Connect klien SDK ke AWS CloudHSM cluster - AWS CloudHSM
Tempatkan sertifikat penerbitan pada setiap instance EC2Tentukan lokasi sertifikat penerbitanBootstrap Klien SDK

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect klien SDK ke AWS CloudHSM cluster

Untuk terhubung ke cluster dengan Klien SDK 5 atau Klien SDK 3, Anda harus terlebih dahulu melakukan dua hal:

  • Memiliki sertifikat penerbitan di tempat pada instance EC2

  • Bootstrap Klien SDK ke cluster

Tempatkan sertifikat penerbitan pada setiap instance EC2

Anda membuat sertifikat penerbitan ketika Anda menginisialisasi klaster. Salin sertifikat penerbitan ke lokasi default untuk platform pada setiap EC2 instance yang terhubung ke cluster.

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Tentukan lokasi sertifikat penerbitan

Dengan Klien SDK 5, Anda menggunakan alat konfigurasi untuk menentukan lokasi sertifikat penerbitan.

PKCS #11 library
Untuk menempatkan sertifikat penerbitan di Linux untuk Klien 5 SDK

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Untuk menempatkan sertifikat penerbitan pada Windows untuk Klien 5 SDK

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Untuk menempatkan sertifikat penerbitan di Linux untuk Klien 5 SDK

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
Key Storage Provider (KSP)
Untuk menempatkan sertifikat penerbitan pada Windows untuk Klien 5 SDK

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
"C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --hsm-ca-cert <customerCA certificate file>
JCE provider
Untuk menempatkan sertifikat penerbitan di Linux untuk Klien 5 SDK

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Untuk menempatkan sertifikat penerbitan pada Windows untuk Klien 5 SDK

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Untuk menempatkan sertifikat penerbitan di Linux untuk Klien 5 SDK

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Untuk menempatkan sertifikat penerbitan pada Windows untuk Klien 5 SDK

  • Gunakan alat konfigurasi untuk menentukan lokasi untuk menerbitkan sertifikat. 

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Untuk informasi selengkapnya, lihat Alat Konfigurasi.

Untuk informasi selengkapnya tentang menginisialisasi klaster atau membuat dan menandatangani sertifikat, lihat Menginisialisasi Cluster.

Bootstrap Klien SDK

Proses bootstrap berbeda tergantung pada versi Klien yang SDK Anda gunakan, tetapi Anda harus memiliki alamat IP dari salah satu modul keamanan perangkat keras (HSM) di cluster. Anda dapat menggunakan alamat IP apa pun yang HSM dilampirkan ke cluster Anda. Setelah Klien SDK terhubung, ia mengambil alamat IP tambahan apa pun HSMs dan melakukan penyeimbangan beban dan operasi sinkronisasi kunci sisi klien.

Untuk mendapatkan alamat IP untuk HSM (konsol)

  1. Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/rumah.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Untuk membuka halaman detail klaster, dalam tabel klaster, pilih ID klaster.

  4. Untuk mendapatkan alamat IP, buka HSMs tab. Untuk IPv4 cluster, pilih alamat yang tercantum di bawah ENIIPv4alamat. Untuk cluster dual-stack gunakan alamat ENI IPv4 atau alamat. ENI IPv6

Untuk mendapatkan alamat IP untuk HSM (AWS CLI)

  • Dapatkan alamat IP dari sebuah HSM dengan menggunakan describe-clusters perintah dari file AWS CLI. Dalam output dari perintah, alamat IP dari HSMs adalah nilai-nilai EniIp dan EniIpV6 (jika itu adalah cluster dual-stack). 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
                    "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
...

Untuk informasi selengkapnya tentang bootstrapping, lihat Alat Konfigurasi.

PKCS #11 library
Untuk mem-bootstrap EC2 instance Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari sebuah HSM klaster Anda. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Untuk mem-bootstrap EC2 instance Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari sebuah HSM klaster Anda. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Untuk mem-bootstrap EC2 instance Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari sebuah HSM klaster Anda. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
Key Storage Provider (KSP)
Untuk mem-bootstrap EC2 instance Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari sebuah HSM klaster Anda. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" -a <HSM IP addresses>
JCE provider
Untuk mem-bootstrap EC2 instance Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari sebuah HSM klaster Anda. 

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Untuk mem-bootstrap EC2 instance Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari sebuah HSM klaster Anda. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Untuk mem-bootstrap EC2 instance Linux untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM (s) di cluster Anda. 

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IPv4 / IPv6 addresses of the HSMs>
Untuk mem-bootstrap EC2 instance Windows untuk Klien SDK 5

  • Gunakan alat konfigurasi untuk menentukan alamat IP dari HSM (s) di cluster Anda. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IPv4 / IPv6 addresses of the HSMs>
catatan

Anda dapat menggunakan –-cluster-id parameter sebagai pengganti-a <HSM_IP_ADDRESSES>. Untuk melihat persyaratan penggunaan–-cluster-id, lihatAWS CloudHSM Alat konfigurasi SDK 5 klien.

Untuk mem-bootstrap EC2 instance Linux untuk Klien SDK 3

  • Gunakan configure untuk menentukan alamat IP HSM di cluster Anda. 

    sudo /opt/cloudhsm/bin/configure -a <IP address>
Untuk mem-bootstrap EC2 instance Windows untuk Klien SDK 3

  • Gunakan configure untuk menentukan alamat IP HSM di cluster Anda. 

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

Untuk informasi lebih lanjut tentang konfigurasi, lihat AWS CloudHSM mengkonfigurasi alat.