Présentation 1 : Préparez-vous 2 : Générer des clés 3 : Configurer un serveur 4 : Vérifier

AWS CloudHSM Déchargement SSL/TLS sous Linux en utilisant NGINX ou Apache avec OpenSSL

Cette rubrique fournit des step-by-step instructions pour configurer le déchargement SSL/TLS AWS CloudHSM sur un serveur Web Linux.

Rubriques

Présentation
Étape 1 : Configurer les prérequis
Étape 2 : Génération de la clé privée et du certificat SSL/TLS
Étape 3 : Configurer le serveur web
Étape 4 : Activer le trafic HTTPS et vérifier le certificat

Présentation

Sur Linux, les applications serveur web NGINX et Apache HTTP Server s'intègrent à OpenSSL pour prendre en charge le protocole HTTPS. Le moteur AWS CloudHSM dynamique d'OpenSSL fournit une interface qui permet au logiciel du serveur Web d'utiliser le contenu de votre cluster pour HSMs le déchargement cryptographique et le stockage de clés. Le moteur OpenSSL est le pont qui relie le serveur web à votre cluster AWS CloudHSM .

Pour suivre ce didacticiel, vous devez d'abord choisir d'utiliser l'application serveur web NGINX ou Apache sur Linux. Ce didacticiel vous montre ensuite comment effectuer les opérations suivantes :

Installez le logiciel du serveur Web sur une EC2 instance Amazon.
Configurez le logiciel du serveur Web pour qu'il prenne en charge le protocole HTTPS avec une clé privée stockée dans votre cluster AWS CloudHSM .
(Facultatif) Utilisez Amazon EC2 pour créer une deuxième instance de serveur Web et Elastic Load Balancing pour créer un équilibreur de charge. L'utilisation d'un équilibreur de charge peut accroître les performances en répartissant la charge sur plusieurs serveurs. Elle peut également assurer la redondance et une meilleure disponibilité en cas de défaillance d'un ou plusieurs serveurs.

Lorsque vous êtes prêt à commencer, consultez Étape 1 : Configurer les prérequis.

Étape 1 : Configurer les prérequis

Les différentes plateformes ont des prérequis différents. Utilisez la section des prérequis ci-dessous qui correspond à votre plateforme.

Prérequis pour le SDK client 5

Pour configurer le déchargement SSL/TLS du serveur web avec le SDK client 5, vous avez besoin des prérequis suivants :

Un AWS CloudHSM cluster actif avec au moins deux modules de sécurité matériels (HSM)

Note
Vous pouvez utiliser un seul cluster HSM, mais vous devez d'abord désactiver la durabilité des clés client. Pour plus d'informations, voir Gérer les paramètres de durabilité des clés client et Outil de configuration du SDK client 5.
Une EC2 instance Amazon exécutant un système d'exploitation Linux avec les logiciels suivants installés :
- Un serveur Web (NGINX ou Apache)
- Le moteur dynamique OpenSSL pour le SDK client 5
Un utilisateur de chiffrement (CU) propriétaire et gestionnaire de la clé privée du serveur web sur le HSM.

Pour configurer une instance de serveur web Linux et créer un utilisateur de chiffrement sur le HSM

Installez et configurez le moteur dynamique OpenSSL pour. AWS CloudHSM Pour plus d'informations sur l'installation du moteur dynamique OpenSSL, consultez OpenSSL Dynamic Engine for Client SDK 5.
Sur une instance EC2 Linux ayant accès à votre cluster, installez le serveur Web NGINX ou Apache :
Amazon Linux
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd24 mod24_ssl
Amazon Linux 2
Pour plus d'informations sur le téléchargement de la dernière version de NGINX sur Amazon Linux 2, consultez le site Web de NGINX.

La dernière version de NGINX disponible pour Amazon Linux 2 utilise une version d'OpenSSL plus récente que la version système d'OpenSSL. Après avoir installé NGINX, vous devez créer un lien symbolique depuis la bibliothèque AWS CloudHSM OpenSSL Dynamic Engine vers l'emplacement attendu par cette version d'OpenSSL

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
Amazon Linux 2023
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
CentOS 7
Pour plus d'informations sur le téléchargement de la dernière version de NGINX sur CentOS 7, consultez le site Web de NGINX.

La dernière version de NGINX disponible pour CentOS 7 utilise une version d'OpenSSL plus récente que la version système d'OpenSSL. Après avoir installé NGINX, vous devez créer un lien symbolique depuis la bibliothèque AWS CloudHSM OpenSSL Dynamic Engine vers l'emplacement attendu par cette version d'OpenSSL

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
Red Hat 7
Pour plus d'informations sur le téléchargement de la dernière version de NGINX sur Red Hat 7, consultez le site Web de NGINX.

La dernière version de NGINX disponible pour Red Hat 7 utilise une version d'OpenSSL plus récente que la version système d'OpenSSL. Après avoir installé NGINX, vous devez créer un lien symbolique depuis la bibliothèque AWS CloudHSM OpenSSL Dynamic Engine vers l'emplacement attendu par cette version d'OpenSSL

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
CentOS 8
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
Red Hat 8
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
Ubuntu 18.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 20.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 22.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 24.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Utilisez la CLI CloudHSM pour créer un utilisateur de chiffrement. Pour plus d'informations sur la gestion des utilisateurs HSM, consultez la section Gestion des utilisateurs HSM avec la CLI CloudHSM.

Astuce
Conservez le nom d'utilisateur et le mot de passe du CU. Vous en aurez besoin plus tard pour générer ou importer la clé privée HTTPS et le certificat de votre serveur web.

Une fois que vous avez terminé ces étapes, consultez Étape 2 : Génération de la clé privée et du certificat SSL/TLS.

Remarques

Pour utiliser Security-Enhanced Linux (SELinux) et les serveurs Web, vous devez autoriser les connexions TCP sortantes sur le port 2223, qui est le port utilisé par le SDK client 5 pour communiquer avec le HSM.
Pour créer et activer un cluster et donner à une EC2 instance l'accès au cluster, suivez les étapes décrites dans Getting Started with AWS CloudHSM. La section Getting Started propose des step-by-step instructions pour créer un cluster actif avec un HSM et une instance EC2 client Amazon. Vous pouvez utiliser cette instance client comme serveur web.
Pour éviter de désactiver la durabilité des clés client, ajoutez plusieurs HSM à votre cluster. Pour de plus amples informations, veuillez consulter Ajouter un HSM à un cluster AWS CloudHSM.
Vous pouvez utiliser un SSH ou PuTTY pour vous connecter à votre instance client. Pour plus d'informations, consultez Connexion à votre instance Linux à l'aide de SSH ou Connexion à votre instance Linux depuis Windows à l'aide de PuTTY dans la documentation Amazon EC2.

Étape 2 : Génération de la clé privée et du certificat SSL/TLS

Pour activer le protocole HTTPS, votre application de serveur Web (NGINX ou Apache) a besoin d'une clé privée et d'un SSL/TLS certificate. To use web server SSL/TLS déchargement correspondant. Vous devez stocker la clé privée dans un HSM de votre cluster. AWS CloudHSM AWS CloudHSM Vous allez d'abord générer une clé privée et l'utiliser pour créer une demande de signature de certificat (CSR). Vous exportez ensuite une fausse clé privée PEM depuis le HSM, qui est un fichier de clé privée au format PEM contenant une référence à la clé privée stockée sur le HSM (il ne s'agit pas de la véritable clé privée). Votre serveur Web utilise le faux fichier de clé privée PEM pour identifier la clé privée sur le HSM lors du déchargement SSL/TLS.

Générer une clé privée et un certificat

Générer une clé privée

Cette section explique comment générer une paire de clés à l'aide de la CLI CloudHSM. Une fois qu'une paire de clés est générée dans le HSM, vous pouvez l'exporter sous forme de faux fichier PEM et générer le certificat correspondant.

Installation et configuration de la CLI CloudHSM

Installez et configurez la CLI CloudHSM.
Utilisez la commande suivante pour démarrer la CLI CloudHSM.
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
Exécutez la commande suivante pour vous connecter au HSM. Remplacez <user name> par le nom d'utilisateur de votre cryptomonniste
```
Command: login --username <user name> --role crypto-user
```

Générer une clé privée

En fonction de votre cas d'utilisation, vous pouvez générer une paire de clés RSA ou EC. Effectuez l’une des actions suivantes :

Pour générer une clé privée RSA sur un HSM

Utilisez la commande key generate-asymmetric-pair rsa pour générer une paire de clés RSA. Cet exemple génère une paire de clés RSA avec un module de 2048, un exposant public de 65537, une étiquette de clé publique de et une étiquette de clé privée detls_rsa_pub. tls_rsa_private


aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label tls_rsa_pub \
--private-label tls_rsa_private
--private-attributes sign=true
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x0000000000280cc8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "tls_rsa_pub",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "public-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
        "modulus-size-bits": 2048
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280cc7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "tls_rsa_private",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "private-key",
        "encrypt": false,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 1217,
        "public-exponent": "0x010001",
        "modulus": "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",
        "modulus-size-bits": 2048
      }
    }
  }
}

Pour générer une clé privée EC sur un HSM

Utilisez la commande key generate-asymmetric-pair ec pour générer une paire de clés EC. Cet exemple génère une paire de clés EC avec la prime256v1 courbe (correspondant à la NID_X9_62_prime256v1 courbe), une étiquette de tls_ec_pub clé publique et une étiquette de clé privée detls_ec_private.


aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve prime256v1 \
    --public-label tls_ec_pub \
    --private-label tls_ec_private
    --private-attributes sign=true
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x000000000012000b",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "session"
      },
      "attributes": {
        "key-type": "ec",
        "label": "tls_ec_pub",
        "id": "",
        "check-value": "0xd7c1a7",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": false,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 57,
        "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
        "curve": "secp224r1"
      }
    },
"private_key": {
      "key-reference": "0x000000000012000c",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "session"
      },
      "attributes": {
        "key-type": "ec",
        "label": "tls_ec_private",
        "id": "",
        "check-value": "0xd7c1a7",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": false,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 122,
        "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
        "curve": "secp224r1"
      }
    }
  }
}

Exporter un faux fichier de clé privée PEM

Une fois que vous avez une clé privée sur le HSM, vous devez exporter un faux fichier de clé privée PEM. Ce fichier ne contient pas les données clés réelles, mais il permet au moteur dynamique OpenSSL d'identifier la clé privée sur le HSM. Vous pouvez ensuite utiliser la clé privée pour créer une demande de signature de certificat (CSR) et signer la CSR pour créer le certificat.

Utilisez la key generate-filecommande pour exporter la clé privée au faux format PEM et enregistrez-la dans un fichier. Remplacez les valeurs suivantes par vos propres valeurs :

<private_key_label>— Libellé de la clé privée que vous avez générée à l'étape précédente.
<web_server_fake_pem.key>— Nom du fichier dans lequel votre fausse clé PEM sera écrite.


aws-cloudhsm > key generate-file --encoding reference-pem --path <web_server_fake_pem.key> --filter attr.label=<private_key_label>
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}

Quittez la CLI CloudHSM

Exécutez la commande suivante pour arrêter la CLI CloudHSM.


aws-cloudhsm > quit

Vous devriez maintenant avoir un nouveau fichier sur votre système, situé sur le chemin indiqué <web_server_fake_pem.key> dans la commande précédente. Ce fichier est le faux fichier de clé privée PEM.

Générer un certificat signé automatiquement.

Une fois que vous avez généré une fausse clé privée PEM, vous pouvez utiliser ce fichier pour générer une demande de signature de certificat (CSR) et un certificat.

Dans un environnement de production, vous utilisez généralement une autorité de certification (CA) pour créer un certificat émis par une demande de signature de certificat (CSR). L'autorité de certification n'est pas nécessaire pour un environnement de test. Si vous utilisez une autorité de certification, envoyez-lui le fichier CSR et utilisez le certificat SSL/TLS signé qu'elle vous fournit sur votre serveur Web pour HTTPS.

Au lieu d'utiliser une autorité de certification, vous pouvez utiliser le moteur dynamique AWS CloudHSM OpenSSL pour créer un certificat auto-signé. Les certificats auto-signés ne sont pas approuvées par les navigateurs et ne doivent pas être utilisés dans les environnements de production. Ils peuvent cependant être utilisés dans les environnements de test.

Avertissement

Les certificats auto-signés doivent uniquement être utilisés dans un environnement de test. Pour un environnement de production, utilisez une méthode plus sécurisée telle qu'une autorité de certification pour créer un certificat.

Installation et configuration du moteur dynamique OpenSSL

Connectez-vous à votre instance client .
Installation du moteur AWS CloudHSM dynamique OpenSSL pour le SDK client 5

Générez un certificat

Obtenez une copie de votre faux fichier PEM généré lors d'une étape précédente.
Création d'une CSR

Exécutez la commande suivante pour utiliser le moteur dynamique AWS CloudHSM OpenSSL afin de créer une demande de signature de certificat (CSR). <web_server_fake_pem.key>Remplacez-le par le nom du fichier contenant votre fausse clé privée PEM. <web_server.csr>Remplacez-le par le nom du fichier contenant votre CSR.

La commande req est interactive. Renseignez chaque champ. Les informations du champ sont copiées dans votre certificat SSL/TLS.
```
$ openssl req -engine cloudhsm -new -key <web_server_fake_pem.key> -out <web_server.csr>
```
Créer un certificat auto-signé

Exécutez la commande suivante pour utiliser le moteur dynamique AWS CloudHSM OpenSSL afin de signer votre CSR avec votre clé privée sur votre HSM. Cette opération crée un certificat auto-signé. Remplacez les valeurs suivantes par vos propres valeurs dans la commande :
- <web_server.csr>— Nom du fichier contenant le CSR.
- <web_server_fake_pem.key>— Nom du fichier contenant la fausse clé privée PEM.
- <web_server.crt>— Nom du fichier qui contiendra le certificat de votre serveur Web.
```
$ openssl x509 -engine cloudhsm -req -days 365 -in <web_server.csr> -signkey <web_server_fake_pem.key> -out <web_server.crt>
```

Une fois que vous avez terminé ces étapes, consultez Étape 3 : Configurer le serveur web.

Étape 3 : Configurer le serveur web

Mettez à jour votre configuration de logiciel serveur web pour utiliser le certificat HTTPS et la fausse clé privée PEM correspondante que vous avez créée à l'étape précédente. N'oubliez pas de sauvegarder vos certificats et clés existants avant de commencer. Cela permettra de terminer la configuration de votre logiciel serveur web Linux pour le déchargement SSL/TLS avec AWS CloudHSM.

Complétez les étapes de l'une des sections suivantes.

Configuration du serveur Web NGINX

Utilisez cette section pour configurer NGINX sur les plateformes prises en charge.

Pour mettre à jour la configuration de serveur web pour NGINX

Connectez-vous à votre instance client .
Exécutez la commande suivante pour créer les répertoires requis pour le certificat de serveur web et la fausse clé privée PEM.
```
$ sudo mkdir -p /etc/pki/nginx/private
```
Exécutez la commande suivante pour copier votre certificat de serveur web à l'emplacement requis. <web_server.crt>Remplacez-le par le nom de votre certificat de serveur Web.
```
$ sudo cp <web_server.crt> /etc/pki/nginx/server.crt
```
Exécutez la commande suivante pour copier votre fausse clé privée PEM à l'emplacement requis. <web_server_fake_pem.key>Remplacez-le par le nom du fichier contenant votre fausse clé privée PEM.
```
$ sudo cp <web_server_example_pem.key> /etc/pki/nginx/private/server.key
```
Exécutez la commande suivante pour modifier la propriété des fichiers afin que l'utilisateur nommé nginx puisse les lire.
```
$ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
```
Exécutez la commande suivante pour sauvegarder le fichier /etc/nginx/nginx.conf.
```
$ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
```

Mise à jour de la configuration pour NGINX.

Note

Chaque cluster peut prendre en charge un maximum de 1 000 processus de travail NGINX sur tous les serveurs Web NGINX.

Amazon Linux

Utilisez un éditeur de texte pour modifier le fichier /etc/nginx/nginx.conf. Ceci nécessite des autorisations racine Linux. En haut du fichier, ajoutez les lignes suivantes :


ssl_engine cloudhsm;
env CLOUDHSM_PIN;