Cómo funciona la descarga de SSL/TLS con AWS CloudHSM
Para establecer una conexión HTTPS, el servidor web realiza un proceso de protocolo de enlace con los clientes. Como parte de este proceso, el servidor descarga parte del procesamiento criptográfico en los HSM del clúster del AWS CloudHSM, tal y como se muestra en la siguiente figura. Cada paso del proceso se explica debajo de la figura.
nota
En la imagen y el proceso siguientes se presupone que se utiliza RSA para la verificación del servidor y el intercambio de claves. El proceso es un tanto diferente cuando se utiliza Diffie–Hellman en lugar de RSA.
-
El cliente envía un mensaje de saludo al servidor.
-
El servidor responde con un mensaje de saludo y envía el certificado del servidor.
-
El cliente realiza las siguientes acciones:
-
Verifica que el certificado del servidor SSL/TLS esté firmado por uno de los certificados raíz en los que confía el cliente.
-
Extrae la clave pública del certificado del servidor.
-
Genera un número secreto principal preliminar y lo cifra con la clave pública del servidor.
-
Envía el número secreto principal preliminar cifrado al servidor.
-
-
Para descifrar el número secreto principal preliminar del cliente, el servidor lo envía al HSM. El HSM utiliza la clave privada del HSM para descifrar el número secreto principal preliminar y, a continuación, lo envía al servidor. Independientemente, el cliente y el servidor utilizan cada uno el número secreto principal preliminar e información de los mensajes de saludo para calcular un secreto maestro.
-
El proceso de protocolo de enlace finaliza. Durante el resto de la sesión, todos los mensajes enviados entre el cliente y el servidor se cifran con derivados del secreto maestro.
Para obtener información acerca de cómo configurar la descarga SSL/TLS con AWS CloudHSM, consulte uno de los temas siguientes:
