Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasi ulang SSL dengan sertifikat baru dan kunci pribadi (opsional)
AWS CloudHSM menggunakan SSL sertifikat untuk membuat koneksi ke fileHSM. Kunci default dan SSL sertifikat disertakan saat Anda menginstal klien. Namun, Anda dapat membuat dan menggunakan milik Anda sendiri. Perhatikan bahwa Anda memerlukan sertifikat yang ditandatangani sendiri (customerCA.crt) yang Anda buat saat Anda mengisialisasi klaster Anda.
Pada tingkat tinggi, ini adalah proses dua langkah:
-
Pertama, Anda membuat kunci pribadi, lalu gunakan kunci itu untuk membuat permintaan penandatanganan sertifikat (CSR). Gunakan sertifikat penerbitan, sertifikat yang Anda buat saat Anda menginisialisasi klaster, untuk menandatangani. CSR
-
Selanjutnya, Anda menggunakan alat konfigurasi untuk menyalin kunci dan sertifikat ke direktori yang sesuai.
Buat kunci, aCSR, dan kemudian tandatangani CSR
Langkah-langkahnya sama untuk Klien SDK 3 atau Klien SDK 5.
Untuk mengkonfigurasi ulang SSL dengan sertifikat baru dan kunci pribadi
-
Buat kunci pribadi menggunakan SSL perintah Buka berikut:
openssl genrsa -out ssl-client.key 2048Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) -
Gunakan SSL perintah Open berikut untuk membuat permintaan penandatanganan sertifikat (CSR). Anda akan ditanya serangkaian pertanyaan untuk sertifikat Anda.
openssl req -new -sha256 -key ssl-client.key -out ssl-client.csrEnter pass phrase for ssl-client.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: -
Tanda tangani CSR dengan
customerCA.crtsertifikat yang Anda buat saat Anda menginisialisasi klaster Anda.openssl x509 -req -days 3652 -in ssl-client.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out ssl-client.crtSignature ok subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales Getting CA Private Key
Aktifkan kustom SSL untuk AWS CloudHSM
Langkah-langkahnya berbeda untuk Klien SDK 3 atau Klien SDK 5. Untuk informasi selengkapnya tentang bekerja dengan alat baris perintah konfigurasi, lihat Alat konfigurasi.
Kustom SSL untuk Klien SDK 3
Gunakan alat konfigurasi untuk Klien SDK 3 untuk mengaktifkan kustomSSL. Untuk informasi selengkapnya tentang alat konfigurasi untuk Klien SDK 3, lihatKlien SDK 3 mengkonfigurasi alat.
Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik TLS client-server dengan Klien SDK 3 di Linux
-
Salin kunci dan sertifikat Anda ke direktori yang sesuai.
sudo cp ssl-client.crt/opt/cloudhsm/etcsudo cp ssl-client.key/opt/cloudhsm/etc -
Gunakan alat konfigurasi untuk menentukan
ssl-client.crtdanssl-client.key.sudo /opt/cloudhsm/bin/configure --ssl \ --pkey/opt/cloudhsm/etc/ssl-client.key\ --cert/opt/cloudhsm/etc/ssl-client.crt -
Tambahkan sertifikat
customerCA.crtke penyimpanan kepercayaan. Membuat hash dari nama subjek sertifikat. Hal ini membuat indeks untuk memungkinkan sertifikat dicari berdasarkan nama itu.openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1 1234abcdBuatlah sebuah direktori.
mkdir /opt/cloudhsm/etc/certsBuat file yang berisi sertifikat dengan nama hash.
sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0
Kustom SSL untuk Klien SDK 5
Gunakan salah satu alat konfigurasi Klien SDK 5 untuk mengaktifkan kustomSSL. Untuk informasi selengkapnya tentang alat konfigurasi untuk Klien SDK 5, lihatKlien SDK 5 mengkonfigurasi alat.
