Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer l'authentification par quorum pour les responsables de la AWS CloudHSM cryptographie
Les rubriques suivantes décrivent les étapes que vous devez suivre pour configurer votre module de sécurité matériel (HSM) afin que les responsables du AWS CloudHSM chiffrement (COs) puissent utiliser l'authentification par quorum. Vous ne devez effectuer ces étapes qu'une seule fois lorsque vous configurez pour la première fois l'authentification par quorum pourCOs. Une fois que vous avez terminé ces étapes, consultez Gestion des utilisateurs avec authentification par quorum activée pour AWS CloudHSM Management Utility.
Rubriques
Prérequis
Pour comprendre cet exemple, vous devez bien connaître l'outil de ligne de commandecloudhsm_mgmt_util (CMU) outil de ligne de commande. Dans cet exemple, le AWS CloudHSM cluster en possède deuxHSMs, chacune ayant la même COs valeur, comme indiqué dans le résultat suivant de la listUsers commande. Pour plus d'informations sur la création d'utilisateurs, consultez HSMutilisateurs.
aws-cloudhsm>listUsers
Users on server 0(10.0.2.14):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 NO 0 NO
4 CO officer2 NO 0 NO
5 CO officer3 NO 0 NO
6 CO officer4 NO 0 NO
7 CO officer5 NO 0 NO
Users on server 1(10.0.1.4):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 NO 0 NO
4 CO officer2 NO 0 NO
5 CO officer3 NO 0 NO
6 CO officer4 NO 0 NO
7 CO officer5 NO 0 NOÉtape 1. Création et enregistrement d'une clé pour la signature
Pour utiliser l'authentification par quorum, chaque CO doit effectuer toutes les étapes suivantes :
Rubriques
Création d'une paire de RSA clés
Il existe de nombreuses manières différentes de créer et de protéger une paire de clés. Les exemples suivants montrent comment procéder avec Open SSL
Exemple — Crée une clé privée avec Open SSL
L'exemple suivant montre comment utiliser Open SSL pour créer une RSA clé de 2 048 bits protégée par une phrase secrète. Pour utiliser cet exemple, remplacez officer1.key avec le nom du fichier dans lequel vous souhaitez stocker la clé.
$openssl genrsa -outofficer1.key-aes256 2048Generating RSA private key, 2048 bit long modulus .....................................+++ .+++ e is 65537 (0x10001) Enter pass phrase for officer1.key: Verifying - Enter pass phrase for officer1.key:
Générez ensuite la clé publique à l'aide de la clé privée que vous venez de créer.
Exemple — Créez une clé publique avec Open SSL
L'exemple suivant montre comment utiliser Open pour créer une clé publique SSL à partir de la clé privée que vous venez de créer.
$openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pubEnter pass phrase for officer1.key: writing RSA key
Créez et signez un jeton d'enregistrement
Vous créez un jeton et vous le signez avec la clé privée que vous venez de générer à l'étape précédente.
Exemple — Crée un jeton
Le jeton d'enregistrement est simplement un fichier contenant des données aléatoires ne dépassant pas la taille maximale de 245 octets. Vous signez le jeton avec la clé privée pour démontrer que vous avez accès à la clé privée. La commande suivante utilise echo pour rediriger une chaîne vers un fichier.
$echo"token to be signed">officer1.token
Signez le jeton et enregistrez-le dans un fichier de signature. Vous aurez besoin du jeton signé, du jeton non signé et de la clé publique pour enregistrer le CO en tant qu'utilisateur du MoFN auprès du. HSM
Exemple — Signez le jeton
Utilisez Open SSL et la clé privée pour signer le jeton d'enregistrement et créer le fichier de signature.
$openssl dgst -sha256 \ -signofficer1.key\ -outofficer1.token.sigofficer1.token
Enregistrez la clé publique auprès du HSM
Après avoir créé une clé, le CO doit enregistrer la partie publique de la clé (la clé publique) auprès duHSM.
Pour enregistrer une clé publique auprès du HSM
-
Utilisez la commande suivante pour démarrer cloudhsm_mgmt_util outil de ligne de commande.
$/opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg -
Utilisez la loginHSM commande pour vous connecter au en HSM tant que CO. Pour de plus amples informations, veuillez consulter HSMgestion des utilisateurs avec Cloud HSM Management Utility (CMU).
-
Utilisez la commande registerQuorumPubKey pour enregistrer la clé publique. Pour plus d'informations, consultez l'exemple suivant ou utilisez la commande help registerQuorumPubKey.
Exemple — Enregistrez une clé publique auprès du HSM
L'exemple suivant montre comment utiliser la registerQuorumPubKey commande dans cloudhsm_mgmt_util outil de ligne de commande pour enregistrer la clé publique d'un CO auprès duHSM. Pour utiliser cette commande, le CO doit être connecté auHSM. Remplacez les valeurs suivantes par les vôtres :
aws-cloudhsm>registerQuorumPubKey CO <officer1> <officer1.token> <officer1.token.sig> <officer1.pub>*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y registerQuorumPubKey success on server 0(10.0.2.14)
- <officer1.token>
-
Le chemin d'accès à un fichier contenant un jeton d'enregistrement non signé. Peut avoir n'importe quelle donnée aléatoire d'une taille de fichier maximale de 245 octets.
Obligatoire : oui
- <officer1.token.sig>
-
Le chemin d'accès à un fichier contenant le hachage signé par le PKCS mécanisme SHA256 _ du jeton d'enregistrement.
Obligatoire : oui
- <officer1.pub>
-
Chemin d'accès au fichier contenant la clé publique d'une RSA paire de clés asymétrique -2048. Utilisez la clé privée pour signer le jeton d'enregistrement.
Obligatoire : oui
Une fois que tous ont COs enregistré leurs clés publiques, le résultat de la listUsers commande l'indique dans la MofnPubKey colonne, comme indiqué dans l'exemple suivant.
aws-cloudhsm>listUsersUsers on server 0(10.0.2.14): Number of users found:7 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO officer1 YES 0 NO 4 CO officer2 YES 0 NO 5 CO officer3 YES 0 NO 6 CO officer4 YES 0 NO 7 CO officer5 YES 0 NO Users on server 1(10.0.1.4): Number of users found:7 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO officer1 YES 0 NO 4 CO officer2 YES 0 NO 5 CO officer3 YES 0 NO 6 CO officer4 YES 0 NO 7 CO officer5 YES 0 NO
Étape 2. Définissez la valeur minimale du quorum sur HSM
Pour utiliser l'authentification par quorumCOs, un CO doit se connecter au, HSM puis définir la valeur minimale du quorum, également connue sous le nom de valeur m. Il s'agit du nombre minimum d'approbations CO requises pour effectuer des opérations de gestion des HSM utilisateurs. Tout commandant présent sur le HSM peut définir la valeur minimale du quorum, y compris COs s'il n'a pas enregistré de clé pour la signature. Vous pouvez modifier la valeur minimale de quorum à tout moment ; pour plus d'informations, consultez Modifier la valeur minimale..
Pour définir la valeur minimale du quorum sur HSM
-
Utilisez la commande suivante pour démarrer cloudhsm_mgmt_util outil de ligne de commande.
$/opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg -
Utilisez la loginHSM commande pour vous connecter au en HSM tant que CO. Pour de plus amples informations, veuillez consulter HSMgestion des utilisateurs avec Cloud HSM Management Utility (CMU).
-
Utilisez la commande setMValue pour définir la valeur minimale de quorum. Pour plus d'informations, consultez l'exemple suivant ou utilisez la commande help setMValue.
Exemple — Fixe la valeur minimale du quorum sur HSM
Cet exemple utilise une valeur minimale de quorum de deux. Vous pouvez choisir n'importe quelle valeur comprise entre deux (2) et huit (8), jusqu'au nombre total de COsHSM. Dans cet exemple, il en HSM a sixCOs, donc la valeur maximale possible est six.
Pour utiliser l'exemple de commande suivant, remplacez le dernier numéro (2) avec la valeur minimale de quorum préférée.
aws-cloudhsm>setMValue 32*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?ySetting M Value(2) for 3 on 2 nodes
Dans l'exemple précédent, le premier chiffre (3) identifie le HSMservice dont vous définissez la valeur minimale de quorum.
Le tableau suivant répertorie les identificateurs de HSM service ainsi que leurs noms, descriptions et commandes incluses dans le service.
| Identifiant du service | Service Name | Description du service | HSMCommandes |
|---|---|---|---|
| 3 | USER_MGMT |
HSMgestion des utilisateurs |
|
| 4 | MISC_CO |
Service CO divers |
|
Pour obtenir la valeur minimale de quorum pour un service, utilisez la commande getMValue, comme dans l'exemple suivant.
aws-cloudhsm>getMValue 3MValue of service 3[USER_MGMT] on server 0 : [2] MValue of service 3[USER_MGMT] on server 1 : [2]
Le résultat de la getMValue commande précédente indique que la valeur minimale du quorum pour les opérations de gestion des HSM utilisateurs (service 3) est désormais de deux.
Une fois que vous avez terminé ces étapes, consultez Gestion des utilisateurs avec authentification par quorum activée pour AWS CloudHSM Management Utility.
