Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Reconfigurez SSL avec un nouveau certificat et une nouvelle clé privée pour AWS CloudHSM (facultatif)
AWS CloudHSM utilise un SSL certificat pour établir une connexion à un module de sécurité matériel (HSM). Une clé et un SSL certificat par défaut sont inclus lors de l'installation du client. Toutefois, vous pouvez créer et utiliser les vôtres. Notez que vous aurez besoin du certificat auto-signé (customerCA.crt) que vous avez créé lorsque vous avez initialisé votre cluster.
À un haut niveau, il s'agit d'un processus en deux étapes :
-
Créez une clé privée, puis utilisez-la pour créer une demande de signature de certificat (CSR). Utilisez le certificat émetteur, le certificat que vous avez créé lors de l'initialisation du cluster, pour signer leCSR.
-
Utilisez l'outil de configuration pour copier la clé et le certificat dans les répertoires appropriés.
Étape 1. Créez une clé, unCSR, puis signez le CSR
Les étapes sont les mêmes pour le client SDK 3 ou le client SDK 5.
Pour reconfigurer SSL avec un nouveau certificat et une nouvelle clé privée
-
Créez une clé privée à l'aide de la SSL commande Open suivante :
openssl genrsa -out ssl-client.key 2048Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) -
Utilisez la SSL commande Open suivante pour créer une demande de signature de certificat (CSR). Vous devrez répondre à une série de questions concernant votre certificat.
openssl req -new -sha256 -key ssl-client.key -out ssl-client.csrEnter pass phrase for ssl-client.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: -
Signez-le CSR avec le
customerCA.crtcertificat que vous avez créé lors de l'initialisation de votre cluster.openssl x509 -req -days 3652 -in ssl-client.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out ssl-client.crtSignature ok subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales Getting CA Private Key
Étape 2. Activer la personnalisation SSL pour AWS CloudHSM
Les étapes sont différentes pour le client SDK 3 ou le client SDK 5. Pour plus d'informations sur l'utilisation de l’outil de ligne de commande de configuration, consultez AWS CloudHSM outil de configuration.
Personnalisé SSL pour le client SDK 3
Utilisez l'outil de configuration pour Client SDK 3 pour activer la personnalisationSSL. Pour plus d'informations sur l'outil de configuration pour le client SDK 3, consultezAWS CloudHSM Outil de configuration du client SDK 3.
Pour utiliser un certificat et une clé personnalisés pour l'authentification mutuelle TLS client-serveur avec Client SDK 3 sous Linux
-
Copiez votre clé et votre certificat dans le répertoire approprié.
sudo cp ssl-client.crt/opt/cloudhsm/etcsudo cp ssl-client.key/opt/cloudhsm/etc -
Utilisez l'outil de configuration pour spécifier
ssl-client.crtetssl-client.key.sudo /opt/cloudhsm/bin/configure --ssl \ --pkey/opt/cloudhsm/etc/ssl-client.key\ --cert/opt/cloudhsm/etc/ssl-client.crt -
Ajoutez le certificat
customerCA.crtau magasin d'approbations. Créez un hachage du nom d'objet du certificat. Cette opération crée un index pour autoriser la recherche du certificat par ce nom.openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1 1234abcdCréez un répertoire.
mkdir /opt/cloudhsm/etc/certsCréez un fichier qui contient le certificat avec le nom de hachage.
sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0
Personnalisé SSL pour le client SDK 5
Utilisez l'un des outils de configuration de Client SDK 5 pour activer la personnalisationSSL. Pour plus d'informations sur l'outil de configuration pour le client SDK 5, consultezAWS CloudHSM Outil de configuration du client SDK 5.
