 del cliente para AWS CloudHSM](configure-sg-client-instance.md)
+ [Cree un HSM en AWS CloudHSM](create-hsm.md)
+ [Compruebe la identidad y la autenticidad del HSM de su clúster en AWS CloudHSM (opcional)](verify-hsm-identity.md)
+ [Inicialice el clúster en AWS CloudHSM](initialize-cluster.md)
+ [Instalación y configuración de la CLI de CloudHSM](gs_cloudhsm_cli-install.md)
+ [Activa el clúster en AWS CloudHSM](activate-cluster.md)
+ [Configurar un TLS mutuo entre el cliente y AWS CloudHSM (recomendado)](getting-started-setup-mtls.md)
+ [Crear y usar claves en AWS CloudHSM](create-apps.md)
# Crear grupos administrativos de IAM para AWS CloudHSM
El primer paso para empezar AWS CloudHSM es configurar los permisos de IAM.
Como [práctica recomendada](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users), no utilices los tuyos Usuario raíz de la cuenta de AWS para interactuar con AWS, incluso AWS CloudHSM. En su lugar, utilice AWS Identity and Access Management (IAM) para crear un usuario de IAM, un rol de IAM o un usuario federado. Siga los pasos de la sección [Creación de un grupo de usuarios de IAM y de administradores](#create-iam-admin) para crear un grupo de administradores y adjuntarle la **AdministratorAccess**política. A continuación, cree un usuario administrador y agréguelo al grupo. Puede agregar usuarios adicionales al grupo según sea necesario. Cada usuario que añada hereda la **AdministratorAccess**política del grupo.
Otra práctica recomendada es crear un grupo de AWS CloudHSM administradores que solo tenga los permisos necesarios para ejecutarse AWS CloudHSM. Puede agregar usuarios individuales a este grupo según sea necesario. Cada usuario hereda los permisos limitados que se han asociado al grupo en lugar de tener acceso completo a AWS . La siguiente [Políticas gestionadas por el cliente para AWS CloudHSM](identity-access-management.md#permissions-for-cloudhsm) sección contiene la política que debe adjuntar a su grupo de AWS CloudHSM administradores.
AWS CloudHSM define un [rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) para su cuenta. AWS El rol vinculado al servicio define actualmente los permisos que permiten a su cuenta registrar eventos. AWS CloudHSM Usted puede crear el rol de forma automática AWS CloudHSM o manual. No puede editar el rol, pero puede eliminarlo. Para obtener más información, consulte [Funciones vinculadas al servicio para AWS CloudHSM](service-linked-roles.md).
## Creación de un grupo de usuarios de IAM y de administradores
Para comenzar, cree un usuario de IAM y un grupo de administradores para ese usuario.
### Inscríbase en un Cuenta de AWS
Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.
**Para inscribirte en una Cuenta de AWS**
1. Abrir [https://portal.aws.amazon.com/billing/registro](https://portal.aws.amazon.com/billing/signup).
1. Siga las instrucciones que se le indiquen.
Parte del procedimiento de registro consiste en recibir una llamada telefónica o mensaje de texto e indicar un código de verificación en el teclado del teléfono.
Cuando te registras en un Cuenta de AWS, *Usuario raíz de la cuenta de AWS*se crea un. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario y utilice únicamente el usuario raíz para realizar [Tareas que requieren acceso de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. En cualquier momento, puede ver la actividad de su cuenta actual y administrarla accediendo a [https://aws.amazon.com/](https://aws.amazon.com/)y seleccionando **Mi cuenta**.
### Creación de un usuario con acceso administrativo
Después de crear un usuario administrativo Cuenta de AWS, asegúrelo Usuario raíz de la cuenta de AWS AWS IAM Identity Center, habilite y cree un usuario administrativo para no usar el usuario root en las tareas diarias.
**Proteja su Usuario raíz de la cuenta de AWS**
1. Inicie sesión [Consola de administración de AWS](https://console.aws.amazon.com/)como propietario de la cuenta seleccionando el **usuario root** e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.
Para obtener ayuda para iniciar sesión con el usuario raíz, consulte [Iniciar sesión como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) en la *Guía del usuario de AWS Sign-In *.
1. Active la autenticación multifactor (MFA) para el usuario raíz.
Para obtener instrucciones, consulte [Habilitar un dispositivo MFA virtual para el usuario Cuenta de AWS raíz (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) en la Guía del usuario de *IAM*.
**Creación de un usuario con acceso administrativo**
1. Activar IAM Identity Center.
Consulte las instrucciones en [Activar AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) en la *Guía del usuario de AWS IAM Identity Center *.
1. En IAM Identity Center, conceda acceso administrativo a un usuario.
Para ver un tutorial sobre su uso Directorio de IAM Identity Center como fuente de identidad, consulte [Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) Guía del *AWS IAM Identity Center usuario*.
**Inicio de sesión como usuario con acceso de administrador**
+ Para iniciar sesión con el usuario de IAM Identity Center, use la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.
Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte [Iniciar sesión en el portal de AWS acceso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) en la *Guía del AWS Sign-In usuario*.
**Concesión de acceso a usuarios adicionales**
1. En IAM Identity Center, cree un conjunto de permisos que siga la práctica recomendada de aplicar permisos de privilegios mínimos.
Para conocer las instrucciones, consulte [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) en la *Guía del usuario de AWS IAM Identity Center *.
1. Asigne usuarios a un grupo y, a continuación, asigne el acceso de inicio de sesión único al grupo.
Para conocer las instrucciones, consulte [Add groups](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) en la *Guía del usuario de AWS IAM Identity Center *.
Para ver ejemplos de políticas AWS CloudHSM que puede adjuntar a su grupo de usuarios de IAM, consulte. [Administración de identidad y acceso para AWS CloudHSM](identity-access-management.md)
# Cree una nube privada virtual (VPC) para AWS CloudHSM
Necesita una nube privada virtual (VPC) para su clúster. AWS CloudHSM Si todavía no tiene una, siga los pasos indicados en este tema para crear una VPC.
**nota**
Si sigue estos pasos, se crearán subredes públicas y privadas.
**Para crear una VPC**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En la barra de navegación, usa el selector de regiones para elegir una de las [AWS regiones compatibles AWS CloudHSM actualmente](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region).
1. Seleccione el botón **Crear VPC.**
1. En **Recursos para crear**, elija **VPC y más**.
1. En **Generación automática del nombre de la etiqueta**, escriba un nombre identificable, como **CloudHSM**.
1. Para el **bloque IPv6 CIDR**, selecciona el bloque ** IPv6 CIDR proporcionado por Amazon para usar la IPv6 conectividad HSMs y AWS asignar un bloque** IPv6 CIDR para tu clúster. Esta configuración admite el tipo de red de doble pila. Mantén la configuración predeterminada si no necesitas conectividad. IPv6
1. Deje el resto de opciones con sus valores predeterminados.
1. Seleccione **Creación de VPC**.
1. Una vez creada la VPC, seleccione **Ver VPC** para ver la VPC que acaba de crear.
# Crear un clúster en AWS CloudHSM
Un clúster es un conjunto de módulos de seguridad de hardware individuales (HSMs). AWS CloudHSM sincroniza los HSMs de cada clúster para que funcionen como una unidad lógica. AWS CloudHSM *ofrece dos tipos de HSMs: *hsm1.medium y hsm2m.medium*.* Al crear un clúster, tiene que elegir cuál de los dos estará en él. Para obtener información detallada sobre las diferencias entre cada tipo de HSM y modo de clúster, consulte [AWS CloudHSM modos de clúster](cluster-hsm-types.md).
Al crear un clúster, AWS CloudHSM crea un grupo de seguridad para el clúster en su nombre. Este grupo de seguridad controla el acceso de HSMs la red al clúster. Solo permite conexiones entrantes desde instancias de Amazon Elastic Compute Cloud (Amazon EC2) que estén en el grupo de seguridad. De forma predeterminada, el grupo de seguridad no contiene instancias. Posteriormente, debe [lanzar una instancia de cliente](launch-client-instance.md) y [configurar el grupo de seguridad del clúster](configure-sg.md) para permitir la comunicación y las conexiones con los HSM.
**Consideraciones**
+ A continuación se presentan algunas consideraciones al crear un clúster en AWS CloudHSM:
+ Al crear un clúster, AWS CloudHSM crea un [rol vinculado a un servicio denominado HSM](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html). AWSService RoleForCloud Si AWS CloudHSM no puede crear el rol o el rol aún no existe, es posible que no pueda crear un clúster. Para obtener más información, consulte [Resolución de errores AWS CloudHSM de creación de clústeres](troubleshooting-create-cluster.md). Para obtener más información acerca de los roles vinculados a servicios, consulte [Funciones vinculadas al servicio para AWS CloudHSM](service-linked-roles.md).
+ Si utiliza el [punto final de AWS CloudHSM doble pila](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) (es decir, cloudhsmv2). **.api.aws), asegúrese de que sus políticas de IAM estén actualizadas para gestionarlas. IPv6 Para obtener más información, consulte la sección [Actualizar las políticas de IAM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/ip-access.html) a la sección Seguridad. IPv6
Puede crear un clúster desde la [consola de AWS CloudHSM](https://console.aws.amazon.com/cloudhsm/), la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), o la API de AWS CloudHSM .
Para obtener más información sobre los argumentos del clúster APIs, consulte [https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)la Referencia de AWS CLI comandos.
------
#### [ Console ]
**Para crear un clúster (consola)**
1. Abre la AWS CloudHSM consola en [https://console.aws.amazon.com/cloudhsm/casa](https://console.aws.amazon.com/cloudhsm/home).
1. En la barra de navegación, utilice el selector de regiones para elegir una de las [regiones de AWS donde se admite AWS CloudHSM actualmente](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region):
1. Elija **Create cluster**.
1. En la sección **Cluster configuration**, haga lo siguiente:
1. Para **VPC**, seleccione la VPC que ha creado en [Cree una nube privada virtual (VPC) para AWS CloudHSM](create-vpc.md).
1. Para **Zonas(s) de disponibilidad)**, junto a cada zona de disponibilidad, elija la subred privada que ha creado.
**nota**
Incluso si no AWS CloudHSM es compatible en una zona de disponibilidad determinada, el rendimiento no debería verse afectado, ya que la carga AWS CloudHSM se equilibra automáticamente HSMs en todos los componentes de un clúster. Consulte [AWS CloudHSM Regiones y puntos](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region) de conexión en *Referencia general de AWS*para ver qué zonas de disponibilidad admiten. AWS CloudHSM
1. En el caso de **tipo de HSM**, seleccione el tipo de HSM que se podrá crear en su clúster junto con el modo deseado del clúster. Para ver qué tipos de HSM se admiten en cada región, consulte la [calculadora de precios AWS CloudHSM](https://aws.amazon.com/cloudhsm/pricing/).
**importante**
No se puede cambiar el modo del clúster una vez creado el clúster. Para obtener información sobre qué tipo y modo son adecuados para el caso de uso, consulte [AWS CloudHSM modos de clúster](cluster-hsm-types.md).
1. En **Tipo de red**, elija los protocolos de direcciones IP para acceder a su HSMs. IPv4 limita la comunicación entre su aplicación y IPv4 únicamente HSMs a. Esta es la opción predeterminada. La doble pila permite ambas cosas IPv4 y la IPv6 comunicación. Para usar una pila doble, añada ambas opciones IPv4 IPv6 CIDRs a las configuraciones de VPC y subred. El tipo de red es difícil de cambiar después de la configuración inicial. Para modificarlo, cree una copia de seguridad del clúster existente y restaure un nuevo clúster con el tipo de red deseado. Para obtener más información, consulte [Crear AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) clústeres a partir de copias de seguridad
1. En el caso de **origen del clúster**, especifique si desea crear un nuevo clúster o restaurar uno desde una copia de seguridad existente.
+ Las copias de seguridad de clústeres en modo no FIPS solo se pueden usar para restaurar los clústeres que están en modo no FIPS.
+ Las copias de seguridad de clústeres en modo FIPS solo se pueden usar para restaurar los clústeres que están en modo FIPS.
1. Elija **Siguiente**.
1. Especifique durante cuánto tiempo el servicio debe retener las copias de seguridad.
1. Acepte el período de retención predeterminado de 90 días o escriba un nuevo valor de entre 7 y 379 días. El servicio eliminará automáticamente las copias de seguridad de este clúster que sean anteriores al valor que especifique aquí. Puede cambiar este valor posteriormente. Para obtener más información, consulte [Configurar la retención de copias de seguridad](manage-backup-retention.md).
1. Elija **Siguiente**.
1. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para agregar más de una etiqueta al clúster, elija **Agregar etiqueta**.
1. Elija **Revisar**.
1. Revise la configuración del clúster y, a continuación, elija **Crear clúster**.
Si sus intentos de crear un clúster fallan, es posible que se deba a problemas con las funciones AWS CloudHSM vinculadas al servicio. Para ayudar a resolver el error, consulte [Resolución de errores AWS CloudHSM de creación de clústeres](troubleshooting-create-cluster.md).
------
#### [ AWS CLI ]
**Pasos para crear un clúster ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ En el símbolo del sistema, ejecute el comando **[create-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)**. Especifique el tipo de instancia de HSM, el período de retención de la copia de seguridad y la subred IDs de las subredes en las que piensa crear. HSMs Use la subred IDs de las subredes privadas que creó. Especifique solo una subred por zona de disponibilidad.
```
$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
--backup-retention-policy Type=DAYS,Value= \
--subnet-ids \
--mode \
--network-type
{
"Cluster": {
"BackupPolicy": "DEFAULT",
"BackupRetentionPolicy": {
"Type": "DAYS",
"Value": 90
},
"VpcId": "vpc-50ae0636",
"SubnetMapping": {
"us-west-2b": "subnet-49a1bc00",
"us-west-2c": "subnet-6f950334",
"us-west-2a": "subnet-fd54af9b"
},
"SecurityGroup": "sg-6cb2c216",
"HsmType": "hsm2m.medium",
"NetworkType": "IPV4",
"Certificates": {},
"State": "CREATE_IN_PROGRESS",
"Hsms": [],
"ClusterId": "cluster-igklspoyj5v",
"ClusterMode": "FIPS",
"CreateTimestamp": 1502423370.069
}
}
```
**nota**
`ClusterMode` es un parámetro obligatorio para todos los tipos de hsm excepto para hsm1.medium.`--mode`:
```
$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
--backup-retention-policy Type=DAYS,Value= \
--subnet-ids \
--mode NON_FIPS
```
Si sus intentos de crear un clúster fallan, podría estar relacionado con problemas con las funciones vinculadas al AWS CloudHSM servicio. Para ayudar a resolver el error, consulte [Resolución de errores AWS CloudHSM de creación de clústeres](troubleshooting-create-cluster.md).
------
#### [ AWS CloudHSM API ]
**Para crear un clúster (API)AWS CloudHSM**
+ Envíe una solicitud [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html). Especifique el tipo de instancia de HSM, la política de retención de copias de seguridad y la subred IDs de las subredes en las que piensa crear. HSMs Use la subred IDs de las subredes privadas que creó. Especifique solo una subred por zona de disponibilidad.
Si sus intentos de crear un clúster fallan, podría estar relacionado con problemas con las funciones vinculadas al AWS CloudHSM servicio. Para ayudar a resolver el error, consulte [Resolución de errores AWS CloudHSM de creación de clústeres](troubleshooting-create-cluster.md).
------
# Revise el grupo de seguridad de su clúster en AWS CloudHSM
Al crear un clúster o añadir un HSM a un clúster, AWS CloudHSM crea un grupo de seguridad con ese nombre `cloudhsm-cluster--sg` si aún no existe ninguno. Este grupo de seguridad contiene una regla TCP preconfigurada que permite la comunicaciones de entrada y de salida en el grupo de seguridad del clúster en los puertos 2223-2225. Este SG permite que las instancias de EC2 usen la VPC para comunicarse con ellas en HSMs el clúster.
**aviso**
No elimine ni modifique la regla TCP preconfigurada que existe en el grupo de seguridad del clúster. Esta regla puede evitar problemas de conectividad y el acceso no autorizado a la suya. HSMs
El grupo de seguridad del clúster impide el acceso no autorizado a su HSMs. Cualquier persona que pueda acceder a las instancias del grupo de seguridad puede acceder a las suyas HSMs. La mayoría de las operaciones requieren que un usuario inicie sesión en el HSM. Sin embargo, es posible ponerlas a cero HSMs sin autenticación, lo que destruye el material clave, los certificados y otros datos. Si sucede esto, los datos creados o modificados después de la copia de seguridad más reciente se pierden y no se pueden recuperar. Para evitar el acceso no autorizado, asegúrese de que solo los administradores de confianza puedan modificar o tener acceso a las instancias del grupo de seguridad predeterminado.
Los clústeres hsm2m.medium incorporan la característica mTLS para impedir que los usuarios no autorizados se conecten al clúster. Los usuarios no autorizados necesitarán credenciales mTLS válidas para conectarse correctamente al clúster antes de intentar la puesta a cero.
En el siguiente paso, puede [lanzar una instancia de Amazon EC2](launch-client-instance.md) y conectarla a la suya HSMs [adjuntándole el grupo de seguridad del clúster](configure-sg-client-instance.md).
# Lance una instancia de cliente Amazon EC2 para interactuar con AWS CloudHSM
Para interactuar con el AWS CloudHSM clúster y las instancias de HSM y administrarlos, debe poder comunicarse con las interfaces de red elásticas de sus HSM. La forma más sencilla de hacerlo es utilizar una instancia EC2 en la misma VPC que el clúster. También puede utilizar los siguientes recursos de AWS para conectarse al clúster:
+ [Amazon VPC Peering](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html)
+ [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [Conexiones de VPN](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
**nota**
Esta guía proporciona un ejemplo simplificado de cómo conectar una instancia EC2 a su clúster. AWS CloudHSM Para obtener información sobre las prácticas recomendadas en relación con las configuraciones de redes seguras, consulte [Acceso seguro a su clúster](bp-cluster-management.md#bp-secure-access).
La AWS CloudHSM documentación suele suponer que está utilizando una instancia EC2 en la misma VPC y zona de disponibilidad (AZ) en la que creó el clúster.
**Para crear una instancia EC2;**
1. Abra el panel de control de **EC2** en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Seleccione **Lanzar instancia**. En el menú desplegable, elija **Lanzar instancia**.
1. En el campo **Nombre** escriba un nombre para la instancia EC2.
1. En la sección **Aplicaciones e imágenes de SO (imagen de máquina de Amazon)**, elija una imagen de máquina de Amazon (AMI) que corresponda a una plataforma compatible con CloudHSM. Para obtener más información, consulte [AWS CloudHSM Plataformas compatibles con Client SDK 5](client-supported-platforms.md).
1. En la sección **Tipo de instancia**, seleccione el tipo de instancia.
1. En la sección **Par de claves**, use un par de claves existente o seleccione **Crear nuevo par de claves** y siga estos pasos:
1. En **Nombre del par de claves**, introduzca un nombre para el par de claves.
1. En **Tipo de par de claves**, elija un tipo de par de claves.
1. En **Formato de archivo de la clave privada**, elija el formato de la clave privada.
1. Seleccione **Crear par de claves**.
1. Descargue y guarde el archivo de clave privada.
**importante**
Esta es la única oportunidad que tiene de guardar el archivo de clave privada. Descargue el archivo y guárdelo en un lugar seguro. Proporcione el nombre del par de claves al lanzar una instancia. Además, debe proporcionar la clave privada correspondiente cada vez que se conecte a la instancia y elegir el par de claves que creó al configurarla.
1. En **Configuración de red**, seleccione **Editar**.
1. En **VPC**, elija la VPC que ha creado anteriormente para el clúster.
1. En **Subnet** (Subred), elija la subred pública que ha creado para la VPC.
1. En **Auto-assign Public IP (Autoasignar IP pública)**, elija **Enable (Habilitar)**.
1. Para la **asignación automática de IPv6 IP**, seleccione **Habilitar** para usar la conectividad IPv6 con sus clústeres y la pila doble. NetworkType Si habilita esta opción, actualice las reglas del grupo de seguridad, las tablas de enrutamiento de subred y VPC de la instancia de Amazon EC2 y la red ACLs para permitir el tráfico IPv6 saliente de la instancia a la. HSMs
1. Elija **Seleccionar un grupo de seguridad existente**.
1. En **Grupos de seguridad comunes**, seleccione el grupo de seguridad predeterminado en el menú desplegable.
1. En **Configurar almacenamiento**, elija una configuración de almacenamiento en los menús desplegables.
1. En la ventana **Resumen**, seleccione **Lanzar instancia**.
**nota**
Al completar este paso se iniciará el proceso de creación de su instancia EC2.
Para obtener más información acerca de la creación de un cliente de Linux en Amazon EC2, consulte [Introducción a las instancias de Linux en Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html). Para obtener información acerca de la conexión al cliente en ejecución, consulte los siguientes temas:
+ [Conexión a la instancia de Linux mediante SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html)
+ [Conexión a la instancia Linux desde Windows utilizando PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html)
La guía del usuario de Amazon EC2 contiene instrucciones detalladas para configurar y utilizar las instancias Amazon EC2. La siguiente lista proporciona información general sobre la documentación disponible para los clientes de Amazon EC2 de Linux y Windows:
+ Para crear un cliente de Amazon EC2 de Linux, consulte [Introducción a las instancias de Linux en Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html).
Para obtener información acerca de la conexión al cliente en ejecución, consulte los siguientes temas:
+ [Conexión a la instancia de Linux mediante SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html)
+ [Conexión a la instancia Linux desde Windows utilizando PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html)
+ Para crear un cliente de Amazon EC2 de Windows, consulte [Introducción a las instancias de Windows en Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html). Para obtener más información acerca de cómo conectarse a su cliente de Windows, consulte [Conectarse a su instancia de Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows).
**nota**
La instancia EC2 puede ejecutar todos los AWS CLI comandos incluidos en esta guía. Si la AWS CLI no está instalada, puede descargarla desde [AWS Command Line Interface](https://aws.amazon.com/cli/). Si utiliza Windows, puede descargar y ejecutar un instalador de Windows de 64 o 32 bits. Si utiliza Linux o macOS, puede instalar la CLI con pip.
# Configure los grupos de seguridad de instancias Amazon EC2 del cliente para AWS CloudHSM
Cuando lanzaste una instancia de Amazon EC2 para tu clúster AWS CloudHSM, la asociaste a un grupo de seguridad de Amazon VPC predeterminado. En este tema, se explica cómo asociar el grupo de seguridad del clúster a la instancia EC2. Esta asociación permite que el AWS CloudHSM cliente que se ejecuta en su instancia EC2 se comunique con sus HSM. Para conectar la instancia EC2 al AWS CloudHSM clúster, debe configurar correctamente el grupo de seguridad predeterminado de la VPC y asociar el *grupo* de seguridad del clúster a la instancia.
Siga los siguientes pasos para completar los cambios de configuración.
**Topics**
+ [Paso 1. Modificar el grupo de seguridad predeterminado](#configure-sg-client-instance-modify-default-security-group)
+ [Paso 2. Conecte la instancia de Amazon EC2 al clúster AWS CloudHSM](#configure-sg-client-instance-connect-the-ec2-instance-to-the-HSM-cluster)
## Paso 1. Modificar el grupo de seguridad predeterminado
Es necesario modificar el grupo de seguridad predeterminado para permitir la conexión SSH o RDP para descargar e instalar el software de cliente e interactuar con el HSM.
**Para modificar el grupo de seguridad predeterminado**
1. Abra el panel de **EC2 en**. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Seleccione **Instances (en ejecución)** y, a continuación, active la casilla de verificación situada junto a la instancia EC2 en la que desee instalar el AWS CloudHSM cliente.
1. En la pestaña **Seguridad**, elija el grupo de seguridad denominado **Predeterminado**.
1. En la parte superior de la página, elija **Actions (Acciones)** y, a continuación, **Edit inbound rules (Editar reglas de entrada)**.
1. Seleccione **Add Rule (Añadir regla)**.
1. En **Type (Tipo)**, realice una de las operaciones siguientes:
+ Para una instancia de Amazon EC2 de Windows Server, seleccione **RDP**. El puerto `3389` se rellena automáticamente.
+ Para una instancia de Amazon EC2 de Linux, seleccione **SSH**. El rango de puertos `22` se rellena automáticamente.
1. Para cualquiera de las opciones, defina **Origen** en **Mi IP** para poder comunicarse con su instancia de Amazon EC2.
**importante**
No especifique 0.0.0.0/0 como rango CIDR, a fin de evitar permitir que cualquier persona tenga acceso a la instancia.
1. Seleccione **Save**.
## Paso 2. Conecte la instancia de Amazon EC2 al clúster AWS CloudHSM
Debe adjuntar el grupo de seguridad del clúster a la instancia EC2 para que la instancia EC2 pueda comunicarse con HSMs el clúster. El grupo de seguridad del clúster contiene una regla preconfigurada que permite la comunicación entrante en los puertos 2223-2225.
**Para conectar la instancia EC2 al clúster AWS CloudHSM**
1. Abra el **panel de control de EC2** en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Seleccione **Instancias (en ejecución)** y, a continuación, active la casilla de verificación de la instancia EC2 en la que desee instalar el AWS CloudHSM cliente.
1. En la parte superior de la página, seleccione **Acciones**, **Seguridad** y, a continuación, **Cambiar grupos de seguridad**.
1. Seleccione el grupo de seguridad cuyo nombre coincida con el ID del clúster, por ejemplo, `cloudhsm-cluster--sg`.
1. Seleccione **Agregar grupos de seguridad**.
1. Seleccione **Guardar**.
**nota**
Puede asignar un máximo de cinco grupos de seguridad a una instancia de Amazon EC2. Si ha alcanzado el límite máximo, debe modificar el grupo de seguridad predeterminado de la instancia Amazon EC2 y el grupo de seguridad de clúster:
En el grupo de seguridad predeterminado, haga lo siguiente:
Añada una regla de entrada para permitir el tráfico mediante el protocolo TCP en los puertos `2223-2225` desde el grupo de seguridad del clúster.
En el grupo de seguridad del clúster, haga lo siguiente:
Añada una regla de entrada para permitir el tráfico mediante el protocolo TCP a través de puertos `2223-2225` desde el grupo de seguridad predeterminado.
# Cree un HSM en AWS CloudHSM
Tras crear un clúster en AWS CloudHSM, puede crear un módulo de seguridad de hardware (HSM). Sin embargo, para poder crear un HSM en su clúster, este debe encontrarse en el estado sin inicializar. Para determinar el estado del clúster, consulte la [página de clústeres en la AWS CloudHSM consola](https://console.aws.amazon.com/cloudhsm/home), utilice el comando AWS CLI para ejecutar el **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** comando o envíe una [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)solicitud a la AWS CloudHSM API. Puede crear un HSM desde la [consola de AWS CloudHSM](https://console.aws.amazon.com/cloudhsm/), la [AWS CLI](https://aws.amazon.com/cli/), o la API de AWS CloudHSM .
**importante**
Cree solo un HSM mientras el clúster esté en estado no inicializado.
------
#### [ Console ]
**Para crear un HSM (consola)**
1. [Abre la AWS CloudHSM consola en casa. https://console.aws.amazon.com/cloudhsm/](https://console.aws.amazon.com/cloudhsm/home)
1. Seleccione el botón de opción situado junto al ID del clúster para el que desea crear un HSM.
1. Seleccione **Acciones**. En el menú desplegable, elija **Inicializar**.
1. Elija una zona de disponibilidad (AZ) para el HSM que está creando.
1. Seleccione **Crear**.
Después de crear un clúster y un HSM, tiene la opción de [verificar la identidad del HSM](verify-hsm-identity.md), o continuar directamente en [Inicio del clúster](initialize-cluster.md).
------
#### [ AWS CLI ]
**Para crear un HSM ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ En el símbolo del sistema, ejecute el comando **[create-hsm](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-hsm.html)**. Especifique el ID del clúster que ha creado anteriormente y una zona de disponibilidad para el HSM. Especifique la zona de disponibilidad con el formato `us-west-2a`, `us-west-2b`, etc.
```
$ aws cloudhsmv2 create-hsm --cluster-id --availability-zone
{
"Hsm": {
"HsmId": "hsm-ted36yp5b2x",
"EniIp": "10.0.1.12",
"EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
"AvailabilityZone": "us-west-2a",
"ClusterId": "cluster-igklspoyj5v",
"EniId": "eni-5d7ade72",
"SubnetId": "subnet-fd54af9b",
"State": "CREATE_IN_PROGRESS"
}
}
```
Después de crear un clúster y un HSM, tiene la opción de [verificar la identidad del HSM](verify-hsm-identity.md), o continuar directamente en [Inicio del clúster](initialize-cluster.md).
------
#### [ AWS CloudHSM API ]
**Para crear un HSM (AWS CloudHSM API)**
+ Envíe una solicitud [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html). Especifique el ID del clúster que ha creado anteriormente y una zona de disponibilidad para el HSM.
Después de crear un clúster y un HSM, tiene la opción de [verificar la identidad del HSM](verify-hsm-identity.md), o continuar directamente en [Inicio del clúster](initialize-cluster.md).
------
# Compruebe la identidad y la autenticidad del HSM de su clúster en AWS CloudHSM (opcional)
Para inicializar el clúster AWS CloudHSM, debe firmar una solicitud de firma de certificado (CSR) generada por el primer módulo de seguridad de hardware (HSM) del clúster. Antes de hacerlo, es posible que desee verificar la identidad y la autenticidad del HSM.
**nota**
Este proceso es opcional. Sin embargo, funciona únicamente hasta que se inicializa un clúster. Una vez inicializado el clúster, no puedes usar este proceso para obtener los certificados ni para verificarlos. HSMs
Para verificar la identidad del primer HSM del clúster, siga los pasos que se describen a continuación:
1. [Obtener los certificados y las CSR](#get-certificates): en este paso, recibirá tres certificados y una CSR desde el HSM. También obtendrá dos certificados raíz, uno del fabricante del hardware HSM AWS CloudHSM y otro del fabricante del hardware.
1. [Verificar las cadenas de certificados](#verify-certificate-chains): en este paso, se crean dos cadenas de certificados, una para el certificado AWS CloudHSM raíz y otra para el certificado raíz del fabricante. A continuación, verifica el certificado HSM con estas cadenas de certificados para determinarlo AWS CloudHSM y el fabricante del hardware certifica la identidad y autenticidad del HSM.
1. [Comparar las claves públicas](#compare-public-keys): en este paso, extraerá y comparará las claves públicas del certificado del HSM y de la CSR del clúster, para asegurarse de que sean las mismas. Esto debería darle la seguridad de que la CSR fue generada por un HSM auténtico y de confianza.
En el siguiente diagrama se muestran la CSR, los certificados, y la relación que existe entre unos y otros. En la lista que le sigue, se definen los distintos certificados.
![\[Certificados del HSM y sus relaciones.\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/images/hsm-certificate-relationships.png)
**AWS Certificado raíz**
Este AWS CloudHSM es el certificado raíz.
**Certificado raíz del fabricante**
Este es el certificado raíz del fabricante del hardware.
**AWS Certificado de hardware**
AWS CloudHSM creó este certificado cuando se añadió el hardware de HSM a la flota. Este certificado afirma que AWS CloudHSM es el propietario del hardware.
**Certificado de hardware del fabricante**
El fabricante del hardware del HSM creó este certificado cuando fabricó el hardware del HSM. Este certificado confirma que el fabricante creó el hardware.
**Certificado del HSM**
El certificado del HSM es generado por el hardware validado por FIPS cuando crea el primer HSM en el clúster. Este certificado confirma que el hardware del HSM creó el HSM.
**CSR del clúster**
El primer HSM crea la CSR del clúster. Al [firmar la CSR del clúster](initialize-cluster.md#sign-csr), solicita el clúster. A continuación, puede utilizar la CSR firmada para [inicializar el clúster](initialize-cluster.md#initialize).
## Paso 1. Obtención de los certificados del HSM8
Para verificar la identidad y la autenticidad del HSM, empiece por obtener una CSR y cinco certificados. Los tres certificados los obtiene del HSM, lo que puede hacer con la [AWS CloudHSM consola](https://console.aws.amazon.com/cloudhsm/), el [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) o la AWS CloudHSM API.
------
#### [ Console ]
**Para obtener la CSR y los certificados del HSM (consola)**
1. Abre la AWS CloudHSM consola en [https://console.aws.amazon.com/cloudhsm/casa.](https://console.aws.amazon.com/cloudhsm/home)
1. Seleccione el botón de opción situado junto a la ID del clúster con el HSM que desea verificar.
1. Seleccione **Acciones**. En el menú desplegable, elija **Inicializar**.
1. Si no ha completado el [paso anterior](create-hsm.md) para crear un HSM, elija una zona de disponibilidad (AZ) para el HSM que va a crear. A continuación, seleccione **Crear**.
1. Cuando los certificados y la CSR estén listos, verá enlaces para descargarlos.
![\[La página de solicitud de firma del certificado de descarga de la AWS CloudHSM consola.\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png)
1. Elija los enlaces necesarios para descargar y guardar la CSR y los certificados. Para simplificar los pasos posteriores, guarde todos los archivos en el mismo directorio y utilice los nombres de archivo predeterminados.
------
#### [ AWS CLI ]
**Para obtener la CSR y los certificados de HSM ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ En el símbolo del sistema, ejecute cuatro veces el comando **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** para extraer la CSR y cada uno de los certificados y guardarlos en archivos.
1. Escriba el siguiente comando para extraer la CSR del clúster. **Sustitúyala por el ID del clúster que creaste anteriormente.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ClusterCsr' \
> _ClusterCsr.csr
```
1. Escriba el siguiente comando para extraer el certificado del HSM. **Sustitúyalo por el ID del clúster que creaste anteriormente.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.HsmCertificate' \
> _HsmCertificate.crt
```
1. Ejecute el siguiente comando para extraer el certificado AWS de hardware. **Sustitúyalo por el ID del clúster que creó anteriormente.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.AwsHardwareCertificate' \
> _AwsHardwareCertificate.crt
```
1. Escriba el siguiente comando para extraer el certificado de hardware del fabricante. **Sustitúyalo por el ID del clúster que creaste anteriormente.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \
> _ManufacturerHardwareCertificate.crt
```
------
#### [ AWS CloudHSM API ]
**Para obtener los certificados CSR y HSM (API)AWS CloudHSM**
+ Envíe una solicitud [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html), extraiga la CSR y los certificados de la respuesta y guárdelos.
------
## Paso 2. Obtención de los certificados raíz
Siga estos pasos para obtener los certificados raíz para AWS CloudHSM y para el fabricante. Guarde los archivos del certificado raíz en el directorio que contiene los archivos de los certificados de la CSR y del HSM.
**Para obtener los certificados raíz AWS CloudHSM y los del fabricante**
1. Descargue el certificado AWS CloudHSM raíz: [AWS\$1CloudHSM\$1Root-G1.zip](samples/AWS_CloudHSM_Root-G1.zip)
1. Descargue el certificado raíz del fabricante adecuado para su tipo de HSM:
+ Certificado raíz del fabricante hsm1.medium: [liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquid_security_certificate.zip)
+ Certificado raíz del fabricante hsm2m.medium: [liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquidsecurity2_ar_v1.zip)
**nota**
Para descargar cada certificado desde su página de inicio, use los siguientes enlaces:
Página de inicio del [certificado raíz del fabricante](https://www.marvell.com/products/security-solutions/liquid-security-hsm-adapters-and-appliances/liquidsecurity-certificate.html) de hsm1.medium
Página de inicio del [certificado raíz del fabricante](https://www.marvell.com/products/security-solutions/nitrox-hs-adapters/liquidsecurity2-certificate-ls2-g-axxx-ar-f-bo-v1.html) de hsm2m.medium
Es posible que tenga que hacer clic con el botón derecho del ratón en el enlace **Descargar certificado** y, a continuación, elegir **Guardar enlace como...** para guardar el archivo del certificado.
1. Después de descargar los archivos, extraiga (descomprima) el contenido.
## Paso 3. Verificación de las cadenas de certificados
En este paso, se crean dos cadenas de certificados, una para el certificado AWS CloudHSM raíz y otra para el certificado raíz del fabricante. A continuación, utilice OpenSSL para verificar el certificado del HSM con cada una de las cadenas de certificados.
Para crear cadenas de certificados, abra un intérprete de comandos de Linux. Necesita OpenSSL, que está disponible en la mayoría de los intérpretes de comandos de Linux, y necesita el [certificado raíz](#get-root-certificates) y [los archivos del certificado del HSM](#get-certificates) que descargó. Sin embargo, no necesita el comando AWS CLI para este paso y tampoco es necesario que el shell esté asociado a su AWS cuenta.
**Para verificar el certificado HSM con el certificado AWS CloudHSM raíz**
1. Desplácese hasta el directorio donde guardó el [certificado raíz](#get-root-certificates) y los [archivos del certificado del HSM](#get-certificates) que descargó. Los siguientes comandos presuponen que todos los certificados se encuentran en el directorio actual y utilizan los nombres de archivo predeterminados.
Utilice el siguiente comando para crear una cadena de certificados que incluya el certificado de AWS hardware y el certificado AWS CloudHSM raíz, en ese orden. **Sustitúyalo por el ID del clúster que creó anteriormente.
```
$ cat _AwsHardwareCertificate.crt \
AWS_CloudHSM_Root-G1.crt \
> _AWS_chain.crt
```
1. Utilice el siguiente comando de OpenSSL para verificar el certificado del HSM con la cadena de certificados de AWS . **Sustitúyalo por el ID del clúster que creaste anteriormente.
```
$ openssl verify -CAfile _AWS_chain.crt _HsmCertificate.crt
_HsmCertificate.crt: OK
```
**Para verificar el certificado del HSM con el certificado raíz del fabricante**
1. Utilice el siguiente comando para crear una cadena de certificados que incluya el certificado de hardware del fabricante y el certificado raíz del fabricante, en ese orden. **Sustitúyalo por el ID del clúster que creaste anteriormente.
```
$ cat _ManufacturerHardwareCertificate.crt \
liquid_security_certificate.crt \
> _manufacturer_chain.crt
```
1. Utilice el siguiente comando de OpenSSL para verificar el certificado del HSM con la cadena de certificados del fabricante. **Sustitúyalo por el ID del clúster que creaste anteriormente.
```
$ openssl verify -CAfile _manufacturer_chain.crt _HsmCertificate.crt
_HsmCertificate.crt: OK
```
## Paso 4. Extracción y comparación de las claves públicas
Utilice OpenSSL para extraer y comparar las claves públicas del certificado del HSM y de la CSR del clúster, con objeto de asegurarse de que sean las mismas.
Para comparar las claves públicas, utilice el intérprete de comandos de Linux. Necesita OpenSSL, que está disponible en la mayoría de los shells de Linux, pero no lo necesita AWS CLI para este paso. No es necesario que el shell esté asociado a su AWS cuenta.
**Para extraer y comparar las claves públicas**
1. Utilice el siguiente comando para extraer la clave pública del certificado del HSM.
```
$ openssl x509 -in _HsmCertificate.crt -pubkey -noout > _HsmCertificate.pub
```
1. Utilice el siguiente comando para extraer la clave pública de la CSR del clúster.
```
$ openssl req -in _ClusterCsr.csr -pubkey -noout > _ClusterCsr.pub
```
1. Utilice el siguiente comando para comparar las claves públicas. Si las claves públicas son idénticas, el siguiente comando no devuelve ningún resultado.
```
$ diff _HsmCertificate.pub _ClusterCsr.pub
```
Después de verificar la identidad y autenticidad del HSM, continúe con [Inicio del clúster](initialize-cluster.md).
# Inicialice el clúster en AWS CloudHSM
Tras crear el clúster y añadir el módulo de seguridad de hardware (HSM) AWS CloudHSM, puede inicializarlo. Complete los pasos de los siguientes temas para inicializar un clúster de .
**nota**
Antes de inicializar el clúster, revise el proceso mediante el cual puede [comprobar la identidad y la autenticidad](verify-hsm-identity.md) del. HSMs Este proceso es opcional y solo funciona hasta que se inicializa un clúster. Una vez inicializado el clúster, no podrá utilizar este proceso para obtener sus certificados ni para verificarlos. HSMs
**Topics**
+ [Descripción general de](#initialize-cluster-overview)
+ [Paso 1. Obtención del CSR del clúster](#get-csr)
+ [Paso 2. Cree una clave privada para su CA raíz](#sign-csr-create-key)
+ [Paso 3. Firmar la CSR](#sign-csr)
+ [Paso 4. Inicio del clúster](#initialize)
## Descripción general de
El proceso de inicialización del clúster establece su propiedad y control sobre el clúster y usted HSMs mediante un sistema de autenticación basado en certificados. Este proceso demuestra criptográficamente que usted es el único propietario del HSMs clúster y crea la base de confianza que se necesitará para todas las conexiones futuras con usted HSMs.
Esta página le mostrará cómo hacer lo siguiente:
+ Recupera la solicitud de firma de certificado (CSR) de tu clúster.
+ Genera y usa las claves privadas para crear un certificado raíz autofirmado o una cadena de certificados.
+ Firme la CSR de su clúster para generar un certificado HSM firmado.
+ Inicialice el clúster con el certificado HSM firmado y el certificado o la cadena de certificados autofirmados.
Cuando esté listo para empezar, vaya al [Paso 1. Obtención del CSR del clúster](#get-csr).
## Paso 1. Obtención del CSR del clúster
Para poder inicializar el clúster, debe descargar y firmar una solicitud de firma de certificado (CSR) generada por el primer HSM del clúster. Si ha seguido los pasos para [verificar la identidad del HSM del clúster](verify-hsm-identity.md), ya tiene la CSR y puede firmarla. De lo contrario, obtén la CSR ahora mediante la [AWS CloudHSM consola](https://console.aws.amazon.com/cloudhsm/), la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) o la API. AWS CloudHSM
------
#### [ Console ]
**Para obtener la CSR (consola)**
1. Abre la AWS CloudHSM consola en [https://console.aws.amazon.com/cloudhsm/casa.](https://console.aws.amazon.com/cloudhsm/home)
1. Seleccione el botón de opción situado junto a la ID del clúster con el HSM que desea verificar.
1. Seleccione **Acciones**. En el menú desplegable, elija **Inicializar**.
1. Si no ha completado el [paso anterior](create-hsm.md) para crear un HSM, elija una zona de disponibilidad (AZ) para el HSM que va a crear. A continuación, seleccione **Crear**.
1. Cuando la CSR esté lista, verá un enlace para descargarla.
![\[Descargue la página de solicitud de firma de certificados en la AWS CloudHSM consola.\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png)
1. Elija **Cluster CSR** para descargar y guardar la CSR.
------
#### [ AWS CLI ]
**Para obtener la CSR ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ En un símbolo del sistema, ejecute el siguiente comando **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)**, que extrae la CSR y la guarda en un archivo. **Sustitúyala por el ID del clúster que [creaste anteriormente](create-cluster.md).
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ClusterCsr' \
> _ClusterCsr.csr
```
------
#### [ AWS CloudHSM API ]
**Para obtener la CSR (AWS CloudHSM API)**
1. Envíe una solicitud [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html).
1. Extraiga y guarde la CSR de la respuesta.
------
## Paso 2. Cree una clave privada para su CA raíz
**nota**
Para un clúster de producción, la clave debe crearse de forma segura mediante una fuente de asignación al azar. Recomendamos que utilice un HSM externo seguro que esté sin conexión o equivalente. Guarde la clave de forma segura. La clave establece la identidad del clúster y su control exclusivo sobre HSMs lo que contiene.
Durante las fases de desarrollo y pruebas, puede utilizar cualquier herramienta adecuada (como OpenSSL) para crear y firmar el certificado del clúster. En el ejemplo siguiente se muestra cómo crear una clave. Cuando haya utilizado la clave para crear un certificado autofirmado (vea el procedimiento a continuación), debe guardarla de forma segura. Para iniciar sesión en la AWS CloudHSM instancia, el certificado debe estar presente, pero la clave privada no.
En la siguiente tabla se describen los algoritmos, los tamaños de clave y las curvas compatibles para la generación de certificados.
| Algoritmos | Tamaño/curvas |
| --- | --- |
| **RAS 5. PKCSv1** | 2048, 3072, 4096 |
| **RSA-PSS** | 2048, 3072, 4096 |
| **ECDSA** | prime 256 v1, secp 384r1, secp 521r1 |
| **Resumir** | SHA-224, SHA-256, SHA-384 y SHA-512 |
Utilice el siguiente comando de ejemplo para crear una clave privada para la CA raíz autofirmada.
```
$ openssl genrsa -aes256 -out customerRootCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerRootCA.key:
Verifying - Enter pass phrase for customerRootCA.key:
```
## Paso 3. Firmar la CSR
En los pasos anteriores, recuperó la CSR del clúster y creó una clave privada para la CA raíz. En este paso, utilizará su clave privada para generar un certificado de firma con el fin de firmar la CSR de su clúster. Los temas siguientes le guiarán a través del proceso de creación de un único certificado autofirmado, o una cadena de certificados, mediante OpenSSL. No lo necesitas AWS CLI para este paso y tampoco es necesario que el shell esté asociado a tu cuenta. AWS
**importante**
Para inicializar su clúster, su anclaje de confianza debe cumplir con [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) y satisfacer los siguientes requisitos:
Si usa extensiones X509v3, debe estar presente la extensión X509v3 Basic Constraints.
El anclaje de confianza debe ser un certificado autofirmado.
Los valores de extensión no deben entrar en conflicto entre sí.
Elige uno de los siguientes métodos para firmar la CSR de tu clúster:
### Elija su método de certificación
Debe elegir uno de los dos enfoques siguientes. No complete ambos enfoques.
**Opción A: certificado único autofirmado**
Cree un único certificado raíz autofirmado para firmar la CSR de su clúster. Este es el método más simple y directo de establecer confianza.
**Recomendado para:**
+ Entornos en los que no se requiere una PKI externa
+ Entornos de prueba y desarrollo en los que se prefiere la simplicidad
Diríjase a: [Cree un único certificado autofirmado](#self-signed-certificate)
**Opción B: cadena de certificados con CA intermedia**
Cree una cadena de certificados con una autoridad de certificación intermedia. Una cadena de certificados intermedia proporciona mayor seguridad, escalabilidad y flexibilidad, ya que permite que las autoridades de certificación raíz (CAs) permanezcan desconectadas y deleguen la emisión de los certificados a las entidades intermedias CAs, lo que reduce el riesgo de comprometer a la entidad emisora de certificados raíz.
**Recomendado para:**
+ Entornos en los que se requiere una PKI externa
+ Integración con AWS Private Certificate Authority (PCA)
**Ejemplo de integración de AWS PCA:** puede usar una autoridad de certificación AWS privada para crear y administrar sus certificados de CA intermedios. Esto proporciona una administración automatizada del ciclo de vida de los certificados, incluidas la renovación y la revocación, al tiempo que mantiene los beneficios de seguridad de mantener su CA raíz fuera de línea. Para obtener más información sobre la AWS PCA, consulte la [Guía del usuario de AWS Private Certificate Authority](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).
Vaya a: [Cree una cadena de entidades de certificación (ICA) intermedia](#certificate-chain)
### Cree un único certificado autofirmado
El hardware de confianza que se utiliza para crear la clave privada del clúster de producción también debe proporcionar una herramienta de software para generar un certificado autofirmado con dicha clave. En el siguiente ejemplo, se utiliza OpenSSL y la clave privada que creó en el paso anterior para crear un certificado de firma de CA raíz autofirmado. El certificado es válido durante 10 años (3652 días). Lea las instrucciones que aparecen en pantalla y siga las indicaciones.
```
$ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt
Enter pass phrase for customerRootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```
Este comando crea un archivo de certificado denominado `customerRootCA.crt`. Coloque este certificado en todos los hosts desde los que se conectará al clúster. AWS CloudHSM Si asigna otro nombre al archivo o lo almacenarla en una ruta distinta de la raíz del host, debe editar el archivo de configuración del cliente según sea necesario. Utilice el certificado y la clave privada que acaba de crear para firmar la solicitud de firma de certificado (CSR) del clúster en el paso siguiente.
#### Firme la CSR del clúster con su CA raíz autofirmada
El hardware de confianza que se utiliza para crear la clave privada del clúster de producción también debe proporcionar una herramienta para firmar la CSR con dicha clave. En el siguiente ejemplo se usa OpenSSL para firmar la CSR del clúster. El siguiente comando de ejemplo firma la CSR con la firma autofirmada `customerRootCA.crt`
```
$ openssl x509 -req -days 3652 -in _ClusterCsr.csr \
-CA .crt \
-CAkey .key \
-CAcreateserial \
-out _CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM::PARTN:, for FIPS mode
Getting CA Private Key
Enter pass phrase for .key:
```
Este comando crea un archivo denominado `_CustomerHsmCertificate.crt`. Utilice este archivo como el certificado firmado al inicializar el clúster.
Verifique el certificado firmado con la CA raíz (opcional):
```
$ openssl verify -purpose sslserver -CAfile customerRootCA.crt _CustomerHsmCertificate.crt
_CustomerHsmCertificate.crt: OK
```
Tras producir el certificado HSM firmado con su CA raíz autofirmada, vaya a. [Paso 4. Inicio del clúster](#initialize)
### Cree una cadena de entidades de certificación (ICA) intermedia
En los siguientes ejemplos, se explica cómo crear una cadena de certificados de longitud 2, compuesta por una autoridad de certificación (CA) raíz y una CA intermedia. Primero creará un certificado de CA raíz autofirmado y, a continuación, generará una CA intermedia firmada por la CA raíz. Por último, utilizará la CA intermedia para firmar la CSR de su clúster, lo que creará una cadena de confianza completa desde el certificado de HSM hasta la CA raíz. Este enfoque proporciona una mayor seguridad al mantener la CA raíz desconectada y, al mismo tiempo, utilizar la CA intermedia para las operaciones de day-to-day certificación.
**importante**
Para inicializar el clúster con una cadena de certificados, la cadena debe cumplir los siguientes requisitos:
La cadena debe estar ordenada, empezando por la CA intermedia que firma la CSR del clúster. En este orden, la primera ICA debe tener un emisor que coincida con el asunto de la siguiente ICA de la cadena, y así sucesivamente.
Solo la CA raíz debe estar autofirmada, lo que significa que su emisor y su sujeto deben ser idénticos.
La cadena no debe tener más de 4 certificados (incluida la CA raíz al final) y el tamaño total de la cadena no debe superar los 16 kb (kilobytes).
Todas las autoridades de certificación (CAs) deben cumplir las directrices del [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280).
En esta sección se proporcionan ejemplos para crear una cadena de entidades de certificación intermedias mediante dos enfoques diferentes: OpenSSL para la generación local de certificados y AWS Private Certificate Authority (PCA) para los servicios de certificados gestionados. Elija el enfoque que mejor se adapte a sus requisitos de entorno y seguridad.
**nota**
Los siguientes ejemplos son casos de uso general y están simplificados, ya que utilizan la configuración más básica. Para los entornos de producción, revise las opciones de configuración adicionales y los requisitos de seguridad específicos de su caso de uso.
------
#### [ OpenSSL ]
Cree un archivo de configuración de OpenSSL con las extensiones v3 comunes para CA:
```
$ cat > ca-extensions.conf < chainCA.crt
-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----
```
Firme la CSR del clúster con su CA intermedia:
```
$ openssl x509 -req -days 3652 -in _ClusterCsr.csr \
-CA intermediateCA.crt \
-CAkey intermediateCA.key \
-CAcreateserial \
-out _CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM::PARTN:, for FIPS mode
Getting CA Private Key
Enter pass phrase for intermediateCA.key:
```
------
#### [ AWS PCA ]
Cree y active una CA raíz con AWS Private Certificate Authority:
```
$ # 1. Create Root CA
aws acm-pca create-certificate-authority \
--certificate-authority-configuration \
"KeyAlgorithm=RSA_4096,
SigningAlgorithm=SHA256WITHRSA,
Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=RootCA}" \
--certificate-authority-type ROOT
# Store the Root CA Authority ARN from the previous output
ROOT_CA_AUTHORITY_ARN="arn:aws:acm-pca:::certificate-authority/"
# 2. Generate Root CA CSR
aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--output text > customerRootCA.csr
# 3. Self-sign Root CA Certificate
aws acm-pca issue-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--csr fileb://customerRootCA.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3652,Type=DAYS
# Store the Root CA certificate ARN from the previous output
ROOT_CA_ARN="arn:aws:acm-pca:::certificate-authority//certificate/"
# 4. Retrieve the Root CA certificate
aws acm-pca get-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--certificate-arn $ROOT_CA_ARN \
--output text > customerRootCA.crt
# 5. Import the Root CA Certificate
aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--certificate fileb://customerRootCA.crt
```
Cree y active una CA subordinada (también conocida como CA intermedia):
```
$ # 6. Create Subordinate CA
aws acm-pca create-certificate-authority \
--certificate-authority-configuration \
"KeyAlgorithm=RSA_4096,
SigningAlgorithm=SHA256WITHRSA,
Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=SubordinateCA}" \
--certificate-authority-type SUBORDINATE
# Store the Subordinate CA Authority ARN from the previous output
SUB_CA_AUTHORITY_ARN="arn:aws:acm-pca:::certificate-authority/"
# 7. Generate Subordinate CA CSR
aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
--output text > intermediateCA.csr
# 8. Issue Subordinate CA Certificate using Root CA
aws acm-pca issue-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--csr fileb://intermediateCA.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 \
--validity Value=3651,Type=DAYS
# Store the Subordinate CA certificate ARN from the previous output
SUB_CA_ARN="arn:aws:acm-pca:::certificate-authority/"
# 9. Retrieve Subordinate CA Certificate
aws acm-pca get-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--certificate-arn $SUB_CA_ARN \
--query 'Certificate' \
--output text > intermediateCA.crt
# 10. Import the Subordinate CA Certificate
aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
--certificate fileb://intermediateCA.crt \
--certificate-chain fileb://customerRootCA.crt
```
Combine los certificados en un archivo en cadena:
```
$ cat intermediateCA.crt customerRootCA.crt > chainCA.crt
-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----
```
Firme la CSR del clúster con AWS PCA:
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
--csr fileb://_ClusterCsr.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/EndEntityCertificate/V1 \
--validity Value=3650,Type=DAYS
# Store your cluster's cert ARN from the previous output
CLUSTER_CERT_ARN="arn:aws:acm-pca:::certificate-authority/"
```
Descargue el certificado de clúster firmado:
```
$ aws acm-pca get-certificate \
--certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
--certificate-arn $CLUSTER_CERT_ARN \
--output text --query Certificate > _CustomerHsmCertificate.crt
```
------
Este comando crea un archivo denominado `_CustomerHsmCertificate.crt`. Utilice este archivo como el certificado firmado al inicializar el clúster.
Verifique el certificado firmado con la cadena de certificados (opcional):
```
$ openssl verify -purpose sslserver -CAfile chainCA.crt _CustomerHsmCertificate.crt
_CustomerHsmCertificate.crt: OK
```
Tras producir el certificado HSM firmado con su CA intermedia, vaya a[Paso 4. Inicio del clúster](#initialize).
## Paso 4. Inicio del clúster
Use el certificado HSM firmado y su certificado de firma para inicializar el clúster. Puede utilizar la [AWS CloudHSM consola [AWS CLI](https://aws.amazon.com/cli/)](https://console.aws.amazon.com/cloudhsm/), la o la AWS CloudHSM API.
------
#### [ Console ]
**Para inicializar el clúster (consola)**
1. Abre la AWS CloudHSM consola en [https://console.aws.amazon.com/cloudhsm/casa](https://console.aws.amazon.com/cloudhsm/home).
1. Seleccione el botón de opción situado junto a la ID del clúster con el HSM que desea verificar.
1. Seleccione **Acciones**. En el menú desplegable, elija **Inicializar**.
1. Si no ha completado el [paso anterior](create-hsm.md) para crear un HSM, elija una zona de disponibilidad (AZ) para el HSM que va a crear. A continuación, seleccione **Crear**.
1. En la página de **descarga de solicitud de firma de certificado**, elija **Next** (Siguiente). Si la opción **Next** no está disponible, primero elija uno de los enlaces de certificados o de CSR. A continuación, elija **Siguiente**.
1. En la página **Sign certificate signing request (CSR)**, elija **Next**.
1. En la página **Upload the certificates**, haga lo siguiente:
1. Junto a **Cluster certificate**, elija **Upload file**. A continuación, localice y seleccione el certificado del HSM que firmó anteriormente. Si ha realizado los pasos de la sección anterior, seleccione el archivo `_CustomerHsmCertificate.crt`.
1. Junto a **Issuing certificate**, elija **Upload file**. A continuación, seleccione su certificado de firma según el método que haya elegido:
+ **Si eligió la opción A (certificado único autofirmado):** seleccione el archivo denominado `.crt`
+ **Si eligió la opción B (cadena de certificados):** seleccione el archivo denominado `.crt`
1. Elija **Upload and initialize**.
------
#### [ AWS CLI ]
**Para inicializar un clúster ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ En el símbolo del sistema, ejecute el comando **[initialize-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/initialize-cluster.html)**. Proporcione lo siguiente:
+ El ID del clúster que ha creado anteriormente.
+ El certificado del HSM que firmó anteriormente. Si ha realizado los pasos de la sección anterior, se encuentra en un archivo denominado `_CustomerHsmCertificate.crt`.
+ Su certificado de firma se basa en el enfoque que haya elegido:
+ **Si eligió la opción A (certificado único autofirmado):** utilice el archivo denominado `.crt`
+ **Si eligió la opción B (cadena de certificados):** utilice el archivo denominado `.crt`
```
$ aws cloudhsmv2 initialize-cluster --cluster-id \
--signed-cert file://_CustomerHsmCertificate.crt \
--trust-anchor file://
{
"State": "INITIALIZE_IN_PROGRESS",
"StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
}
```
------
#### [ AWS CloudHSM API ]
**Para inicializar un clúster (AWS CloudHSM API)**
+ Envíe una solicitud [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_InitializeCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_InitializeCluster.html) con lo siguiente:
+ El ID del clúster que ha creado anteriormente.
+ El certificado del HSM que firmó anteriormente. Si ha realizado los pasos de la sección anterior, se encuentra en un archivo denominado `_CustomerHsmCertificate.crt`.
+ Su certificado de firma se basa en el enfoque que haya elegido:
+ **Si eligió la opción A (certificado único autofirmado):** utilice el archivo denominado `.crt`
+ **Si eligió la opción B (cadena de certificados):** utilice el archivo denominado `.crt`
------
# Instalación y configuración de la CLI de CloudHSM
Para interactuar con el HSM de su AWS CloudHSM clúster, necesita la CLI de CloudHSM.
Conéctese a su instancia de cliente y ejecute los siguientes comandos para descargar e instalar las herramientas de línea de AWS CloudHSM comandos. Para obtener más información, consulte [Lance una instancia de cliente Amazon EC2 para interactuar con AWS CloudHSM](launch-client-instance.md).
------
#### [ Amazon Linux 2023 ]
Amazon Linux 2023 en arquitectura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.amzn2023.x86_64.rpm
```
Amazon Linux 2023 sobre ARM64 arquitectura:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.amzn2023.aarch64.rpm
```
------
#### [ Amazon Linux 2 ]
Amazon Linux 2 en arquitectura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el7.x86_64.rpm
```
Amazon Linux 2 sobre ARM64 arquitectura:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el7.aarch64.rpm
```
------
#### [ RHEL 10 (10.0\$1) ]
RHEL 10 en la arquitectura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el10.x86_64.rpm
```
RHEL 10 sobre arquitectura: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el10.aarch64.rpm
```
------
#### [ RHEL 9 (9.2\$1) ]
RHEL 9 en arquitectura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el9.x86_64.rpm
```
RHEL 9 sobre ARM64 arquitectura:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el9.aarch64.rpm
```
------
#### [ RHEL 8 (8.3\$1) ]
RHEL 8 en arquitectura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el8.x86_64.rpm
```
RHEL 8 sobre ARM64 arquitectura:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el8.aarch64.rpm
```
------
#### [ Ubuntu 24.04 LTS ]
Ubuntu 24.04 LTS en arquitectura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_amd64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u24.04_amd64.deb
```
Ubuntu 24.04 LTS en arquitectura: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_arm64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u24.04_arm64.deb
```
------
#### [ Ubuntu 22.04 LTS ]
Ubuntu 22.04 LTS en arquitectura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_amd64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u22.04_amd64.deb
```
Ubuntu 22.04 LTS en arquitectura: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_arm64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u22.04_arm64.deb
```
------
#### [ Windows Server 2022 ]
Para Windows Server 2022 con una arquitectura x86\$164, ábralo PowerShell como administrador y ejecute el siguiente comando:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
#### [ Windows Server 2019 ]
Para Windows Server 2019 con una arquitectura x86\$164, ábralo PowerShell como administrador y ejecute el siguiente comando:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
#### [ Windows Server 2016 ]
Para Windows Server 2016 con una arquitectura x86\$164, ábralo PowerShell como administrador y ejecute el siguiente comando:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
Use los siguientes comandos para configurar la CLI de CloudHSM.
**Para iniciar una EC2 instancia de Linux para Client SDK 5**
+ Utilice la herramienta de configuración para especificar la dirección IP de los HSM de su clúster.
```
$ sudo /opt/cloudhsm/bin/configure-cli -a
```
**Para iniciar una EC2 instancia de Windows para Client SDK 5**
+ Utilice la herramienta de configuración para especificar la dirección IP de los HSM de su clúster.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a
```
# Activa el clúster en AWS CloudHSM
Al activar un AWS CloudHSM clúster, el estado del clúster cambia de inicializado a activo. A continuación, puede [administrar los usuarios de hardware security module (HSM)](manage-hsm-users.md) y [utilizar el HSM](use-hsm.md).
**importante**
Antes de poder activar el clúster, primero debe copiar el certificado de emisión en la ubicación predeterminada de la plataforma en cada EC2 instancia que se conecte al clúster (el certificado de emisión se crea al inicializar el clúster). Utilice el archivo de certificado adecuado en función del enfoque que haya elegido durante la inicialización del clúster:
**Si eligió la opción A (certificado único autofirmado)**: Copie `customerRootCA.crt`
**Si eligió la opción B (cadena de certificados): Copiar** `chainCA.crt`
**Ubicación de Linux:**
```
/opt/cloudhsm/etc/
```
**Ubicación de Windows:**
```
C:\ProgramData\Amazon\CloudHSM\
```
Tras copiar el archivo de certificado, edítelo `/opt/cloudhsm/etc/cloudhsm-cli.cfg` para asegurarse de que el nombre del archivo de certificado coincide con el nombre del certificado de CA que ha copiado.
Tras colocar el certificado de emisión, instale la CLI de CloudHSM y ejecute el comando [**cluster activate**](cloudhsm_cli-cluster-activate.md) en su primer HSM. Observará que la cuenta de administrador del primer HSM del clúster tiene el [rol de administrador desactivado](understanding-users.md). Se trata de un rol temporario que solo existe antes de la activación del clúster. Al activar el clúster, el rol de administrador desactivado cambia a administrador.
**Para activar un clúster**
1. Conéctese con la instancia de cliente que lanzó anteriormente. Para obtener más información, consulte [Lance una instancia de cliente Amazon EC2 para interactuar con AWS CloudHSM](launch-client-instance.md). Puede lanzar una instancia de Linux o Windows Server.
1. Ejecute la CLI de CloudHSM en modo interactivo.
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. (Opcional) Utilice el comando **user list** para mostrar los usuarios existentes.
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "unactivated-admin",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
}
]
}
}
```
1. Utilice el comando **cluster activate** para establecer la contraseña de administrador inicial.
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
Le recomendamos que anote la contraseña nueva en una hoja de cálculo de contraseñas. No pierda la hoja de cálculo. Le recomendamos que imprima una copia de la hoja de cálculo de contraseñas, que utilice dicha hoja para registrar las contraseñas de HSM de importancia fundamental y que después la guarde en un lugar seguro. También es conveniente que guarde una copia de esta hoja de cálculo en un lugar seguro fuera de las instalaciones.
1. (Opcional) Utilice el comando **user list** para verificar que el tipo de usuario ha cambiado a [administrador o CO](understanding-users-cmu.md#crypto-officer).
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
}
]
}
}
```
1. Utilice el comando **quit** para detener la herramienta CLI de CloudHSM.
```
aws-cloudhsm > quit
```
Para obtener más información sobre cómo trabajar con la CLI o la CMU de CloudHSM, consulte [Descripción de los usuarios de HSM](understanding-users.md) y [Descripción de la administración de usuarios de HSM con CMU](understand-users.md).
# Configurar un TLS mutuo entre el cliente y AWS CloudHSM (recomendado)
En los temas siguientes se describen los pasos que debe realizar para habilitar la seguridad de la capa de transporte (mTLS) mutua entre el cliente y. AWS CloudHSM
**Consideraciones**
+ Actualmente, esta característica está disponible exclusivamente en hsm2m.medium. Para obtener más información sobre los tipos de HSM, consulte [AWS CloudHSM modos de clúster](cluster-hsm-types.md).
+ Los almacenes de AWS CloudHSM claves utilizados con ellos no admiten mTLS. AWS Key Management Service
**Topics**
+ [Paso 1. Creación y registro de un anclaje de veracidad en el HSM](#setup-mtls-create-and-register-trust-anchor)
+ [Paso 2. Habilite los mTLS para AWS CloudHSM](#getting-start-setup-mtl-sdk)
+ [Paso 3. Establezca la aplicación de los mTLS para AWS CloudHSM](#getting-start-setup-mtls-enforcement)
## Paso 1. Creación y registro de un anclaje de veracidad en el HSM
Se debe crear y registrar un anclaje de veracidad en el HSM antes de habilitar la mTLS. Se trata de un proceso de dos partes:
**Topics**
+ [Crear una clave privada y un certificado raíz autofirmado](#setup-mtls-create-trust-anchor)
+ [Registro del anclaje de veracidad en el HSM](#setup-mtls-register-trust-anchor)
### Crear una clave privada y un certificado raíz autofirmado
**nota**
Para un clúster de producción, la clave debe crearse de forma segura mediante una fuente de asignación al azar. Recomendamos que utilice un HSM externo seguro que esté sin conexión o equivalente. Guarde la clave de forma segura.
Durante las fases de desarrollo y pruebas, puede utilizar cualquier herramienta adecuada (como OpenSSL) para crear la clave y autofirmar un certificado raíz. Necesitará la clave y el certificado raíz para firmar el certificado de cliente en el formulario de [activación de mTLS. AWS CloudHSM](#getting-start-setup-mtl-sdk)
En los siguientes ejemplos, se muestra cómo crear una clave privada y un certificado raíz autofirmado con [OpenSSL](https://www.openssl.org/).
**Example : creación de una clave privada con OpenSSL**
Use el siguiente comando para crear una clave RSA de 4096 bits y cifrada con el algoritmo AES-256. Para usar este ejemplo, ** reemplácelo por el nombre del archivo en el que desee almacenar la clave.
```
$ openssl genrsa -out -aes256 4096
Generating RSA private key, 4096 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase for mtls_ca_root_1.key:
Verifying - Enter pass phrase for mtls_ca_root_1.key:
```
**Example — Crear un certificado raíz autofirmado con OpenSSL**
Use el siguiente comando para crear un certificado raíz autofirmado y denominado `mtls_ca_root_1.crt` a partir de la clave privada que acaba de crear. El certificado es válido durante 25 años (9130 días). Lea las instrucciones que aparecen en pantalla y siga las indicaciones.
```
$ openssl req -new -x509 -days 9130 -key mtls_ca_root_1.key -out mtls_ca_root_1.crt
Enter pass phrase for mtls_ca_root_1.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```
### Registro del anclaje de veracidad en el HSM
Tras crear un certificado raíz autofirmado, el administrador debe registrarlo como ancla de confianza en el AWS CloudHSM clúster.
**Para registrar un anclaje de veracidad en el HSM**
1. Use el siguiente comando para iniciar la CLI de CloudHSM:
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. Inicie sesión en la CLI de CloudHSM como administrador.
```
aws-cloudhsm > login --username --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "",
"role": "admin"
}
}
```
1. Use el comando ** [Registrar un anclaje de veracidad con la CLI de CloudHSM](cloudhsm_cli-cluster-mtls-register-trust-anchor.md) ** para registrar el anclaje de veracidad. Para obtener más información, consulte el siguiente ejemplo o utilice el comando **help cluster mtls register-trust-anchor**.
**Example — Registre un ancla de confianza con AWS CloudHSM el clúster**
En el siguiente ejemplo, se muestra cómo se usa el comando **cluster mtls register-trust-anchor** la CLI de CloudHSM para registrar un anclaje de veracidad en el HSM. Para utilizar este comando, el administrador tiene que haber iniciado sesión en el HSM. Reemplace estos valores por sus propios valores:
```
aws-cloudhsm > cluster mtls register-trust-anchor --path
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
AWS CloudHSM admite el registro de certificados intermedios como ancla de confianza. En esos casos, todo el archivo de cadena de certificados codificados en PEM debe registrarse en el HSM junto con los certificados en orden jerárquico.
AWS CloudHSM admite una cadena de certificados de 6980 bytes.
Tras registrar correctamente el anclaje de veracidad, puede ejecutar el comando **cluster mtls list-trust-anchors** para comprobar los anclajes de veracidad registrados actualmente, como se muestra a continuación:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
El número máximo de anclajes de veracidad que se puede registrar en hsm2m.medium es dos (2).
## Paso 2. Habilite los mTLS para AWS CloudHSM
Para habilitar los mTLS AWS CloudHSM, debe crear una clave privada y un certificado de cliente firmados con el certificado raíz que generamos en [Crear y registrar un anclaje de confianza en el HSM y, a continuación, utilizar cualquiera de las](#setup-mtls-create-and-register-trust-anchor) herramientas de configuración del SDK 5 del cliente para configurar la ruta de la clave privada y la ruta de la cadena del certificado de cliente.
**Topics**
+ [Crear una clave privada y una cadena del certificado de cliente](#create-client-ssl)
+ [Configurar mTLS para Client SDK 5](#enable-ssl-5)
### Crear una clave privada y una cadena del certificado de cliente
**Example : creación de una clave privada con OpenSSL**
Use el siguiente comando para crear una clave RSA de 4096 bits. Para usar este ejemplo, ** sustitúyalo por el nombre del archivo en el que deseas almacenar la clave.
```
$ openssl genrsa -out 4096
Generating RSA private key, 4096 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
```
**Example – Generar una solicitud de firma de certificado (CSR) con OpenSSL**
Use el siguiente comando para generar una solicitud de firma de certificado (CSR) desde la clave privada que acaba de crear. Lea las instrucciones que aparecen en pantalla y siga las indicaciones.
```
$ openssl req -new -key -out
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```
**Example – Firmar la CSR mediante el certificado raíz**
Use el siguiente comando para firmar la CSR con el certificado raíz que creamos y registramos en [Creación y registro de un anclaje de veracidad en el HSM](#setup-mtls-create-and-register-trust-anchor) y crear un certificado de cliente denominado `ssl-client.crt`. El certificado es válido durante 5 años (1826 días).
```
$ openssl x509 -req -days 1826 -in -CA -CAkey -CAcreateserial -out
```
**Example – Crear una cadena de certificados del cliente**
Use el siguiente comando para combinar el certificado de cliente y el certificado raíz que creamos y registramos en [Crear y registrar un anclaje de veracidad en el HSM](#setup-mtls-create-and-register-trust-anchor) y crear una cadena de certificados del cliente denominada `ssl-client.pem`, que se usará la configuración en el paso siguiente.
```
$ cat >
```
Si registró certificados intermedios en [Creación y registro de un anclaje de veracidad en el HSM](#setup-mtls-create-and-register-trust-anchor) como anclaje de veracidad, procure combinar el certificado de cliente con toda la cadena de certificados para crear una cadena de certificados del cliente.
### Configurar mTLS para Client SDK 5
Use cualquiera de las herramientas de configuración de Client SDK5 para habilitar la TLS mutua proporcionando la ruta de clave de cliente y la ruta de cadena de certificados del cliente correctas. Para obtener más información sobre la herramienta de configuración para Client SDK 5, consulte [AWS CloudHSM Herramienta de configuración Client SDK 5](configure-sdk-5.md).
------
#### [ PKCS \$111 library ]
**Cómo usar un certificado y una clave personalizados para la autenticación mutua cliente-servidor de TLS con Client SDK 5 en Linux**
1. Copie la clave y el certificado en el directorio adecuado.
```
$ sudo cp ssl-client.pem
$ sudo cp ssl-client.key
```
1. Use la herramienta de configuración para especificar `ssl-client.pem` y `ssl-client.key`.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Cómo usar un certificado y una clave personalizados para la autenticación mutua de cliente al HSM con Client SDK 5 en Windows**
1. Copie la clave y el certificado en el directorio adecuado.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Con un PowerShell intérprete, utilice la herramienta de configuración para especificar `ssl-client.pem` y`ssl-client.key`.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
------
#### [ OpenSSL Dynamic Engine ]
**Cómo usar un certificado y una clave personalizados para la autenticación mutua cliente-servidor de TLS con Client SDK 5 en Linux**
1. Copie la clave y el certificado en el directorio adecuado.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. Use la herramienta de configuración para especificar `ssl-client.pem` y `ssl-client.key`.
```
$ sudo /opt/cloudhsm/bin/configure-dyn \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
------
#### [ Key Storage Provider (KSP) ]
**Cómo usar un certificado y una clave personalizados para la autenticación mutua de cliente al HSM con Client SDK 5 en Windows**
1. Copie la clave y el certificado en el directorio adecuado.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Con un PowerShell intérprete, utilice la herramienta de configuración para especificar `ssl-client.pem` y`ssl-client.key`.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
------
#### [ JCE provider ]
**Cómo usar un certificado y una clave personalizados para la autenticación mutua cliente-servidor de TLS con Client SDK 5 en Linux**
1. Copie la clave y el certificado en el directorio adecuado.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. Use la herramienta de configuración para especificar `ssl-client.pem` y `ssl-client.key`.
```
$ sudo /opt/cloudhsm/bin/configure-jce \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Cómo usar un certificado y una clave personalizados para la autenticación mutua de cliente al HSM con Client SDK 5 en Windows**
1. Copie la clave y el certificado en el directorio adecuado.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Con un PowerShell intérprete, utilice la herramienta de configuración para especificar `ssl-client.pem` y`ssl-client.key`.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
------
#### [ CloudHSM CLI ]
**Cómo usar un certificado y una clave personalizados para la autenticación mutua cliente-servidor de TLS con Client SDK 5 en Linux**
1. Copie la clave y el certificado en el directorio adecuado.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. Use la herramienta de configuración para especificar `ssl-client.pem` y `ssl-client.key`.
```
$ sudo /opt/cloudhsm/bin/configure-cli \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Cómo usar un certificado y una clave personalizados para la autenticación mutua de cliente al HSM con Client SDK 5 en Windows**
1. Copie la clave y el certificado en el directorio adecuado.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Con un PowerShell intérprete, utilice la herramienta de configuración para especificar `ssl-client.pem` y`ssl-client.key`.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
------
## Paso 3. Establezca la aplicación de los mTLS para AWS CloudHSM
Tras la configuración con cualquiera de las herramientas de configuración del SDK 5 del cliente, la conexión entre el cliente y la TLS AWS CloudHSM será mutua en el clúster. Sin embargo, al eliminar la ruta de claves privada y la ruta de la cadena de certificados del cliente del archivo de configuración, la conexión volverá a ser una TLS normal. Puede usar la CLI de CloudHSM para configurar la aplicación de mtls en el clúster siguiendo estos pasos:
1. Use el siguiente comando para iniciar la CLI de CloudHSM:
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. Inicie sesión en la CLI de CloudHSM como administrador.
```
aws-cloudhsm > login --username --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "",
"role": "admin"
}
}
```
**nota**
1. Corrobore haber configurado la CLI de CloudHSM e iníciela con una conexión mTLS.
2. Debe haber iniciado sesión como el usuario administrador predeterminado, con el nombre de usuario **admin**, antes de establecer la aplicación obligatoria de mTLS.
1. Use el comando ** [Establecer el nivel de cumplimiento de mTLS con la CLI de CloudHSM](cloudhsm_cli-cluster-mtls-set-enforcement.md) ** para configurar la aplicación. Para obtener más información, consulte el siguiente ejemplo o utilice el comando **help cluster mtls set-enforcement**.
**Example — Configure la aplicación de los mTLS mediante un clúster AWS CloudHSM**
En el siguiente ejemplo, se muestra cómo se usa el comando **cluster mtls set-enforcement** en la CLI de CloudHSM para establecer la aplicación de mTLS con el HSM. Para usar este comando, el administrador con nombre usuario como administrador debe iniciar sesión en el HSM.
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
**aviso**
Después de aplicar el uso de mTLS en el clúster, se eliminarán todas las conexiones existentes que no sean mTLS y solo podrá conectarse al clúster con certificados mTLS.
# Crear y usar claves en AWS CloudHSM
[Antes de poder crear y usar claves en su nuevo clúster, cree un usuario del módulo de seguridad de hardware (HSM) con la CLI de AWS CloudHSM. Para obtener más información, [consulte Descripción de las tareas de administración de usuarios de HSM](understand-users.md), Introducción [a la interfaz de línea de comandos (CLI) de AWS CloudHSM](cloudhsm_cli-getting-started.md) y Cómo administrar los usuarios de HSM.](manage-hsm-users.md)
**nota**
Si utiliza SDK 3 de cliente, use [Utilidad de administración de CloudHSM (CMU)](cloudhsm_mgmt_util.md) en lugar de la CLI de CloudHSM.
Después de crear usuarios de HSM, puede iniciar sesión en el HSM y administrar claves mediante cualquiera de las siguientes opciones:
+ Uso de [Utilidad de administración de claves, una herramienta de línea de comandos](key_mgmt_util-getting-started.md)
+ Creación de una aplicación C con la [biblioteca PKCS \$111](pkcs11-library.md)
+ Creación de una aplicación Java con el [proveedor de JCE](java-library.md)
+ Utilización del [motor dinámico de OpenSSL directamente desde la línea de comandos](openssl-library.md)
+ Utilización del motor dinámico de OpenSSL para la descarga de TLS con [los servidores web NGINX y Apache](ssl-offload.md)
+ Utilice el proveedor de almacenamiento de claves (KSP) para AWS CloudHSM [Microsoft Windows Server Certificate Authority (CA)](win-ca-overview-sdk5.md)
+ Utilice el proveedor de almacenamiento de claves (KSP) AWS CloudHSM con la herramienta [Microsoft Sign](signtool-sdk5.md)
+ Use el Proveedor de almacenamiento de claves (KSP) para descarga de TLS con el [Servidor web de Internet Information Server (IIS)](ssl-offload.md)