Étape 1. Obtenez le cluster CSR Étape 2. Signez le CSR Étape 3. Initialiser le cluster

Initialisez le cluster dans AWS CloudHSM

Après avoir créé votre cluster et y avoir ajouté votre module de sécurité matériel (HSM) AWS CloudHSM, vous pouvez initialiser le cluster. Effectuez les étapes des rubriques suivantes pour initialiser votre cluster .

Note

Avant d'initialiser le cluster, passez en revue le processus par lequel vous pouvez vérifier l'identité et l'authenticité du HSMs. Ce processus est facultatif et fonctionne uniquement jusqu'à ce qu'un cluster soit initialisé. Une fois le cluster initialisé, vous ne pouvez pas utiliser ce processus pour obtenir vos certificats ou vérifier lesHSMs.

Étape 1. Obtenez le cluster CSR

Avant de pouvoir initialiser le cluster, vous devez télécharger et signer une demande de signature de certificat (CSR) générée par le premier HSM du cluster. Si vous avez suivi les étapes pour vérifier l'identité de votre cluster HSM, vous l'avez déjà CSR et vous pouvez le signer. Sinon, obtenez le CSR maintenant en utilisant la AWS CloudHSM console, le AWS Command Line Interface (AWS CLI) ou le AWS CloudHSM API.

Important

Pour initialiser votre cluster, votre ancre de confiance doit être conforme à la norme RFC5280 et répondre aux exigences suivantes :

Si vous utilisez les extensions X509v3, l'extension X509v3 Basic Constraints doit être présente.
Le point de confiance doit être un certificat auto-signé.
Les valeurs d'extension ne doivent pas entrer en conflit les unes avec les autres.

Étape 2. Signez le CSR

À l'heure actuelle, vous devez créer un certificat de signature auto-signé et l'utiliser CSR pour signer le certificat de votre cluster. Vous n'en avez pas besoin AWS CLI pour cette étape, et le shell n'a pas besoin d'être associé à votre AWS compte. Pour signer leCSR, vous devez effectuer les opérations suivantes :

Complétez la section précédente (voir Étape 1. Obtenez le cluster CSR).
Créer une clé privée.
Utiliser la clé privée pour créer un certificat de signature.
Signez votre clusterCSR.

Créer une clé privée

Note

Pour un cluster de production, la clé doit être créée de manière sécurisée à l'aide d'une source fiable de caractère aléatoire. Nous vous recommandons d'utiliser un site sécurisé hors site et hors ligne HSM ou l'équivalent. Stockez la clé en toute sécurité. La clé établit l'identité du cluster et votre seul contrôle sur HSMs ce qu'il contient.

Pour le développement et les tests, vous pouvez utiliser n'importe quel outil pratique (tel qu'OpenSSL) pour créer et signer le certificat de cluster. L'exemple suivant montre comment créer une clé. Une fois que vous avez utilisé la clé pour créer un certificat auto-signé (voir ci-dessous), vous devez la stocker en toute sécurité. Pour vous connecter à votre AWS CloudHSM instance, le certificat doit être présent, mais pas la clé privée.

Utilisez la commande suivante pour créer une clé privée. Lors de l'initialisation d'un AWS CloudHSM cluster, vous devez utiliser le certificat RSA 2048 ou le certificat RSA 4096.


$ openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerCA.key:
Verifying - Enter pass phrase for customerCA.key:

Utilisation de la clé privée pour créer un certificat auto-signé

Le matériel de confiance que vous utilisez pour créer la clé privée pour votre cluster de production doit également fournir un logiciel pour générer un certificat auto-signé à l'aide de cette clé. L'exemple suivant utilise Open SSL et la clé privée que vous avez créée à l'étape précédente pour créer un certificat de signature. Le certificat est valable pendant 10 ans (3652 jours). Lisez les instructions à l'écran et suivez les invites.


$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Cette commande crée un fichier de certificat nommé customerCA.crt. Placez ce certificat sur chaque hôte à partir duquel vous allez vous connecter à votre AWS CloudHSM cluster. Si vous accordez un autre nom au fichier ou le stocker dans un emplacement autre que la racine de votre hôte, vous devez modifier votre fichier de configuration client en conséquence. Utilisez le certificat et la clé privée que vous venez de créer pour signer la demande de signature du certificat de cluster (CSR) à l'étape suivante.

Signer le cluster CSR

Le matériel fiable que vous utilisez pour créer votre clé privée pour votre cluster de production doit également fournir un outil permettant de signer le document à l'CSRaide de cette clé. L'exemple suivant utilise Open SSL pour signer le clusterCSR. L'exemple utilise votre clé privée et le certificat auto-signé créé à l'étape précédente.


$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
                              -CA customerCA.crt \
                              -CAkey customerCA.key \
                              -CAcreateserial \
                              -out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifer>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for customerCA.key:

Cette commande crée un fichier nommé <cluster ID>_CustomerHsmCertificate.crt. Utilisez ce fichier comme certificat signé lorsque vous initialiserez le cluster.

Étape 3. Initialiser le cluster

Utilisez votre HSM certificat signé et votre certificat de signature pour initialiser votre cluster. Vous pouvez utiliser la AWS CloudHSM console, le AWS CLI, ou le AWS CloudHSM API.

Console

Pour initialiser un cluster (console)

Ouvrez la AWS CloudHSM console à la https://console.aws.amazon.com/cloudhsm/maison.
Sélectionnez le bouton radio situé à côté de l'ID du cluster dont HSM vous souhaitez vérifier l'existence.
Sélectionnez Actions. Dans le menu déroulant, choisissez Initialiser.
Si vous n'avez pas effectué l'étape précédente pour créer uneHSM, choisissez une zone de disponibilité (AZ) pour la zone HSM que vous créez. Sélectionnez ensuite Créer.
Sur la page Télécharger la demande de signature de certificat, cliquez sur Next. Si Next n'est pas disponible, choisissez d'abord l'un des liens CSR ou un lien de certificat. Ensuite, sélectionnez Suivant.
Sur la page Signer la demande de signature du certificat (CSR), choisissez Next.
Sur la page Upload the certificates, procédez comme suit :
1. En regard de Cluster certificate (Certificat de cluster), choisissez Upload file (Charger le fichier). Localisez et sélectionnez ensuite le HSM certificat que vous avez signé précédemment. Si vous avez suivi la procédure indiquée à la section précédente, sélectionnez le fichier <cluster ID>_CustomerHsmCertificate.crt.
2. En regard de Émission du certificat, choisissez Charger le fichier. Ensuite, sélectionnez votre certificat de signature. Si vous avez suivi la procédure indiquée à la section précédente, sélectionnez le fichier customerCA.crt.
3. Choisissez Upload and initialize.

AWS CLI

Pour initialiser un cluster (AWS CLI)

À partir d'une invite de commande, exécutez la commande initialize-cluster. Fournissez les éléments suivants :
- ID du cluster que vous avez créé précédemment.
- Le HSM certificat que vous avez signé précédemment. Si vous avez suivi la procédure indiquée à la section précédente, il est enregistré dans le fichier <cluster ID>_CustomerHsmCertificate.crt.
- Votre certificat de signature. Si vous avez suivi la procédure indiquée à la section précédente, le certificat de signature est enregistré dans le fichier nommé customerCA.crt.
```
$ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                    --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                    --trust-anchor file://customerCA.crt
{
    "State": "INITIALIZE_IN_PROGRESS",
    "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
}
```

AWS CloudHSM API

Pour initialiser un cluster (AWS CloudHSM API)

Envoyez une demande InitializeCluster avec les éléments suivants :
- ID du cluster que vous avez créé précédemment.
- Le HSM certificat que vous avez signé précédemment.
- Votre certificat de signature.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Vérifier HSM l'identité (facultatif)

Installez Cloud HSM CLI

Initialisez le cluster dans AWS CloudHSM

Note

Rubriques

Étape 1. Obtenez le cluster CSR

Important

Pour obtenir la CSR (console)

Pour obtenir le CSR (AWS CLI)

Pour obtenir le CSR (AWS CloudHSM API)

Étape 2. Signez le CSR

Créer une clé privée

Note

Utilisation de la clé privée pour créer un certificat auto-signé

Signer le cluster CSR

Étape 3. Initialiser le cluster

Pour initialiser un cluster (console)

Pour initialiser un cluster (AWS CLI)

Pour initialiser un cluster (AWS CloudHSM API)