Konfigurasi ulang SSL dengan sertifikat baru dan kunci pribadi untuk AWS CloudHSM (opsional) - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasi ulang SSL dengan sertifikat baru dan kunci pribadi untuk AWS CloudHSM (opsional)

AWS CloudHSM menggunakan SSL sertifikat untuk membuat koneksi ke modul keamanan perangkat keras (HSM). Kunci default dan SSL sertifikat disertakan saat Anda menginstal klien. Namun, Anda dapat membuat dan menggunakan milik Anda sendiri. Perhatikan bahwa Anda memerlukan sertifikat yang ditandatangani sendiri (customerCA.crt) yang Anda buat saat Anda mengisialisasi klaster Anda.

Pada tingkat tinggi, ini adalah proses dua langkah:

  1. Buat kunci pribadi, lalu gunakan kunci tersebut untuk membuat permintaan penandatanganan sertifikat (CSR). Gunakan sertifikat penerbitan, sertifikat yang Anda buat saat Anda menginisialisasi klaster, untuk menandatangani. CSR

  2. Gunakan alat konfigurasi untuk menyalin kunci dan sertifikat ke direktori yang sesuai.

Langkah 1. Buat kunci, aCSR, dan kemudian tandatangani CSR

Langkah-langkahnya sama untuk Klien SDK 3 atau Klien SDK 5.

Untuk mengkonfigurasi ulang SSL dengan sertifikat baru dan kunci pribadi
  1. Buat kunci pribadi menggunakan SSL perintah Buka berikut:

    openssl genrsa -out ssl-client.key 2048 Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001)
  2. Gunakan SSL perintah Open berikut untuk membuat permintaan penandatanganan sertifikat (CSR). Anda akan ditanya serangkaian pertanyaan untuk sertifikat Anda.

    openssl req -new -sha256 -key ssl-client.key -out ssl-client.csr Enter pass phrase for ssl-client.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
  3. Tanda tangani CSR dengan customerCA.crtsertifikat yang Anda buat saat Anda menginisialisasi klaster Anda.

    openssl x509 -req -days 3652 -in ssl-client.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out ssl-client.crt Signature ok subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales Getting CA Private Key

Langkah 2. Aktifkan kustom SSL untuk AWS CloudHSM

Langkah-langkahnya berbeda untuk Klien SDK 3 atau Klien SDK 5. Untuk informasi selengkapnya tentang bekerja dengan alat baris perintah konfigurasi, lihat AWS CloudHSM mengkonfigurasi alat.

Kustom SSL untuk Klien SDK 3

Gunakan alat konfigurasi untuk Klien SDK 3 untuk mengaktifkan kustomSSL. Untuk informasi selengkapnya tentang alat konfigurasi untuk Klien SDK 3, lihatAWS CloudHSM Klien SDK 3 mengkonfigurasi alat.

Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik TLS client-server dengan Klien SDK 3 di Linux
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

    sudo /opt/cloudhsm/bin/configure --ssl \ --pkey /opt/cloudhsm/etc/ssl-client.key \ --cert /opt/cloudhsm/etc/ssl-client.crt
  3. Tambahkan sertifikat customerCA.crt ke penyimpanan kepercayaan. Membuat hash dari nama subjek sertifikat. Hal ini membuat indeks untuk memungkinkan sertifikat dicari berdasarkan nama itu.

    openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1 1234abcd

    Buatlah sebuah direktori.

    mkdir /opt/cloudhsm/etc/certs

    Buat file yang berisi sertifikat dengan nama hash.

    sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0

Kustom SSL untuk Klien SDK 5

Gunakan salah satu alat konfigurasi Klien SDK 5 untuk mengaktifkan kustomSSL. Untuk informasi selengkapnya tentang alat konfigurasi untuk Klien SDK 5, lihatAWS CloudHSM Klien SDK 5 mengkonfigurasi alat.

PKCS #11 library
Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik TLS client-server dengan Klien SDK 5 di Linux
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc $ sudo cp ssl-client.key /opt/cloudhsm/etc
  2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik TLS client-server dengan Klien SDK 5 pada Windows
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan ssl-client.crt danssl-client.key.

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" ` --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt ` --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik TLS client-server dengan Klien SDK 5 di Linux
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-dyn \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
JCE provider
Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik TLS client-server dengan Klien SDK 5 di Linux
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-jce \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik TLS client-server dengan Klien SDK 5 pada Windows
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan ssl-client.crt danssl-client.key.

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" ` --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt ` --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik TLS client-server dengan Klien SDK 5 di Linux
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. Gunakan alat konfigurasi untuk menentukan ssl-client.crt dan ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-cli \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik TLS client-server dengan Klien SDK 5 pada Windows
  1. Salin kunci dan sertifikat Anda ke direktori yang sesuai.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan ssl-client.crt danssl-client.key.

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" ` --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt ` --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key