Étape 1 : Configurer les prérequis - AWS CloudHSM
Prérequis pour le SDK client 5Prérequis pour le SDK client 3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 1 : Configurer les prérequis

Les différentes plateformes ont des prérequis différents. Utilisez la section des prérequis ci-dessous qui correspond à votre plateforme.

Prérequis pour le SDK client 5

Pour configurer le déchargement SSL/TLS du serveur web avec le SDK client 5, vous avez besoin des prérequis suivants :

  • Un AWS CloudHSM cluster actif avec au moins deux modules de sécurité matériels (HSM)

    Note

    Vous pouvez utiliser un seul cluster HSM, mais vous devez d'abord désactiver la durabilité des clés client. Pour plus d'informations, voir Gérer les paramètres de durabilité des clés client et Outil de configuration du SDK client 5.

  • Une instance Amazon EC2 exécutant un système d'exploitation Linux avec les logiciels suivants installés :

    • Un serveur Web (NGINX ou Apache)

    • Le moteur dynamique OpenSSL pour le SDK client 5

  • Un utilisateur de chiffrement (CU) propriétaire et gestionnaire de la clé privée du serveur web sur le HSM.

Pour configurer une instance de serveur web Linux et créer un utilisateur de chiffrement sur le HSM

  1. Installez et configurez le moteur dynamique OpenSSL pour. AWS CloudHSM Pour plus d'informations sur l'installation du moteur dynamique OpenSSL, consultez OpenSSL Dynamic Engine for Client SDK 5.

  2. Sur une instance Linux EC2 ayant accès à votre cluster, installez le serveur Web NGINX ou Apache :

    Amazon Linux

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2

    • Pour plus d'informations sur le téléchargement de la dernière version de NGINX sur Amazon Linux 2, consultez le site Web de NGINX.

      La dernière version de NGINX disponible pour Amazon Linux 2 utilise une version d'OpenSSL plus récente que la version système d'OpenSSL. Après avoir installé NGINX, vous devez créer un lien symbolique depuis la bibliothèque AWS CloudHSM OpenSSL Dynamic Engine vers l'emplacement attendu par cette version d'OpenSSL 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7

    • Pour plus d'informations sur le téléchargement de la dernière version de NGINX sur CentOS 7, consultez le site Web de NGINX.

      La dernière version de NGINX disponible pour CentOS 7 utilise une version d'OpenSSL plus récente que la version système d'OpenSSL. Après avoir installé NGINX, vous devez créer un lien symbolique depuis la bibliothèque AWS CloudHSM OpenSSL Dynamic Engine vers l'emplacement attendu par cette version d'OpenSSL 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7

    • Pour plus d'informations sur le téléchargement de la dernière version de NGINX sur Red Hat 7, consultez le site Web de NGINX.

      La dernière version de NGINX disponible pour Red Hat 7 utilise une version d'OpenSSL plus récente que la version système d'OpenSSL. Après avoir installé NGINX, vous devez créer un lien symbolique depuis la bibliothèque AWS CloudHSM OpenSSL Dynamic Engine vers l'emplacement attendu par cette version d'OpenSSL 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 8

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 8

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 18.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 20.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 22.04

    La prise en charge pour OpenSSL Dynamic Engine n'est pas encore disponible.

  3. Utilisez la CLI CloudHSM pour créer un CU. Pour plus d'informations sur la gestion des utilisateurs HSM, consultez la section Gestion des utilisateurs HSM avec la CLI CloudHSM.

    Astuce

    Conservez le nom d'utilisateur et le mot de passe du CU. Vous en aurez besoin plus tard pour générer ou importer la clé privée HTTPS et le certificat de votre serveur web.

Une fois que vous avez terminé ces étapes, consultez Étape 2 : importer ou générer une clé privée et un certificat SSL/TLS.

Remarques

  • Pour utiliser Security-Enhanced Linux (SELinux) et les serveurs Web, vous devez autoriser les connexions TCP sortantes sur le port 2223, qui est le port utilisé par le SDK client 5 pour communiquer avec le HSM.

  • Pour créer et activer un cluster et donner à une instance EC2 l'accès au cluster, suivez les étapes décrites dans Démarrer avec AWS CloudHSM. La section Getting Started fournit des step-by-step instructions pour créer un cluster actif avec un HSM et une instance client Amazon EC2. Vous pouvez utiliser cette instance client comme serveur web.

  • Pour éviter de désactiver la durabilité des clés client, ajoutez plusieurs HSM à votre cluster. Pour plus d’informations, consultez Ajout d'un HSM.

  • Vous pouvez utiliser un SSH ou PuTTY pour vous connecter à votre instance client. Pour plus d'informations, consultez Connexion à votre instance Linux à l'aide de SSH ou Connexion à votre instance Linux à partir de Windows à l'aide de PuTTY dans la documentation Amazon EC2.

Prérequis pour le SDK client 3

Pour configurer le déchargement SSL/TLS du serveur web avec le SDK client 3, vous avez besoin des prérequis suivants :

  • Un AWS CloudHSM cluster actif avec au moins un HSM.

  • Une instance Amazon EC2 exécutant un système d'exploitation Linux avec les logiciels suivants installés :

    • Le AWS CloudHSM client et les outils de ligne de commande.

    • Application de serveur web NGINX ou Apache.

    • Le moteur AWS CloudHSM dynamique d'OpenSSL.

  • Un utilisateur de chiffrement (CU) propriétaire et gestionnaire de la clé privée du serveur web sur le HSM.

Pour configurer une instance de serveur web Linux et créer un utilisateur de chiffrement sur le HSM

  1. Suivez les étapes de Premiers pas. Vous disposerez ensuite d'un cluster actif avec un HSM et une instance client Amazon EC2. Votre instance EC2 sera configurée avec les outils de ligne de commande. Utilisez cette instance client comme serveur web.

  2. Connectez-vous à votre instance client . Pour plus d'informations, consultez Connexion à votre instance Linux à l'aide de SSH ou Connexion à votre instance Linux à partir de Windows à l'aide de PuTTY dans la documentation Amazon EC2.

  3. Sur une instance Linux EC2 ayant accès à votre cluster, installez le serveur Web NGINX ou Apache :

    Amazon Linux

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2

    • La version 1.19 de NGINX est la dernière version de NGINX compatible avec le moteur Client SDK 3 sur Amazon Linux 2.

      Pour plus d'informations et pour télécharger la version 1.19 de NGINX, consultez le site Web de NGINX.

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7

    • La version 1.19 de NGINX est la dernière version de NGINX compatible avec le moteur Client SDK 3 sur CentOS 7.

      Pour plus d'informations et pour télécharger la version 1.19 de NGINX, consultez le site Web de NGINX.

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7

    • La version 1.19 de NGINX est la dernière version de NGINX compatible avec le moteur Client SDK 3 sur Red Hat 7.

      Pour plus d'informations et pour télécharger la version 1.19 de NGINX, consultez le site Web de NGINX.

    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 16.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 18.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2

  4. (Facultatif) Ajoutez d'autres HSM à votre cluster. Pour plus d’informations, consultez Ajout d'un HSM.

  5. Utilisez cloudhsm_mgmt_util pour créer un CU. Pour plus d’informations, consultez Gestion des utilisateurs HSM. Conservez le nom d'utilisateur et le mot de passe du CU. Vous en aurez besoin plus tard pour générer ou importer la clé privée HTTPS et le certificat de votre serveur web.

Une fois que vous avez terminé ces étapes, consultez Étape 2 : importer ou générer une clé privée et un certificat SSL/TLS.