Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Memulai dengan AWS CloudHSM Topik berikut membantu Anda membuat, menginisialisasi, dan mengaktifkan klaster. AWS CloudHSM Setelah menyelesaikan prosedur ini, Anda akan siap mengelola pengguna, mengelola klaster, dan menggunakan pustaka perangkat lunak yang disertakan untuk melakukan operasi kriptografi. Untuk pengalaman terbaik, ikuti topik dalam urutan yang tercantum. **Topics** + [Buat grup administratif IAM untuk AWS CloudHSM](create-iam-user.md) + [Buat virtual private cloud (VPC) untuk AWS CloudHSM](create-vpc.md) + [Buat cluster di AWS CloudHSM](create-cluster.md) + [Tinjau grup keamanan untuk klaster Anda di AWS CloudHSM](configure-sg.md) + [Luncurkan instans klien Amazon EC2 untuk berinteraksi AWS CloudHSM](launch-client-instance.md) + [Konfigurasikan grup keamanan instans Amazon EC2 Klien untuk AWS CloudHSM](configure-sg-client-instance.md) + [Buat HSM di AWS CloudHSM](create-hsm.md) + [Verifikasi identitas dan keaslian HSM cluster Anda di AWS CloudHSM (opsional)](verify-hsm-identity.md) + [Inisialisasi cluster di AWS CloudHSM](initialize-cluster.md) + [Instal dan konfigurasikan CloudHSM CLI](gs_cloudhsm_cli-install.md) + [Aktifkan cluster di AWS CloudHSM](activate-cluster.md) + [Siapkan TLS timbal balik antara klien dan AWS CloudHSM (disarankan)](getting-started-setup-mtls.md) + [Buat dan gunakan kunci di AWS CloudHSM](create-apps.md) # Buat grup administratif IAM untuk AWS CloudHSM Langkah pertama untuk memulai AWS CloudHSM adalah mengatur izin IAM. Sebagai [praktik terbaik](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users), jangan gunakan Anda Pengguna root akun AWS untuk berinteraksi AWS, termasuk AWS CloudHSM. Sebagai gantinya, gunakan AWS Identity and Access Management (IAM) untuk membuat pengguna IAM, peran IAM, atau pengguna federasi. Ikuti langkah-langkah di bagian [Buat grup pengguna dan administrator IAM](#create-iam-admin) untuk membuat grup administrator dan melampirkan **AdministratorAccess**kebijakan ke dalamnya. Kemudian, buat pengguna administrator baru dan tambahkan pengguna ke grup. Tambahkan pengguna tambahan ke grup sesuai kebutuhan. Setiap pengguna yang Anda tambahkan mewarisi **AdministratorAccess**kebijakan dari grup. Praktik terbaik lainnya adalah membuat grup AWS CloudHSM administrator yang hanya memiliki izin yang diperlukan untuk dijalankan AWS CloudHSM. Tambahkan pengguna individu ke grup ini sesuai kebutuhan. Setiap pengguna mewarisi izin terbatas yang dilampirkan ke grup daripada akses AWS penuh. [Kebijakan yang dikelola pelanggan untuk AWS CloudHSM](identity-access-management.md#permissions-for-cloudhsm)Bagian berikut berisi kebijakan yang harus Anda lampirkan ke grup AWS CloudHSM administrator Anda. AWS CloudHSM mendefinisikan [peran terkait layanan untuk akun](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Anda. AWS Peran terkait layanan saat ini menentukan izin yang memungkinkan akun Anda mencatat peristiwa. AWS CloudHSM Peran dapat dibuat secara otomatis oleh AWS CloudHSM atau secara manual oleh Anda. Anda tidak dapat mengedit peran, tetapi Anda dapat menghapusnya. Untuk informasi lebih lanjut, lihat [Peran terkait layanan untuk AWS CloudHSM](service-linked-roles.md). ## Buat grup pengguna dan administrator IAM Mulai dengan membuat pengguna IAM bersama dengan grup administrator untuk pengguna tersebut. ### Mendaftar untuk Akun AWS Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya. **Untuk mendaftar untuk Akun AWS** 1. Buka [https://portal.aws.amazon.com/billing/pendaftaran.](https://portal.aws.amazon.com/billing/signup) 1. Ikuti petunjuk online. Bagian dari prosedur pendaftaran melibatkan menerima panggilan telepon atau pesan teks dan memasukkan kode verifikasi pada keypad telepon. Saat Anda mendaftar untuk sebuah Akun AWS, sebuah *Pengguna root akun AWS*dibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya di akun. Sebagai praktik keamanan terbaik, tetapkan akses administratif ke pengguna, dan gunakan hanya pengguna root untuk melakukan [tugas yang memerlukan akses pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks). AWS mengirimkan email konfirmasi setelah proses pendaftaran selesai. Kapan saja, Anda dapat melihat aktivitas akun Anda saat ini dan mengelola akun Anda dengan masuk [https://aws.amazon.com.rproxy.goskope.comke/](https://aws.amazon.com/) dan memilih **Akun Saya**. ### Buat pengguna dengan akses administratif Setelah Anda mendaftar Akun AWS, amankan Pengguna root akun AWS, aktifkan AWS IAM Identity Center, dan buat pengguna administratif sehingga Anda tidak menggunakan pengguna root untuk tugas sehari-hari. **Amankan Anda Pengguna root akun AWS** 1. Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/)sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi. Untuk bantuan masuk dengan menggunakan pengguna root, lihat [Masuk sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) di *AWS Sign-In Panduan Pengguna*. 1. Mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna root Anda. Untuk petunjuk, lihat [Mengaktifkan perangkat MFA virtual untuk pengguna Akun AWS root (konsol) Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) di Panduan Pengguna *IAM*. **Buat pengguna dengan akses administratif** 1. Aktifkan Pusat Identitas IAM. Untuk mendapatkan petunjuk, silakan lihat [Mengaktifkan AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) di *Panduan Pengguna AWS IAM Identity Center *. 1. Di Pusat Identitas IAM, berikan akses administratif ke pengguna. Untuk tutorial tentang menggunakan Direktori Pusat Identitas IAM sebagai sumber identitas Anda, lihat [Mengkonfigurasi akses pengguna dengan default Direktori Pusat Identitas IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) di *Panduan AWS IAM Identity Center Pengguna*. **Masuk sebagai pengguna dengan akses administratif** + Untuk masuk dengan pengguna Pusat Identitas IAM, gunakan URL masuk yang dikirim ke alamat email saat Anda membuat pengguna Pusat Identitas IAM. Untuk bantuan masuk menggunakan pengguna Pusat Identitas IAM, lihat [Masuk ke portal AWS akses](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*. **Tetapkan akses ke pengguna tambahan** 1. Di Pusat Identitas IAM, buat set izin yang mengikuti praktik terbaik menerapkan izin hak istimewa paling sedikit. Untuk petunjuk, lihat [Membuat set izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) di *Panduan AWS IAM Identity Center Pengguna*. 1. Tetapkan pengguna ke grup, lalu tetapkan akses masuk tunggal ke grup. Untuk petunjuk, lihat [Menambahkan grup](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) di *Panduan AWS IAM Identity Center Pengguna*. Misalnya kebijakan AWS CloudHSM yang dapat Anda lampirkan ke grup pengguna IAM, lihat[Identitas dan manajemen akses untuk AWS CloudHSM](identity-access-management.md). # Buat virtual private cloud (VPC) untuk AWS CloudHSM Anda memerlukan virtual private cloud (VPC) untuk cluster Anda. AWS CloudHSM Jika Anda belum memilikinya, ikuti langkah-langkah dalam topik ini untuk membuat VPC. **catatan** Mengikuti langkah-langkah ini akan menghasilkan penciptaan subnet publik dan swasta. **Untuk membuat VPC** 1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 1. Pada bilah navigasi, gunakan pemilih wilayah untuk memilih salah satu [AWS Wilayah yang saat AWS CloudHSM ini didukung](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region). 1. Pilih tombol **Buat VPC**. 1. **Agar Sumber Daya dapat dibuat**, pilih **VPC dan lainnya**. 1. Untuk **pembuatan otomatis tag Nama**, ketikkan nama yang dapat diidentifikasi seperti. **CloudHSM** 1. Untuk blok **IPv6 CIDR, pilih blok IPv6 ** **CIDR yang disediakan Amazon untuk menggunakan IPv6 konektivitas untuk Anda HSMs dan telah AWS mengalokasikan blok** IPv6 CIDR untuk cluster Anda. Pengaturan ini mendukung Tipe Jaringan dual-stack. Pertahankan pengaturan default jika Anda tidak memerlukan IPv6 konektivitas. 1. Biarkan semua pilihan lain diatur ke defaultnya. 1. Pilih **Buat VPC**. 1. Setelah VPC dibuat, pilih Lihat VPC untuk melihat **VPC** yang baru saja Anda buat. # Buat cluster di AWS CloudHSM Cluster adalah kumpulan modul keamanan perangkat keras individu (HSMs). AWS CloudHSM menyinkronkan HSMs di setiap cluster sehingga mereka berfungsi sebagai unit logis. AWS CloudHSM *menawarkan dua jenis HSMs: *hsm1.medium dan hsm2m.medium*.* Saat Anda membuat cluster, Anda memilih mana dari keduanya akan berada di cluster Anda. Untuk detail tentang perbedaan antara setiap tipe HSM dan mode cluster, lihat[AWS CloudHSM mode cluster](cluster-hsm-types.md). Saat Anda membuat klaster, AWS CloudHSM buat grup keamanan untuk klaster atas nama Anda. Grup keamanan ini mengontrol akses jaringan ke HSMs dalam cluster. Ini memungkinkan koneksi masuk hanya dari instans Amazon Elastic Compute Cloud EC2 (Amazon) yang ada di grup keamanan. Secara default, grup keamanan tidak berisi instans apapun. Kemudian, Anda[meluncurkan instans klien](launch-client-instance.md) dan [mengatur konfigurasi grup keamanan klaster](configure-sg.md) untuk mengizinkan komunikasi dan koneksi dengan HSM. **Pertimbangan-pertimbangan** + Berikut ini adalah beberapa pertimbangan saat membuat cluster di AWS CloudHSM: + Saat Anda membuat klaster, AWS CloudHSM buat [peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) bernama AWSService RoleForCloud HSM. Jika AWS CloudHSM tidak dapat membuat peran atau peran belum ada, Anda mungkin tidak dapat membuat klaster. Untuk informasi selengkapnya, lihat [Menyelesaikan AWS CloudHSM kegagalan pembuatan cluster](troubleshooting-create-cluster.md). Untuk informasi lebih lanjut tentang peran terkait layanan, lihat [Peran terkait layanan untuk AWS CloudHSM](service-linked-roles.md). + Jika Anda menggunakan [titik akhir AWS CloudHSM dual-stack](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) (yaitu, cloudhsmv2. **.api.aws), pastikan bahwa kebijakan IAM Anda diperbarui untuk ditangani. IPv6 Untuk informasi selengkapnya, lihat bagian [Upgrade kebijakan IAM ke IPv6 bagian Keamanan](https://docs.aws.amazon.com/cloudhsm/latest/userguide/ip-access.html). Anda dapat membuat klaster dari [konsol AWS CloudHSM](https://console.aws.amazon.com/cloudhsm/), [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), atau API AWS CloudHSM . Untuk detail tentang argumen cluster dan APIs, lihat [https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)di AWS CLI Command Reference. ------ #### [ Console ] **Untuk membuat klaster (konsol)** 1. Buka AWS CloudHSM konsol di [https://console.aws.amazon.com/cloudhsm/rumah](https://console.aws.amazon.com/cloudhsm/home). 1. Pada bilah navigasi, gunakan pemilih wilayah untuk memilih salah satu dari [Wilayah AWS tempat AWS CloudHSM saat ini didukung](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region). 1. Pilih **Buat klaster**. 1. Di bagian **Konfigurasi klaster**, lakukan hal berikut: 1. Untuk **VPC**, pilih VPC yang Anda buat. [Buat virtual private cloud (VPC) untuk AWS CloudHSM](create-vpc.md) 1. Untuk **Availability Zone (s)**, di samping setiap Availability Zone, pilih subnet pribadi yang Anda buat. **catatan** Meskipun tidak AWS CloudHSM didukung di Availability Zone tertentu, performa tidak akan terpengaruh, karena AWS CloudHSM secara otomatis memuat saldo HSMs di semua klaster. Lihat [AWS CloudHSM Wilayah dan Titik Akhir](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region) di bagian *Referensi Umum AWS*untuk melihat dukungan Availability Zone. AWS CloudHSM 1. Untuk **tipe HSM**, pilih tipe HSM yang dapat dibuat di cluster Anda bersama dengan mode cluster yang diinginkan. Untuk melihat jenis HSM apa yang didukung di setiap wilayah, lihat [kalkulator AWS CloudHSM harga](https://aws.amazon.com/cloudhsm/pricing/). **penting** Setelah cluster dibuat, mode cluster tidak dapat diubah. Untuk informasi tentang jenis dan mode yang tepat untuk kasus penggunaan Anda, lihat[AWS CloudHSM mode cluster](cluster-hsm-types.md). 1. Untuk **Jenis Jaringan**, pilih protokol alamat IP untuk mengakses Anda. HSMs IPv4 membatasi komunikasi antara aplikasi Anda dan IPv4 hanya HSMs untuk. Ini adalah pilihan default. Dual-stack memungkinkan keduanya IPv4 dan IPv6 komunikasi. Untuk menggunakan dual-stack, tambahkan keduanya IPv4 dan IPv6 CIDRs ke konfigurasi VPC dan subnet Anda. Tipe Jaringan sulit diubah setelah pengaturan awal. Untuk memodifikasinya, buat cadangan cluster yang ada dan pulihkan cluster baru dengan Jenis Jaringan yang diinginkan. Untuk informasi selengkapnya, lihat [Membuat AWS CloudHSM cluster dari backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) 1. Untuk **sumber Cluster**, tentukan apakah Anda ingin membuat klaster baru atau memulihkannya dari cadangan yang ada. + Cadangan cluster dalam mode non-FIPS hanya dapat digunakan untuk mengembalikan cluster yang berada dalam mode non-FIPS. + Cadangan cluster dalam mode FIPS hanya dapat digunakan untuk mengembalikan cluster yang berada dalam mode FIPS. 1. Pilih **Berikutnya**. 1. Tentukan berapa lama layanan harus mempertahankan cadangan. 1. Terima periode retensi default 90 hari atau ketik nilai baru antara 7 dan 379 hari. Layanan akan secara otomatis menghapus cadangan di klaster ini yang lebih tua dari nilai yang Anda tentukan di sini. Anda dapat mengubah ini nanti. Untuk informasi lebih lanjut, lihat [Konfigurasikan retensi cadangan](manage-backup-retention.md). 1. Pilih **Selanjutnya**. 1. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menambahkan lebih dari satu tanda ke klaster, pilih **Tambahkan tanda**. 1. Pilih **Tinjau**. 1. Tinjau konfigurasi klaster Anda, dan kemudian pilih **Buat klaster**. Jika upaya Anda untuk membuat klaster gagal, itu mungkin terkait dengan masalah dengan peran AWS CloudHSM terkait layanan. Untuk bantuan menyelesaikan kegagalan, lihat [Menyelesaikan AWS CloudHSM kegagalan pembuatan cluster](troubleshooting-create-cluster.md). ------ #### [ AWS CLI ] **Untuk membuat klaster ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))** + Pada jendela perintah, jalankan perintah **[create-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)**. Tentukan jenis instans HSM, periode retensi cadangan, dan subnet subnet IDs tempat Anda berencana untuk membuat. HSMs Gunakan subnet IDs dari subnet pribadi yang Anda buat. Tentukan hanya satu subnet per Availability Zone. ``` $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \ --backup-retention-policy Type=DAYS,Value= \ --subnet-ids \ --mode \ --network-type { "Cluster": { "BackupPolicy": "DEFAULT", "BackupRetentionPolicy": { "Type": "DAYS", "Value": 90 }, "VpcId": "vpc-50ae0636", "SubnetMapping": { "us-west-2b": "subnet-49a1bc00", "us-west-2c": "subnet-6f950334", "us-west-2a": "subnet-fd54af9b" }, "SecurityGroup": "sg-6cb2c216", "HsmType": "hsm2m.medium", "NetworkType": "IPV4", "Certificates": {}, "State": "CREATE_IN_PROGRESS", "Hsms": [], "ClusterId": "cluster-igklspoyj5v", "ClusterMode": "FIPS", "CreateTimestamp": 1502423370.069 } } ``` **catatan** `ClusterMode`adalah parameter yang diperlukan untuk semua jenis hsm kecuali hsm1.medium. `--mode`: ``` $ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \ --backup-retention-policy Type=DAYS,Value= \ --subnet-ids \ --mode NON_FIPS ``` Jika upaya Anda untuk membuat klaster gagal, itu mungkin terkait dengan masalah dengan peran AWS CloudHSM terkait layanan. Untuk bantuan menyelesaikan kegagalan, lihat [Menyelesaikan AWS CloudHSM kegagalan pembuatan cluster](troubleshooting-create-cluster.md). ------ #### [ AWS CloudHSM API ] **Untuk membuat cluster (AWS CloudHSM API)** + Kirim permintaan [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html). Tentukan jenis instans HSM, kebijakan penyimpanan cadangan, dan subnet subnet IDs tempat Anda berencana untuk membuat. HSMs Gunakan subnet IDs dari subnet pribadi yang Anda buat. Tentukan hanya satu subnet per Availability Zone. Jika upaya Anda untuk membuat klaster gagal, itu mungkin terkait dengan masalah dengan peran AWS CloudHSM terkait layanan. Untuk bantuan menyelesaikan kegagalan, lihat [Menyelesaikan AWS CloudHSM kegagalan pembuatan cluster](troubleshooting-create-cluster.md). ------ # Tinjau grup keamanan untuk klaster Anda di AWS CloudHSM Saat Anda membuat klaster atau menambahkan HSM ke klaster, AWS CloudHSM buat grup keamanan dengan nama `cloudhsm-cluster--sg` jika belum ada. Grup keamanan ini berisi aturan TCP yang telah dikonfigurasi yang memungkinkan komunikasi masuk dan keluar dalam grup keamanan klaster mellui port 2223-2225. SG ini memungkinkan instans EC2 Anda menggunakan VPC Anda untuk diajak bicara di cluster Anda. HSMs **Awas** Jangan menghapus atau mengubah aturan TCP yang telah dikonfigurasi, yang diisikan dalam grup keamanan klaster. Aturan ini dapat mencegah masalah konektivitas dan akses tidak sah ke Anda HSMs. Grup keamanan klaster mencegah akses tidak sah ke Anda HSMs. Siapa pun yang dapat mengakses instans di grup keamanan dapat mengakses instans Anda HSMs. Sebagian besar operasi mewajibkan pengguna untuk login ke HSM. Namun, dimungkinkan untuk memusatkan perhatian HSMs tanpa otentikasi, yang menghancurkan materi utama, sertifikat, dan data lainnya. Jika hal ini terjadi, data yang dibuat atau dimodifikasi setelah cadangan terbaru akan hilang dan tidak dapat dipulihkan. Untuk mencegah akses yang tidak sah, pastikan bahwa hanya administrator tepercaya yang dapat memodifikasi atau mengakses instans dalam grup keamanan default. Cluster hsm2m.medium memperkenalkan fitur mTLS untuk membatasi pengguna yang tidak sah terhubung ke cluster. Pengguna yang tidak sah akan memerlukan kredensyal mTLS yang valid agar berhasil terhubung ke cluster sebelum mencoba zeroisasi. Pada langkah berikutnya, Anda dapat [meluncurkan instans Amazon EC2](launch-client-instance.md) dan menghubungkannya HSMs dengan [melampirkan grup keamanan klaster ke](configure-sg-client-instance.md) dalamnya. # Luncurkan instans klien Amazon EC2 untuk berinteraksi AWS CloudHSM Untuk berinteraksi dengan dan mengelola instans AWS CloudHSM cluster dan HSM Anda, Anda harus dapat berkomunikasi dengan antarmuka jaringan elastis HSM Anda. Cara termudah untuk melakukannya adalah dengan menggunakan instans EC2 dalam VPC yang sama sebagai klaster Anda. Anda juga dapat menggunakan sumber daya AWS untuk menyambung ke klaster Anda: + [Pengintipan VPC Amazon](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html) + [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) + [Koneksi VPN](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html) **catatan** Panduan ini memberikan contoh sederhana tentang cara menghubungkan instans EC2 ke AWS CloudHSM cluster Anda. Untuk praktik terbaik seputar konfigurasi jaringan aman, lihat. [Akses aman ke klaster Anda](bp-cluster-management.md#bp-secure-access) AWS CloudHSM Dokumentasi biasanya mengasumsikan bahwa Anda menggunakan instans EC2 di VPC dan Availability Zone (AZ) yang sama di mana Anda membuat cluster Anda. **Untuk membuat instans EC2** 1. Buka **Dasbor EC2** di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Pilih **Launch instance**. Dari menu tarik-turun, pilih **Launch instance**. 1. Di bidang **Nama**, masukkan nama untuk instans EC2 Anda. 1. Di bagian **Aplikasi dan Gambar OS (Amazon Machine Image)**, pilih Amazon Machine Image (AMI) yang sesuai dengan platform yang didukung CloudHSM. Untuk informasi selengkapnya, lihat [AWS CloudHSM Platform yang didukung SDK Klien 5](client-supported-platforms.md). 1. Di bagian **Jenis Instance**, pilih jenis instance. 1. Di bagian **Key pair**, gunakan key pair yang ada atau pilih **Create new key pair** dan selesaikan langkah-langkah berikut: 1. Untuk **nama Key pair**, masukkan nama untuk key pair. 1. Untuk **tipe Key pair**, pilih tipe key pair. 1. Untuk **format file kunci pribadi**, pilih format file kunci pribadi. 1. Pilih **Create key pair**. 1. Unduh dan simpan file kunci pribadi. **penting** Ini adalah satu-satunya kesempatan Anda untuk menyimpan file kunci pribadi. Unduh dan simpan file di tempat yang aman. Anda harus menyediakan nama pasangan kunci saat meluncurkan sebuah instans. Selain itu, Anda harus memberikan kunci pribadi yang sesuai setiap kali Anda terhubung ke instance dan memilih key pair yang Anda buat saat mengatur. 1. Di **Pengaturan jaringan**, pilih **Edit**. 1. Untuk **VPC**, pilih VPC yang sebelumnya Anda buat untuk klaster Anda. 1. Untuk **Subnet**, pilih subnet publik yang telah Anda buat untuk VPC. 1. Untuk **Tetapkan Otomatis IP Publik**, pilih **Aktifkan**. 1. Untuk **Auto-assign IPv6 IP**, pilih **Aktifkan** untuk menggunakan konektivitas IPv6 dengan cluster Anda dan Dual-stack. NetworkType Jika Anda mengaktifkan opsi ini, perbarui aturan grup keamanan instans Amazon EC2, tabel rute VPC dan subnet, serta jaringan ACLs untuk mengizinkan lalu lintas IPv6 keluar dari instans ke. HSMs 1. Pilih **Pilih grup keamanan yang ada**. 1. Di **grup keamanan umum**, pilih grup keamanan default dari menu tarik-turun. 1. Di **Configure Storage**, gunakan menu drop-down untuk memilih konfigurasi penyimpanan. 1. Di jendela **Ringkasan**, pilih **Launch instance**. **catatan** Menyelesaikan langkah ini akan memulai proses untuk membuat instans EC2 Anda. Untuk informasi selengkapnya tentang membuat klien Amazon EC2 Linux, lihat [Memulai dengan Instans Amazon EC2 Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html). Untuk informasi tentang menghubungkan dengan klien yang sedang berjalan, lihat topik berikut ini: + [Menghubungkan ke Instance Linux Anda Menggunakan SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html) + [Menghubungkan ke Instance Linux Anda dari Windows Menggunakan PutTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html) Panduan pengguna Amazon EC2 berisi petunjuk detail untuk menyiapkan dan menggunakan instans Amazon EC2 Anda. Daftar berikut ini memberikan gambaran tentang dokumentasi yang tersedia untuk klien Amazon EC2 Linux dan Windows: + Untuk membuat klien Amazon EC2 Linux, lihat [Memulai dengan Instans Amazon EC2 Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html). Untuk informasi tentang menghubungkan dengan klien yang sedang berjalan, lihat topik berikut ini: + [Menghubungkan ke Instans Linux Anda Menggunakan SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html) + [Menghubungkan ke Instance Linux Anda dari Windows Menggunakan PutTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html) + Untuk membuat klien Amazon EC2 Windows , lihat[Memulai dengan instans Amazon EC2 Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html). Untuk informasi selengkapnya tentang menghubungkan ke klien Windows Anda, lihat [Hubungkan ke Instans Windows Anda](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows). **catatan** Instans EC2 Anda dapat menjalankan semua AWS CLI perintah yang terkandung dalam panduan ini. Jika AWS CLI tidak terpasang, Anda bisa mengunduhnya dari [AWS Command Line Interface](https://aws.amazon.com/cli/). Jika Anda menggunakan Windows, Anda dapat mengunduh dan menjalankan penginstal Windows 64-bit atau 32-bit. Jika Anda menggunakan Linux atau macOS, Anda dapat menginstal CLI menggunakan pip. # Konfigurasikan grup keamanan instans Amazon EC2 Klien untuk AWS CloudHSM Saat meluncurkan instans Amazon EC2 untuk klaster AWS CloudHSM, Anda mengaitkannya dengan grup keamanan Amazon VPC default. Topik ini menjelaskan cara mengaitkan grup keamanan klaster dengan instans EC2. Asosiasi ini memungkinkan AWS CloudHSM klien yang berjalan pada instans EC2 Anda untuk berkomunikasi dengan HSM Anda. Untuk menghubungkan instans EC2 ke AWS CloudHSM cluster, Anda harus mengonfigurasi *grup keamanan default VPC dengan benar dan mengaitkan grup* keamanan klaster dengan instans tersebut. Gunakan langkah-langkah berikut untuk menyelesaikan perubahan konfigurasi. **Topics** + [Langkah 1. Mengubah grup keamanan default](#configure-sg-client-instance-modify-default-security-group) + [Langkah 2. Hubungkan instans Amazon EC2 ke cluster AWS CloudHSM](#configure-sg-client-instance-connect-the-ec2-instance-to-the-HSM-cluster) ## Langkah 1. Mengubah grup keamanan default Anda perlu memodifikasi grup keamanan default untuk mengizinkan koneksi SSH atau RDP, sehingga Anda dapat mengunduh dan menginstal perangkat lunak klien, dan berinteraksi dengan HSM Anda. **Untuk memodifikasi grup keamanan default** 1. Buka **Dasbor EC2** di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Pilih **Instans (berjalan)** dan kemudian pilih kotak centang di sebelah instans EC2 yang ingin Anda instal klien. AWS CloudHSM 1. Di bawah tab **Keamanan**, pilih grup keamanan bernama **Default**. 1. Di bagian atas halaman, pilih **Tindakan**, dan kemudian **Edit Aturan Masuk**. 1. Pilih **Tambahkan Aturan**. 1. Untuk **Jenis**, lakukan salah satu hal berikut: + Untuk instans Amazon EC2 Windows Server, pilih**RDP**. Port secara otomatis `3389` terisi. + Untuk instans Amazon EC2 Linux, pilih **SSH**. Rentang port `22` secara otomatis diisi. 1. Untuk salah satu opsi, setel **Sumber** ke **IP Saya** agar Anda dapat berkomunikasi dengan instans Amazon EC2 Anda. **penting** Jangan tentukan 0.0.0.0/0 sebagai rentang CIDR untuk menghindari mengizinkan siapa pun mengakses instance Anda. 1. Pilih **Simpan**. ## Langkah 2. Hubungkan instans Amazon EC2 ke cluster AWS CloudHSM Anda harus melampirkan grup keamanan cluster ke instans EC2 sehingga instans EC2 dapat berkomunikasi dengan HSMs di cluster Anda. Grup keamanan klaster berisi aturan yang telah dikonfigurasi yang memungkinkan komunikasi masuk melalui port 2223-2225. **Untuk menghubungkan instans EC2 ke cluster AWS CloudHSM** 1. Buka **Dasbor EC2** di [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). 1. Pilih **Instans (berjalan)** dan kemudian pilih kotak centang untuk instans EC2 di mana Anda ingin menginstal klien. AWS CloudHSM 1. Di bagian atas halaman, pilih **Tindakan**, **Keamanan**, dan kemudian **Ubah Grup Keamanan**. 1. Pilih grup keamanan dengan nama grup yang cocok dengan ID klaster Anda, seperti `cloudhsm-cluster--sg`. 1. Pilih **Tambahkan Grup Keamanan**. 1. Pilih **Simpan**. **catatan** Anda dapat menetapkan maksimum lima grup keamanan untuk instans Amazon EC2. Jika Anda telah mencapai batas maksimum, Anda harus mengubah grup keamanan default instans Amazon EC2 dan grup keamanan klaster: Di grup keamanan default, lakukan hal berikut: Tambahkan aturan masuk untuk mengizinkan lalu lintas menggunakan protokol TCP melalui port `2223-2225` dari grup keamanan klaster. Di grup keamanan klaster, lakukan hal berikut: Tambahkan aturan masuk untuk mengizinkan lalu lintas menggunakan protokol TCP melalui port `2223-2225` dari grup keamanan default. # Buat HSM di AWS CloudHSM Setelah Anda membuat cluster di AWS CloudHSM, Anda dapat membuat modul keamanan perangkat keras (HSM). Namun, sebelum Anda dapat membuat HSM di klaster Anda, klaster harus dalam keadaan tidka diinisialisasi. Untuk menentukan status klaster, lihat [halaman cluster di AWS CloudHSM konsol](https://console.aws.amazon.com/cloudhsm/home), gunakan perintah AWS CLI untuk menjalankan **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** perintah, atau mengirim [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)permintaan di AWS CloudHSM API. Anda dapat membuat HSM dari [konsol AWS CloudHSM](https://console.aws.amazon.com/cloudhsm/), [AWS CLI](https://aws.amazon.com/cli/), atau API AWS CloudHSM . **penting** Hanya buat satu HSM saat cluster Anda dalam keadaan tidak diinisialisasi. ------ #### [ Console ] **Untuk membuat HSM (konsol)** 1. Buka AWS CloudHSM konsol di [https://console.aws.amazon.com/cloudhsm/rumah](https://console.aws.amazon.com/cloudhsm/home). 1. Pilih tombol radio di sebelah ID cluster yang ingin Anda buat HSM. 1. Pilih **Tindakan**. Dari menu tarik-turun, pilih **Inisialisasi**. 1. Pilih Availability Zone (AZ) untuk HSM yang Anda buat. 1. Pilih **Buat**. Setelah Anda membuat klaster dan HSM, Anda dapat secara opsional [memverifikasi identitas HSM](verify-hsm-identity.md), atau langsung lanjutkan ke [Inisialisasi cluster](initialize-cluster.md). ------ #### [ AWS CLI ] **Untuk membuat HSM ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))** + Pada jendela perintah, jalankan perintah **[create-hsm](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-hsm.html)**. Tentukan ID klaster dari klaster yang Anda buat sebelumnya dan Availability Zone untuk HSM. Tentukan Availability Zone dalam bentuk `us-west-2a`, `us-west-2b`, dll. ``` $ aws cloudhsmv2 create-hsm --cluster-id --availability-zone { "Hsm": { "HsmId": "hsm-ted36yp5b2x", "EniIp": "10.0.1.12", "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733", "AvailabilityZone": "us-west-2a", "ClusterId": "cluster-igklspoyj5v", "EniId": "eni-5d7ade72", "SubnetId": "subnet-fd54af9b", "State": "CREATE_IN_PROGRESS" } } ``` Setelah Anda membuat klaster dan HSM, Anda dapat secara opsional [memverifikasi identitas HSM](verify-hsm-identity.md), atau langsung lanjutkan ke [Inisialisasi cluster](initialize-cluster.md). ------ #### [ AWS CloudHSM API ] **Untuk membuat HSM (AWS CloudHSM API)** + Kirim permintaan [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html). Tentukan ID klaster dari klaster yang Anda buat sebelumnya dan Availability Zone untuk HSM. Setelah Anda membuat klaster dan HSM, Anda dapat secara opsional [memverifikasi identitas HSM](verify-hsm-identity.md), atau langsung lanjutkan ke [Inisialisasi cluster](initialize-cluster.md). ------ # Verifikasi identitas dan keaslian HSM cluster Anda di AWS CloudHSM (opsional) Untuk menginisialisasi klaster AWS CloudHSM, Anda menandatangani permintaan penandatanganan sertifikat (CSR) yang dihasilkan oleh modul keamanan perangkat keras (HSM) pertama klaster. Sebelum Anda melakukan ini, Anda mungkin perlu memverifikasi identitas dan keaslian HSM. **catatan** Proses ini opsional. Namun, ini bekerja hanya sampai sebuah klaster diinisialisasi. Setelah cluster diinisialisasi, Anda tidak dapat menggunakan proses ini untuk mendapatkan sertifikat atau memverifikasi. HSMs Untuk memverifikasi identitas HSM klaster Anda, selesaikan langkah-langkah berikut: 1. [Dapatkan sertifikat dan CSR](#get-certificates) — Pada langkah ini, Anda mendapatkan tiga sertifikat dan CSR dari HSM. Anda juga mendapatkan dua sertifikat root, satu dari AWS CloudHSM dan satu dari produsen perangkat keras HSM. 1. [Verifikasi rantai sertifikat](#verify-certificate-chains) — Pada langkah ini, Anda membuat dua rantai sertifikat, satu ke sertifikat AWS CloudHSM root dan satu ke sertifikat root pabrikan. Kemudian Anda memverifikasi sertifikat HSM dengan rantai sertifikat ini untuk menentukan itu AWS CloudHSM dan produsen perangkat keras membuktikan identitas dan keaslian HSM. 1. [Bandingkan kunci publik](#compare-public-keys) — Pada langkah ini, Anda mengekstraksi dan membandingkan kunci publik dalam sertifikat HSM dan klaster CSR, untuk memastikan bahwa mereka adalah sama. Hal ini akan memberi Anda keyakinan bahwa CSR dihasilkan oleh HSM yang autentik, tepercaya . Diagram berikut menunjukkan CSR, sertifikat, dan hubungan mereka satu sama lain. Daftar berikutnya mendefinisikan setiap sertifikat. ![\[Sertifikat HSM dan hubungannya.\]](http://docs.aws.amazon.com/id_id/cloudhsm/latest/userguide/images/hsm-certificate-relationships.png) **AWS Sertifikat Root** Ini AWS CloudHSM adalah sertifikat root. **Sertifikat Root Produsen** Ini adalah sertifikat root pabrik perangkat keras. **AWS Sertifikat Perangkat Keras** AWS CloudHSM membuat sertifikat ini ketika perangkat keras HSM ditambahkan ke armada. Sertifikat ini menegaskan bahwa AWS CloudHSM memiliki perangkat keras. **Sertifikat Perangkat Keras Produsen** Produsen perangkat keras HSM membuat sertifikat ini ketika memproduksi perangkat keras HSM. Sertifikat ini menegaskan bahwa produsen membuat perangkat keras. **Sertifikat HSM** Sertifikat HSM dihasilkan oleh perangkat keras divalidasi FIPS ketika Anda membuat HSM pertama di klaster. Sertifikat ini menegaskan bahwa perangkat keras HSM membuat HSM. **CSR Klaster** HSM pertama membuat CSR klaster. Saat Anda [tandatangani CSR klaster](initialize-cluster.md#sign-csr), Anda mengklaim klaster. Kemudian, Anda dapat menggunakan CSR yang ditandatangani untuk [menginisialisasi klaster](initialize-cluster.md#initialize). ## Langkah 1. Dapatkan sertifikat dari HSM Untuk memverifikasi identitas dan keaslian HSM Anda, mulailah dengan mendapatkan CSR dan lima sertifikat. Anda mendapatkan tiga sertifikat dari HSM, yang dapat Anda lakukan dengan [AWS CloudHSM konsol](https://console.aws.amazon.com/cloudhsm/), [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), atau AWS CloudHSM API. ------ #### [ Console ] **Untuk mendapatkan CSR dan sertifikat HSM (konsol)** 1. Buka AWS CloudHSM konsol di [https://console.aws.amazon.com/cloudhsm/rumah](https://console.aws.amazon.com/cloudhsm/home). 1. Pilih tombol radio di sebelah ID cluster dengan HSM yang ingin Anda verifikasi. 1. Pilih **Tindakan**. Dari menu tarik-turun, pilih **Inisialisasi**. 1. Jika Anda tidak menyelesaikan [langkah sebelumnya](create-hsm.md) untuk membuat HSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih **Buat**. 1. Saat sertifikat dan CSR siap, Anda akan melihat tautan untuk mengunduhnya. ![\[Halaman permintaan penandatanganan sertifikat unduhan di AWS CloudHSM konsol.\]](http://docs.aws.amazon.com/id_id/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png) 1. Pilih setiap tautan untuk mengunduh dan menyimpan CSR dan sertifikat. Untuk menyederhanakan langkah-langkah berikutnya, simpan semua file ke direktori yang sama dan menggunakan nama file default. ------ #### [ AWS CLI ] **Untuk mendapatkan CSR dan sertifikat HSM ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))** + Pada prompt perintah, jalankan perintah **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** empat kali, mengekstraksi CSR dan sertifikat yang berbeda setiap kalinya dan menyimpannya ke file. 1. Keluarkan perintah berikut untuk mengekstraksi CSR klaster. Ganti ** dengan ID cluster yang Anda buat sebelumnya. ``` $ aws cloudhsmv2 describe-clusters --filters clusterIds= \ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ > _ClusterCsr.csr ``` 1. Keluarkan perintah berikut untuk mengekstraksi sertifikat HSM. Ganti ** dengan ID cluster yang Anda buat sebelumnya. ``` $ aws cloudhsmv2 describe-clusters --filters clusterIds= \ --output text \ --query 'Clusters[].Certificates.HsmCertificate' \ > _HsmCertificate.crt ``` 1. Keluarkan perintah berikut untuk mengekstrak sertifikat AWS perangkat keras. Ganti ** dengan ID cluster yang Anda buat sebelumnya. ``` $ aws cloudhsmv2 describe-clusters --filters clusterIds= \ --output text \ --query 'Clusters[].Certificates.AwsHardwareCertificate' \ > _AwsHardwareCertificate.crt ``` 1. Keluarkan perintah berikut untuk mengekstrak sertifikat perangkat keras produsen. Ganti ** dengan ID cluster yang Anda buat sebelumnya. ``` $ aws cloudhsmv2 describe-clusters --filters clusterIds= \ --output text \ --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \ > _ManufacturerHardwareCertificate.crt ``` ------ #### [ AWS CloudHSM API ] **Untuk mendapatkan sertifikat CSR dan HSM (API)AWS CloudHSM** + Kirim permintaan [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html), lalu ekstrak dan simpan CSR dan sertifikat dari respons. ------ ## Langkah 2. Dapatkan sertifikat root Ikuti langkah-langkah ini untuk mendapatkan sertifikat root untuk AWS CloudHSM dan pabrikan. Simpan berkas sertifikat root ke direktori yang berisi file CSR dan sertifikat HSM. **Untuk mendapatkan sertifikat root AWS CloudHSM dan produsen** 1. Unduh sertifikat AWS CloudHSM root: [AWS\$1CloudHSM\$1Root-G1.zip](samples/AWS_CloudHSM_Root-G1.zip) 1. Unduh sertifikat root pabrikan yang tepat untuk jenis HSM Anda: + [hsm1.medium sertifikat root produsen: liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquid_security_certificate.zip) + [hsm2m.sertifikat root produsen medium: liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquidsecurity2_ar_v1.zip) **catatan** Untuk mengunduh setiap sertifikat dari halaman arahnya, gunakan tautan berikut: [Halaman arahan untuk sertifikat root pabrikan hsm1.medium](https://www.marvell.com/products/security-solutions/liquid-security-hsm-adapters-and-appliances/liquidsecurity-certificate.html) [Halaman arahan untuk sertifikat root pabrikan hsm2m.medium](https://www.marvell.com/products/security-solutions/nitrox-hs-adapters/liquidsecurity2-certificate-ls2-g-axxx-ar-f-bo-v1.html) Anda mungkin harus mengeklik kanan **Unduh Sertifikat** dan kemudian pilih **Simpan Tautan Sebagai...** untuk menyimpan file sertifikat. 1. Setelah Anda mengunduh file, ekstrak (unzip) konten. ## Langkah 3. Verifikasi rantai sertifikat Pada langkah ini, Anda membangun dua rantai sertifikat, satu ke sertifikat AWS CloudHSM root dan satu ke sertifikat root pabrikan. Kemudian, gunakan OpenSSL untuk memverifikasi sertifikat HSM dengan setiap rantai sertifikat. Untuk membuat rantai sertifikat, buka shell Linux. Anda membutuhkan OpenSSL, yang tersedia di sebagian besar shell Linux, dan Anda memerlukan [sertifikat root](#get-root-certificates) dan [file sertifikat HSM](#get-certificates) yang Anda unduh. Namun, Anda tidak perlu AWS CLI untuk langkah ini, dan shell tidak perlu dikaitkan dengan AWS akun Anda. **Untuk memverifikasi sertifikat HSM dengan sertifikat AWS CloudHSM root** 1. Navigasi ke direktori tempat Anda menyimpan [Sertifikat root](#get-root-certificates) dan [file sertifikat HSM](#get-certificates) yang Anda unduh. Perintah berikut menganggap bahwa semua sertifikat dalam direktori saat ini dan menggunakan nama file default. Gunakan perintah berikut untuk membuat rantai sertifikat yang mencakup sertifikat AWS perangkat keras dan sertifikat AWS CloudHSM root, dalam urutan itu. Ganti ** dengan ID cluster yang Anda buat sebelumnya. ``` $ cat _AwsHardwareCertificate.crt \ AWS_CloudHSM_Root-G1.crt \ > _AWS_chain.crt ``` 1. Gunakan perintah OpenSSL berikut ini untuk memverifikasi sertifikat HSM dengan rantai sertifikat AWS . Ganti ** dengan ID cluster yang Anda buat sebelumnya. ``` $ openssl verify -CAfile _AWS_chain.crt _HsmCertificate.crt _HsmCertificate.crt: OK ``` **Untuk memverifikasi sertifikat HSM dengan sertifikat root produsen** 1. Gunakan perintah berikut untuk membuat rantai sertifikat yang mencakup sertifikat perangkat keras produsen dan sertifikat root produsen, dalam urutan itu. Ganti ** dengan ID cluster yang Anda buat sebelumnya. ``` $ cat _ManufacturerHardwareCertificate.crt \ liquid_security_certificate.crt \ > _manufacturer_chain.crt ``` 1. Gunakan perintah OpenSSL berikut ini untuk memverifikasi sertifikat HSM dengan rantai sertifikat . Ganti ** dengan ID cluster yang Anda buat sebelumnya. ``` $ openssl verify -CAfile _manufacturer_chain.crt _HsmCertificate.crt _HsmCertificate.crt: OK ``` ## Langkah 4. Ekstrak dan bandingkan kunci publik Gunakan OpenSSL untuk mengekstraksi dan membandingkan kunci publik dalam sertifikat HSM dan CSR klaster, untuk memastikan bahwa mereka adalah sama. Untuk membandingkan kunci publik, gunakan shell Linux Anda. Anda memerlukan OpenSSL, yang tersedia di sebagian besar shell Linux, tetapi Anda tidak perlu untuk langkah AWS CLI ini. Shell tidak perlu dikaitkan dengan AWS akun Anda. **Untuk mengekstraksi dan membandingkan kunci publik** 1. Gunakan perintah berikut untuk mengekstraksi kunci publik dari sertifikat HSM. ``` $ openssl x509 -in _HsmCertificate.crt -pubkey -noout > _HsmCertificate.pub ``` 1. Gunakan perintah berikut untuk mengekstraksi kunci publik dari klaster CSR. ``` $ openssl req -in _ClusterCsr.csr -pubkey -noout > _ClusterCsr.pub ``` 1. Gunakan perintah berikut untuk membandingkan kunci publik. Jika kunci publik identik, perintah berikut tidak menghasilkan output. ``` $ diff _HsmCertificate.pub _ClusterCsr.pub ``` Setelah Anda memverifikasi identitas dan keaslian HSM, lanjutkan ke [Inisialisasi cluster](initialize-cluster.md). # Inisialisasi cluster di AWS CloudHSM Setelah Anda membuat cluster dan menambahkan modul keamanan perangkat keras (HSM) Anda AWS CloudHSM, Anda dapat menginisialisasi cluster. Selesaikan langkah-langkah dalam topik berikut untuk menginisialisasi klaster . **catatan** Sebelum Anda menginisialisasi cluster, tinjau proses di mana Anda dapat [memverifikasi identitas dan keaslian klaster. HSMs](verify-hsm-identity.md) Proses ini opsional dan bekerja hanya sampai klaster diinisialisasi. Setelah cluster diinisialisasi, Anda tidak dapat menggunakan proses ini untuk mendapatkan sertifikat atau memverifikasi. HSMs **Topics** + [Ikhtisar](#initialize-cluster-overview) + [Langkah 1. Dapatkan CSR cluster](#get-csr) + [Langkah 2. Buat kunci pribadi untuk Root CA Anda](#sign-csr-create-key) + [Langkah 3. Tanda tangani CSR](#sign-csr) + [Langkah 4. Inisialisasi cluster](#initialize) ## Ikhtisar Proses inisialisasi cluster menetapkan kepemilikan dan kontrol Anda atas cluster dan Anda HSMs melalui sistem otentikasi berbasis sertifikat. Proses ini secara kriptografis membuktikan bahwa Anda adalah pemilik tunggal HSMs di cluster Anda dan menciptakan fondasi kepercayaan yang akan diperlukan untuk semua koneksi masa depan ke Anda. HSMs Halaman ini akan menunjukkan kepada Anda bagaimana melakukan hal berikut: + Ambil permintaan penandatanganan sertifikat (CSR) klaster Anda. + Buat dan gunakan kunci pribadi untuk membuat sertifikat root yang ditandatangani sendiri atau rantai sertifikat. + Tanda tangani CSR klaster Anda untuk menghasilkan sertifikat HSM yang ditandatangani. + Inisialisasi klaster Anda menggunakan sertifikat HSM yang ditandatangani dan sertifikat yang ditandatangani sendiri atau rantai sertifikat. Saat Anda siap memulai, buka [Langkah 1. Dapatkan CSR cluster](#get-csr). ## Langkah 1. Dapatkan CSR cluster Sebelum Anda dapat menginisialisasi klaster, Anda harus mengunduh dan menandatangani permintaan penandatanganan sertifikat (CSR) yang dihasilkan oleh klaster pertama HSM. Jika Anda mengikuti langkah-langkah untuk [memverifikasi identitas klaster HSM Anda](verify-hsm-identity.md), Anda sudah memiliki CSR dan Anda dapat menandatanganinya. Jika tidak, dapatkan CSR sekarang dengan menggunakan [AWS CloudHSM konsol](https://console.aws.amazon.com/cloudhsm/), [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), atau AWS CloudHSM API. ------ #### [ Console ] **Untuk mendapatkan CSR (konsol)** 1. Buka AWS CloudHSM konsol di [https://console.aws.amazon.com/cloudhsm/rumah](https://console.aws.amazon.com/cloudhsm/home). 1. Pilih tombol radio di sebelah ID cluster dengan HSM yang ingin Anda verifikasi. 1. Pilih **Tindakan**. Dari menu tarik-turun, pilih **Inisialisasi**. 1. Jika Anda tidak menyelesaikan [langkah sebelumnya](create-hsm.md) untuk membuat HSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih **Buat**. 1. Saat CSR sudah siap, Anda akan melihat tautan untuk mengunduhnya. ![\[Unduh halaman permintaan penandatanganan sertifikat di AWS CloudHSM konsol.\]](http://docs.aws.amazon.com/id_id/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png) 1. Pilih **CSR Klaster** untuk mengunduh dan menyimpan CSR. ------ #### [ AWS CLI ] **Untuk mendapatkan CSR ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))** + Pada prompt perintah, jalankan perintah **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)**, yang mengekstraksi CSR dan menyimpannya ke file. Ganti ** dengan ID cluster yang Anda [buat sebelumnya](create-cluster.md). ``` $ aws cloudhsmv2 describe-clusters --filters clusterIds= \ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ > _ClusterCsr.csr ``` ------ #### [ AWS CloudHSM API ] **Untuk mendapatkan CSR (AWS CloudHSM API)** 1. Kirim permintaan [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html). 1. Ekstrak dan simpan CSR dari respons. ------ ## Langkah 2. Buat kunci pribadi untuk Root CA Anda **catatan** Untuk kluster produksi, kunci yang akan Anda buat harus dibuat dengan cara yang aman menggunakan sumber keacakan tepercaya. Kami menyarankan Anda menggunakan HSM offsite dan offline yang aman atau setara. Simpan kunci dengan aman. Kunci menetapkan identitas cluster dan satu-satunya kendali Anda atas yang HSMs dikandungnya. Untuk pengembangan dan pengujian, Anda dapat menggunakan alat apa pun yang nyaman (seperti OpenSSL) untuk membuat dan menandatangani sertifikat cluster. Contoh berikut menunjukkan kepada Anda cara membuat kunci. Setelah Anda menggunakan kunci untuk membuat sertifikat yang ditandatangani sendiri (lihat di bawah), Anda harus menyimpannya dengan cara yang aman. Untuk masuk ke AWS CloudHSM instans Anda, sertifikat harus ada, tetapi kunci pribadi tidak. Tabel di bawah ini menguraikan algoritme, ukuran kunci, dan kurva yang didukung untuk pembuatan sertifikat. | Algoritma | Ukuran/Kurva | | --- | --- | | **RSA PKCSv1 .5** | 2048, 3072, 4096 | | **RSA-PSS** | 2048, 3072, 4096 | | **ECDSA** | prime256v1, secp384r1, secp521r1 | | **Intisari** | SHA-224, SHA-256, SHA-384, dan SHA-512 | Gunakan perintah contoh berikut untuk membuat kunci pribadi untuk Root CA yang ditandatangani sendiri. ``` $ openssl genrsa -aes256 -out customerRootCA.key 2048 Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) Enter pass phrase for customerRootCA.key: Verifying - Enter pass phrase for customerRootCA.key: ``` ## Langkah 3. Tanda tangani CSR Pada langkah sebelumnya, Anda mengambil CSR klaster Anda dan membuat kunci pribadi untuk CA root Anda. Pada langkah ini, Anda akan menggunakan kunci pribadi Anda untuk menghasilkan sertifikat penandatanganan untuk menandatangani CSR klaster Anda. Topik di bawah ini akan memandu Anda melalui proses pembuatan sertifikat tunggal yang ditandatangani sendiri, atau rantai sertifikat, menggunakan OpenSSL. Anda tidak perlu AWS CLI untuk langkah ini, dan shell tidak perlu dikaitkan dengan AWS akun Anda. **penting** Untuk menginisialisasi klaster Anda, jangkar kepercayaan Anda harus mematuhi [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) dan memenuhi persyaratan berikut: Jika menggunakan ekstensi X509v3, ekstensi X509v3 Basic Constraints harus ada. Jangkar kepercayaan harus berupa sertifikat yang ditandatangani sendiri. Nilai ekstensi tidak boleh bertentangan satu sama lain. Pilih salah satu pendekatan berikut untuk menandatangani CSR klaster Anda: ### Pilih pendekatan sertifikat Anda Anda harus memilih salah satu dari dua pendekatan berikut. Jangan menyelesaikan kedua pendekatan tersebut. **Opsi A: Sertifikat tunggal yang ditandatangani sendiri** Buat satu sertifikat root yang ditandatangani sendiri untuk menandatangani CSR klaster Anda. Ini adalah metode langsung yang paling sederhana untuk membangun kepercayaan. **Direkomendasikan untuk:** + Lingkungan di mana PKI eksternal tidak diperlukan + Lingkungan pengujian dan pengembangan di mana kesederhanaan lebih disukai Pergi ke: [Buat satu sertifikat yang ditandatangani sendiri](#self-signed-certificate) **Opsi B: Rantai sertifikat dengan CA menengah** Buat rantai sertifikat menggunakan otoritas sertifikat perantara. Rantai sertifikat perantara memberikan peningkatan keamanan, skalabilitas, dan fleksibilitas dengan memungkinkan root Certificate Authority (CAs) untuk tetap offline saat mendelegasikan penerbitan sertifikat ke perantara CAs, sehingga mengurangi risiko membahayakan root CA. **Direkomendasikan untuk:** + Lingkungan di mana PKI eksternal diperlukan + Integrasi dengan AWS Private Certificate Authority (PCA) **Contoh Integrasi AWS PCA:** Anda dapat menggunakan AWS Private Certificate Authority untuk membuat dan mengelola sertifikat CA perantara Anda. Ini menyediakan manajemen siklus hidup sertifikat otomatis, termasuk pembaruan dan pencabutan, sambil mempertahankan manfaat keamanan menjaga root CA Anda tetap offline. Untuk informasi selengkapnya tentang AWS PCA, lihat [Panduan Pengguna AWS Private Certificate Authority](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html). Pergi ke: [Buat rantai otoritas sertifikat menengah (ICA)](#certificate-chain) ### Buat satu sertifikat yang ditandatangani sendiri Perangkat keras tepercaya yang Anda gunakan untuk membuat kunci privat untuk klaster produksi Anda juga harus menyediakan perangkat lunak untuk menghasilkan sertifikat yang ditandatangani sendiri menggunakan kunci tersebut. Contoh berikut menggunakan OpenSSL dan kunci pribadi yang Anda buat pada langkah sebelumnya untuk membuat sertifikat penandatanganan CA root yang ditandatangani sendiri. Sertifikat ini berlaku selama 10 tahun (3652 hari). Baca petunjuk di layar dan ikuti prompt-nya. ``` $ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt Enter pass phrase for customerRootCA.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []: ``` Perintah ini membuat file sertifikat bernama `customerRootCA.crt`. Letakkan sertifikat ini di setiap host tempat Anda akan terhubung ke AWS CloudHSM cluster Anda. Jika Anda memberikan file nama yang berbeda atau menyimpannya di jalan selain root host Anda, Anda harus mengedit file konfigurasi klien Anda agar sesuai. Gunakan sertifikat dan kunci privat yang baru saja Anda buat untuk menandatangani permintaan penandatanganan sertifikat klaster (CSR) di langkah berikutnya. #### Tanda tangani CSR klaster dengan Root CA yang ditandatangani sendiri Perangkat keras tepercaya yang Anda gunakan untuk membuat kunci privat Anda untuk klaster produksi Anda juga harus menyediakan alat untuk menandatangani CSR menggunakan kunci tersebut. Contoh berikut menggunakan OpenSSL untuk menandatangani CSR klaster. Contoh perintah di bawah ini menandatangani CSR dengan tanda tangan sendiri `customerRootCA.crt` ``` $ openssl x509 -req -days 3652 -in _ClusterCsr.csr \ -CA .crt \ -CAkey .key \ -CAcreateserial \ -out _CustomerHsmCertificate.crt Signature ok subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM::PARTN:, for FIPS mode Getting CA Private Key Enter pass phrase for .key: ``` Perintah ini membuat file sertifikat bernama `_CustomerHsmCertificate.crt`. Gunakan file ini sebagai sertifikat yang ditandatangani ketika Anda menginisialisasi klaster. Verifikasi sertifikat yang ditandatangani terhadap root CA (opsional): ``` $ openssl verify -purpose sslserver -CAfile customerRootCA.crt _CustomerHsmCertificate.crt _CustomerHsmCertificate.crt: OK ``` Setelah memproduksi sertifikat HSM yang ditandatangani dengan Root CA yang ditandatangani sendiri, buka. [Langkah 4. Inisialisasi cluster](#initialize) ### Buat rantai otoritas sertifikat menengah (ICA) Contoh berikut akan memandu Anda melalui pembuatan rantai sertifikat panjang 2, yang terdiri dari root Certificate Authority (CA) dan CA perantara. Pertama-tama Anda akan membuat sertifikat CA root yang ditandatangani sendiri, lalu menghasilkan CA perantara yang ditandatangani oleh root CA. Terakhir, Anda akan menggunakan CA perantara untuk menandatangani CSR klaster Anda, membuat rantai kepercayaan lengkap dari sertifikat HSM Anda kembali ke root CA. Pendekatan ini memberikan keamanan yang ditingkatkan dengan menjaga root CA tetap offline saat menggunakan CA perantara untuk operasi day-to-day sertifikat. **penting** Untuk menginisialisasi klaster Anda dengan rantai sertifikat, rantai Anda harus memenuhi persyaratan berikut: Rantai harus diurutkan, dimulai dengan CA Menengah yang menandatangani CSR cluster. Dalam urutan ini, ICA pertama harus memiliki penerbit yang cocok dengan subjek ICA berikutnya dalam rantai, dan seterusnya. Hanya Root CA yang harus ditandatangani sendiri, artinya penerbit dan subjeknya harus identik. Rantai harus terdiri dari tidak lebih dari 4 sertifikat (termasuk Root CA di akhir), dan ukuran total rantai tidak boleh melebihi 16 kb (kilobyte). Semua Otoritas Sertifikat (CAs) harus sesuai dengan pedoman [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280). Bagian ini memberikan contoh untuk membuat rantai otoritas sertifikat perantara menggunakan dua pendekatan berbeda: OpenSSL untuk pembuatan sertifikat lokal, dan AWS Private Certificate Authority (PCA) untuk layanan sertifikat terkelola. Pilih pendekatan yang paling sesuai dengan lingkungan dan persyaratan keamanan Anda. **catatan** Contoh berikut adalah kasus penggunaan umum dan keduanya disederhanakan, menggunakan konfigurasi paling dasar. Untuk lingkungan produksi, tinjau opsi konfigurasi tambahan dan persyaratan keamanan khusus untuk kasus penggunaan Anda. ------ #### [ OpenSSL ] Buat file konfigurasi OpenSSL dengan ekstensi v3 umum untuk CA: ``` $ cat > ca-extensions.conf < chainCA.crt -----BEGIN CERTIFICATE----- [Intermediate CA] -----END CERTIFICATE----- ... ... -----BEGIN CERTIFICATE----- [Root CA] -----END CERTIFICATE----- ``` Tanda tangani CSR klaster dengan CA perantara Anda: ``` $ openssl x509 -req -days 3652 -in _ClusterCsr.csr \ -CA intermediateCA.crt \ -CAkey intermediateCA.key \ -CAcreateserial \ -out _CustomerHsmCertificate.crt Signature ok subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM::PARTN:, for FIPS mode Getting CA Private Key Enter pass phrase for intermediateCA.key: ``` ------ #### [ AWS PCA ] Membuat dan mengaktifkan Root CA menggunakan AWS Private Certificate Authority: ``` $ # 1. Create Root CA aws acm-pca create-certificate-authority \ --certificate-authority-configuration \ "KeyAlgorithm=RSA_4096, SigningAlgorithm=SHA256WITHRSA, Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=RootCA}" \ --certificate-authority-type ROOT # Store the Root CA Authority ARN from the previous output ROOT_CA_AUTHORITY_ARN="arn:aws:acm-pca:::certificate-authority/" # 2. Generate Root CA CSR aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \ --output text > customerRootCA.csr # 3. Self-sign Root CA Certificate aws acm-pca issue-certificate \ --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \ --csr fileb://customerRootCA.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \ --validity Value=3652,Type=DAYS # Store the Root CA certificate ARN from the previous output ROOT_CA_ARN="arn:aws:acm-pca:::certificate-authority//certificate/" # 4. Retrieve the Root CA certificate aws acm-pca get-certificate \ --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \ --certificate-arn $ROOT_CA_ARN \ --output text > customerRootCA.crt # 5. Import the Root CA Certificate aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \ --certificate fileb://customerRootCA.crt ``` Buat dan aktifkan CA bawahan (juga dikenal sebagai CA perantara): ``` $ # 6. Create Subordinate CA aws acm-pca create-certificate-authority \ --certificate-authority-configuration \ "KeyAlgorithm=RSA_4096, SigningAlgorithm=SHA256WITHRSA, Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=SubordinateCA}" \ --certificate-authority-type SUBORDINATE # Store the Subordinate CA Authority ARN from the previous output SUB_CA_AUTHORITY_ARN="arn:aws:acm-pca:::certificate-authority/" # 7. Generate Subordinate CA CSR aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \ --output text > intermediateCA.csr # 8. Issue Subordinate CA Certificate using Root CA aws acm-pca issue-certificate \ --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \ --csr fileb://intermediateCA.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 \ --validity Value=3651,Type=DAYS # Store the Subordinate CA certificate ARN from the previous output SUB_CA_ARN="arn:aws:acm-pca:::certificate-authority/" # 9. Retrieve Subordinate CA Certificate aws acm-pca get-certificate \ --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \ --certificate-arn $SUB_CA_ARN \ --query 'Certificate' \ --output text > intermediateCA.crt # 10. Import the Subordinate CA Certificate aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \ --certificate fileb://intermediateCA.crt \ --certificate-chain fileb://customerRootCA.crt ``` Gabungkan sertifikat ke dalam file rantai: ``` $ cat intermediateCA.crt customerRootCA.crt > chainCA.crt -----BEGIN CERTIFICATE----- [Intermediate CA] -----END CERTIFICATE----- ... ... -----BEGIN CERTIFICATE----- [Root CA] -----END CERTIFICATE----- ``` Tanda tangani CSR cluster menggunakan AWS PCA: ``` $ aws acm-pca issue-certificate \ --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \ --csr fileb://_ClusterCsr.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/EndEntityCertificate/V1 \ --validity Value=3650,Type=DAYS # Store your cluster's cert ARN from the previous output CLUSTER_CERT_ARN="arn:aws:acm-pca:::certificate-authority/" ``` Unduh sertifikat cluster yang ditandatangani: ``` $ aws acm-pca get-certificate \ --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \ --certificate-arn $CLUSTER_CERT_ARN \ --output text --query Certificate > _CustomerHsmCertificate.crt ``` ------ Perintah ini membuat file sertifikat bernama `_CustomerHsmCertificate.crt`. Gunakan file ini sebagai sertifikat yang ditandatangani ketika Anda menginisialisasi klaster. Verifikasi sertifikat yang ditandatangani terhadap rantai sertifikat (opsional): ``` $ openssl verify -purpose sslserver -CAfile chainCA.crt _CustomerHsmCertificate.crt _CustomerHsmCertificate.crt: OK ``` Setelah memproduksi sertifikat HSM yang ditandatangani dengan CA perantara Anda, buka. [Langkah 4. Inisialisasi cluster](#initialize) ## Langkah 4. Inisialisasi cluster Gunakan sertifikat HSM yang ditandatangani dan sertifikat penandatanganan Anda untuk menginisialisasi klaster Anda. Anda dapat menggunakan [AWS CloudHSM konsol](https://console.aws.amazon.com/cloudhsm/), the [AWS CLI](https://aws.amazon.com/cli/), atau AWS CloudHSM API. ------ #### [ Console ] **Untuk menginisialisasi klaster (konsol)** 1. Buka AWS CloudHSM konsol di [https://console.aws.amazon.com/cloudhsm/rumah](https://console.aws.amazon.com/cloudhsm/home). 1. Pilih tombol radio di sebelah ID cluster dengan HSM yang ingin Anda verifikasi. 1. Pilih **Tindakan**. Dari menu tarik-turun, pilih **Inisialisasi**. 1. Jika Anda tidak menyelesaikan [langkah sebelumnya](create-hsm.md) untuk membuat HSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih **Buat**. 1. Pada **Unduh permintaan penandatanganan sertifikat**, pilih **Selanjutnya**. Jika **Selanjutnya** tidak tersedia, pertama-tama pilih salah satu tautan CSR atau sertifikat. Lalu, pilih **Selanjutnya**. 1. Pada halaman **Tanda tangani permintaan penandatanganan sertifikat (CSR)**, pilih **Berikutnya**. 1. Pada halaman **Unggah sertifikat**, lakukan hal berikut: 1. Di samping **Sertifikat klaster**, pilih **Unggah file**. Kemudia, cari dan pilih sertifikat HSM yang Anda tanda tangani sebelumnya. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, pilih file bernama `_CustomerHsmCertificate.crt`. 1. Di samping **Menerbitkan sertifikat**, pilih **Unggah file**. Kemudian pilih sertifikat penandatanganan Anda berdasarkan pendekatan yang Anda pilih: + **Jika Anda memilih Opsi A (sertifikat tunggal yang ditandatangani sendiri):** Pilih file bernama `.crt` + **Jika Anda memilih Opsi B (rantai sertifikat):** Pilih file bernama `.crt` 1. Pilih **Unggah dan inisialisasi**. ------ #### [ AWS CLI ] **Untuk menginisialisasi sebuah klaster ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))** + Pada prompt perintah, jalankan perintah **[initialize-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/initialize-cluster.html)**. Berikan yang berikut ini: + ID klaster yang Anda buat sebelumnya. + Sertifikat HSM yang Anda tandatangani sebelumnya. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, file tersimpan dengan nama `_CustomerHsmCertificate.crt`. + Sertifikat penandatanganan Anda berdasarkan pendekatan yang Anda pilih: + **Jika Anda memilih Opsi A (sertifikat tunggal yang ditandatangani sendiri):** Gunakan file bernama `.crt` + **Jika Anda memilih Opsi B (rantai sertifikat):** Gunakan file bernama `.crt` ``` $ aws cloudhsmv2 initialize-cluster --cluster-id \ --signed-cert file://_CustomerHsmCertificate.crt \ --trust-anchor file:// { "State": "INITIALIZE_IN_PROGRESS", "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion." } ``` ------ #### [ AWS CloudHSM API ] **Untuk menginisialisasi cluster (AWS CloudHSM API)** + Kirim permintaan [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_InitializeCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_InitializeCluster.html) dengan yang berikut ini: + ID klaster yang Anda buat sebelumnya. + Sertifikat HSM yang Anda tandatangani sebelumnya. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, file tersimpan dengan nama `_CustomerHsmCertificate.crt`. + Sertifikat penandatanganan Anda berdasarkan pendekatan yang Anda pilih: + **Jika Anda memilih Opsi A (sertifikat tunggal yang ditandatangani sendiri):** Gunakan file bernama `.crt` + **Jika Anda memilih Opsi B (rantai sertifikat):** Gunakan file bernama `.crt` ------ # Instal dan konfigurasikan CloudHSM CLI Untuk berinteraksi dengan HSM di AWS CloudHSM cluster Anda, Anda memerlukan CloudHSM CLI. Connect ke instance klien Anda dan jalankan perintah berikut untuk men-download dan menginstal alat baris AWS CloudHSM perintah. Untuk informasi selengkapnya, lihat [Luncurkan instans klien Amazon EC2 untuk berinteraksi AWS CloudHSM](launch-client-instance.md). ------ #### [ Amazon Linux 2023 ] Amazon Linux 2023 pada arsitektur x86\$164: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.x86_64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.amzn2023.x86_64.rpm ``` Amazon Linux 2023 tentang ARM64 arsitektur: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.aarch64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.amzn2023.aarch64.rpm ``` ------ #### [ Amazon Linux 2 ] Amazon Linux 2 pada arsitektur x86\$164: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.x86_64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el7.x86_64.rpm ``` Amazon Linux 2 tentang ARM64 arsitektur: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.aarch64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el7.aarch64.rpm ``` ------ #### [ RHEL 10 (10.0\$1) ] RHEL 10 pada arsitektur x86\$164: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.x86_64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el10.x86_64.rpm ``` RHEL 10 tentang ARM64 arsitektur: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.aarch64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el10.aarch64.rpm ``` ------ #### [ RHEL 9 (9.2\$1) ] RHEL 9 pada arsitektur x86\$164: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.x86_64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el9.x86_64.rpm ``` RHEL 9 tentang ARM64 arsitektur: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.aarch64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el9.aarch64.rpm ``` ------ #### [ RHEL 8 (8.3\$1) ] RHEL 8 pada arsitektur x86\$164: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.x86_64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el8.x86_64.rpm ``` RHEL 8 tentang ARM64 arsitektur: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.aarch64.rpm ``` ``` $ sudo yum install ./cloudhsm-cli-latest.el8.aarch64.rpm ``` ------ #### [ Ubuntu 24.04 LTS ] Ubuntu 24.04 LTS pada arsitektur x86\$164: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_amd64.deb ``` ``` $ sudo apt install ./cloudhsm-cli_latest_u24.04_amd64.deb ``` Ubuntu 24.04 LTS pada ARM64 arsitektur: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_arm64.deb ``` ``` $ sudo apt install ./cloudhsm-cli_latest_u24.04_arm64.deb ``` ------ #### [ Ubuntu 22.04 LTS ] Ubuntu 22.04 LTS pada arsitektur x86\$164: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_amd64.deb ``` ``` $ sudo apt install ./cloudhsm-cli_latest_u22.04_amd64.deb ``` Ubuntu 22.04 LTS pada ARM64 arsitektur: ``` $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_arm64.deb ``` ``` $ sudo apt install ./cloudhsm-cli_latest_u22.04_arm64.deb ``` ------ #### [ Windows Server 2022 ] Untuk Windows Server 2022 pada arsitektur x86\$164, buka PowerShell sebagai administrator dan jalankan perintah berikut: ``` PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi ``` ``` PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait ``` ------ #### [ Windows Server 2019 ] Untuk Windows Server 2019 pada arsitektur x86\$164, buka PowerShell sebagai administrator dan jalankan perintah berikut: ``` PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi ``` ``` PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait ``` ------ #### [ Windows Server 2016 ] Untuk Windows Server 2016 pada arsitektur x86\$164, buka PowerShell sebagai administrator dan jalankan perintah berikut: ``` PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi ``` ``` PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait ``` ------ Gunakan perintah berikut untuk mengkonfigurasi CloudHSM CLI. **Untuk mem-bootstrap EC2 instance Linux untuk Client SDK 5** + Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda. ``` $ sudo /opt/cloudhsm/bin/configure-cli -a ``` **Untuk mem-bootstrap EC2 instance Windows untuk Client SDK 5** + Gunakan alat konfigurasi untuk menentukan alamat IP HSM di cluster Anda. ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a ``` # Aktifkan cluster di AWS CloudHSM Saat Anda mengaktifkan AWS CloudHSM klaster, status klaster berubah dari yang diinisialisasi menjadi aktif. Anda kemudian dapat [mengelola pengguna modul keamanan perangkat keras (HSM)](manage-hsm-users.md) dan [menggunakan HSM](use-hsm.md). **penting** Sebelum Anda dapat mengaktifkan cluster, Anda harus terlebih dahulu menyalin sertifikat penerbitan ke lokasi default untuk platform pada setiap EC2 instance yang terhubung ke cluster (Anda membuat sertifikat penerbitan saat Anda menginisialisasi cluster). Gunakan file sertifikat yang sesuai berdasarkan pendekatan yang Anda pilih selama inisialisasi cluster: **Jika Anda memilih Opsi A (sertifikat tunggal yang ditandatangani sendiri): Salin** `customerRootCA.crt` **Jika Anda memilih Opsi B (rantai sertifikat):** Salin `chainCA.crt` **Lokasi Linux:** ``` /opt/cloudhsm/etc/ ``` **Lokasi Windows:** ``` C:\ProgramData\Amazon\CloudHSM\ ``` Setelah menyalin file sertifikat, edit `/opt/cloudhsm/etc/cloudhsm-cli.cfg` file untuk memastikan nama file sertifikat cocok dengan nama sertifikat CA yang Anda salin. Setelah menempatkan sertifikat penerbitan, instal CloudHSM CLI dan jalankan [**cluster activate**](cloudhsm_cli-cluster-activate.md)perintah pada HSM pertama Anda. Anda akan melihat akun admin pada HSM pertama di klaster Anda memiliki peran admin yang [tidak aktif](understanding-users.md). Ini peran sementara yang hanya ada sebelum aktivasi cluster. Saat Anda mengaktifkan klaster, peran admin yang tidak aktif berubah menjadi admin. **Untuk mengaktifkan sebuah klaster** 1. Connect ke instance klien yang sebelumnya Anda luncurkan. Untuk informasi selengkapnya, lihat [Luncurkan instans klien Amazon EC2 untuk berinteraksi AWS CloudHSM](launch-client-instance.md). Anda dapat meluncurkan instans Linux atau Windows Server. 1. Jalankan CloudHSM CLI dalam mode interaktif. ------ #### [ Linux ] ``` $ /opt/cloudhsm/bin/cloudhsm-cli interactive ``` ------ #### [ Windows ] ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive ``` ------ 1. (Opsional) Gunakan perintah **user list** untuk menampilkan pengguna yang ada. ``` aws-cloudhsm > user list { "error_code": 0, "data": { "users": [ { "username": "admin", "role": "unactivated-admin", "locked": "false", "mfa": [], "cluster-coverage": "full" }, { "username": "app_user", "role": "internal(APPLIANCE_USER)", "locked": "false", "mfa": [], "cluster-coverage": "full" } ] } } ``` 1. Gunakan **cluster activate** perintah untuk mengatur kata sandi admin awal. ``` aws-cloudhsm > cluster activate Enter password: Confirm password: { "error_code": 0, "data": "Cluster activation successful" } ``` Kami menyarankan Anda menuliskan kata sandi baru pada lembar kerja kata sandi. Jangan hilangkan lembar kerja tersebut. Kami merekomendasikan Anda untuk mencetak salinan kata sandi, menggunakannya untuk mencatat kata sandi HSM penting, dan menyimpannya di tempat yang aman. Kami juga merekomendasikan Anda untuk menyimpan salinan lembar kerja ini dalam penyimpanan luar lokasi yang aman. 1. (Opsional) Gunakan **user list** perintah untuk memverifikasi bahwa tipe pengguna berubah menjadi [admin/Co](understanding-users-cmu.md#crypto-officer). ``` aws-cloudhsm > user list { "error_code": 0, "data": { "users": [ { "username": "admin", "role": "admin", "locked": "false", "mfa": [], "cluster-coverage": "full" }, { "username": "app_user", "role": "internal(APPLIANCE_USER)", "locked": "false", "mfa": [], "cluster-coverage": "full" } ] } } ``` 1. Gunakan **quit** perintah untuk menghentikan alat CloudHSM CLI. ``` aws-cloudhsm > quit ``` Untuk informasi selengkapnya tentang bekerja dengan CloudHSM CLI atau CMU[, lihat Memahami Pengguna HSM dan Memahami](understanding-users.md) Manajemen [Pengguna](understand-users.md) HSM dengan CMU. # Siapkan TLS timbal balik antara klien dan AWS CloudHSM (disarankan) Topik berikut menjelaskan langkah-langkah yang harus Anda selesaikan untuk mengaktifkan Transport Layer Security (mTLS) bersama antara klien dan AWS CloudHSM. **Pertimbangan-pertimbangan** + Saat ini fitur ini tersedia secara eksklusif di hsm2m.medium. Untuk informasi lebih lanjut tentang jenis HSM, lihat[AWS CloudHSM mode cluster](cluster-hsm-types.md). + mTL tidak didukung untuk toko AWS CloudHSM utama yang digunakan. AWS Key Management Service **Topics** + [Langkah 1. Buat dan daftarkan jangkar kepercayaan ke HSM](#setup-mtls-create-and-register-trust-anchor) + [Langkah 2. Aktifkan mTL untuk AWS CloudHSM](#getting-start-setup-mtl-sdk) + [Langkah 3. Tetapkan penegakan mTLS untuk AWS CloudHSM](#getting-start-setup-mtls-enforcement) ## Langkah 1. Buat dan daftarkan jangkar kepercayaan ke HSM Jangkar kepercayaan harus dibuat dan didaftarkan ke HSM sebelum mengaktifkan mTL. Ini adalah proses dua langkah: **Topics** + [Buat kunci pribadi dan sertifikat root yang ditandatangani sendiri](#setup-mtls-create-trust-anchor) + [Daftarkan jangkar kepercayaan ke HSM](#setup-mtls-register-trust-anchor) ### Buat kunci pribadi dan sertifikat root yang ditandatangani sendiri **catatan** Untuk cluster produksi, kunci yang akan Anda buat harus dibuat dengan cara yang aman menggunakan sumber keacakan tepercaya. Kami menyarankan Anda menggunakan HSM offsite dan offline yang aman atau setara. Simpan kunci dengan aman. Untuk pengembangan dan pengujian, Anda dapat menggunakan alat apa pun yang nyaman (seperti OpenSSL) untuk membuat kunci dan menandatangani sendiri sertifikat root. Anda akan memerlukan sertifikat kunci dan root untuk menandatangani sertifikat klien di [mTL aktifkan untuk AWS CloudHSM](#getting-start-setup-mtl-sdk). Contoh berikut menunjukkan cara membuat kunci pribadi dan sertifikat root yang ditandatangani sendiri dengan [OpenSSL](https://www.openssl.org/). **Example — Membuat kunci privat dengan OpenSSL** Gunakan perintah berikut untuk membuat kunci RSA 4096-bit yang dienkripsi dengan algoritma AES-256. Untuk menggunakan contoh ini, ganti ** dengan nama file tempat Anda ingin menyimpan kunci. ``` $ openssl genrsa -out -aes256 4096 Generating RSA private key, 4096 bit long modulus .....................................+++ .+++ e is 65537 (0x10001) Enter pass phrase for mtls_ca_root_1.key: Verifying - Enter pass phrase for mtls_ca_root_1.key: ``` **Example — Buat sertifikat root yang ditandatangani sendiri dengan OpenSSL** Gunakan perintah berikut untuk membuat sertifikat root yang ditandatangani sendiri bernama `mtls_ca_root_1.crt` dari kunci pribadi yang baru saja Anda buat. Sertifikat ini berlaku selama 25 tahun (9130 hari). Baca petunjuk di layar dan ikuti prompt-nya. ``` $ openssl req -new -x509 -days 9130 -key mtls_ca_root_1.key -out mtls_ca_root_1.crt Enter pass phrase for mtls_ca_root_1.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []: ``` ### Daftarkan jangkar kepercayaan ke HSM Setelah membuat sertifikat root yang ditandatangani sendiri, admin harus mendaftarkannya sebagai jangkar kepercayaan dengan cluster. AWS CloudHSM **Untuk mendaftarkan jangkar kepercayaan dengan HSM** 1. Gunakan perintah berikut untuk memulai CloudHSM CLI: ------ #### [ Linux ] ``` $ /opt/cloudhsm/bin/cloudhsm-cli interactive ``` ------ #### [ Windows ] ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive ``` ------ 1. Menggunakan CloudHSM CLI, masuk sebagai admin. ``` aws-cloudhsm > login --username --role admin Enter password: { "error_code": 0, "data": { "username": "", "role": "admin" } } ``` 1. Gunakan ** [Daftarkan jangkar kepercayaan dengan CloudHSM CLI](cloudhsm_cli-cluster-mtls-register-trust-anchor.md) ** perintah untuk mendaftarkan jangkar kepercayaan. Untuk informasi selengkapnya, lihat contoh berikut atau gunakan perintah **help cluster mtls register-trust-anchor**. **Example — Daftarkan jangkar kepercayaan dengan cluster AWS CloudHSM** Contoh berikut menunjukkan cara menggunakan **cluster mtls register-trust-anchor** perintah di CloudHSM CLI untuk mendaftarkan jangkar kepercayaan ke HSM. Untuk menggunakan perintah ini, admin harus login ke HSM. Ganti nilai-nilai ini dengan nilai Anda sendiri: ``` aws-cloudhsm > cluster mtls register-trust-anchor --path { "error_code": 0, "data": { "trust_anchor": { "certificate-reference": "0x01", "certificate": "", "cluster-coverage": "full" } } } ``` AWS CloudHSM mendukung pendaftaran sertifikat perantara sebagai jangkar kepercayaan. Dalam kasus seperti itu, seluruh file rantai sertifikat yang dikodekan PEM perlu didaftarkan ke HSM, dengan sertifikat dalam urutan hierarkis. AWS CloudHSM mendukung rantai sertifikat 6980 byte. Setelah berhasil mendaftarkan jangkar kepercayaan, Anda dapat menjalankan **cluster mtls list-trust-anchors** perintah untuk memeriksa jangkar kepercayaan terdaftar saat ini, seperti yang ditunjukkan di bawah ini: ``` aws-cloudhsm > cluster mtls list-trust-anchors { "error_code": 0, "data": { "trust_anchors": [ { "certificate-reference": "0x01", "certificate": "", "cluster-coverage": "full" } ] } } ``` Jumlah maksimum jangkar kepercayaan dapat didaftarkan ke hsm2m.medium adalah dua (2). ## Langkah 2. Aktifkan mTL untuk AWS CloudHSM Untuk mengaktifkan mTL AWS CloudHSM, Anda perlu membuat kunci pribadi dan sertifikat klien yang ditandatangani oleh sertifikat root yang kami [buat di Buat dan daftarkan jangkar kepercayaan ke HSM, lalu gunakan salah satu](#setup-mtls-create-and-register-trust-anchor) alat konfigurasi Client SDK 5 untuk mengatur jalur kunci pribadi dan jalur rantai sertifikat klien. **Topics** + [Buat kunci pribadi dan rantai sertifikat klien](#create-client-ssl) + [Konfigurasikan mTL untuk Klien SDK 5](#enable-ssl-5) ### Buat kunci pribadi dan rantai sertifikat klien **Example — Membuat kunci privat dengan OpenSSL** Gunakan perintah berikut untuk membuat kunci RSA 4096-bit. Untuk menggunakan contoh ini, ganti ** dengan nama file tempat Anda ingin menyimpan kunci. ``` $ openssl genrsa -out 4096 Generating RSA private key, 4096 bit long modulus .....................................+++ .+++ e is 65537 (0x10001) ``` **Example — Buat permintaan penandatanganan sertifikat (CSR) dengan OpenSSL** Gunakan perintah berikut untuk menghasilkan permintaan penandatanganan sertifikat (CSR) dari kunci pribadi yang baru saja Anda buat. Baca petunjuk di layar dan ikuti prompt-nya. ``` $ openssl req -new -key -out You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []: ``` **Example — Tanda tangani CSR dengan sertifikat root** Gunakan perintah berikut untuk menandatangani CSR dengan sertifikat root yang kami buat dan daftarkan di [Buat dan daftarkan jangkar kepercayaan ke HSM](#setup-mtls-create-and-register-trust-anchor) dan buat sertifikat klien bernama. `ssl-client.crt` Sertifikat ini berlaku selama 5 tahun (1826 hari). ``` $ openssl x509 -req -days 1826 -in -CA -CAkey -CAcreateserial -out ``` **Example — Buat rantai sertifikat klien** Gunakan perintah berikut untuk menggabungkan sertifikat klien dan sertifikat root yang kami buat dan daftarkan di [Buat dan daftarkan jangkar kepercayaan ke HSM](#setup-mtls-create-and-register-trust-anchor) dan buat rantai sertifikat klien bernama`ssl-client.pem`, yang akan digunakan untuk mengkonfigurasi pada langkah berikutnya. ``` $ cat > ``` Jika Anda [mendaftarkan sertifikat perantara di Buat dan daftarkan jangkar kepercayaan ke HSM](#setup-mtls-create-and-register-trust-anchor) sebagai jangkar kepercayaan, pastikan untuk menggabungkan sertifikat klien dengan seluruh rantai sertifikat untuk membuat rantai sertifikat klien. ### Konfigurasikan mTL untuk Klien SDK 5 Gunakan salah satu alat konfigurasi Client SDK 5 untuk mengaktifkan TLS bersama dengan menyediakan jalur kunci klien dan jalur rantai sertifikat klien yang tepat. Untuk informasi selengkapnya tentang alat konfigurasi untuk Client SDK 5, lihat[AWS CloudHSM Alat konfigurasi SDK 5 klien](configure-sdk-5.md). ------ #### [ PKCS \$111 library ] **Untuk menggunakan sertifikat dan kunci khusus untuk otentikasi timbal balik klien TLS-HSM dengan Client SDK 5 di Linux** 1. Salin kunci dan sertifikat Anda ke direktori yang sesuai. ``` $ sudo cp ssl-client.pem $ sudo cp ssl-client.key ``` 1. Gunakan alat konfigurasi untuk menentukan `ssl-client.pem` dan `ssl-client.key`. ``` $ sudo /opt/cloudhsm/bin/configure-pkcs11 \ --client-cert-hsm-tls-file \ --client-key-hsm-tls-file ``` **Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik klien TLS-HSM dengan Klien SDK 5 pada Windows** 1. Salin kunci dan sertifikat Anda ke direktori yang sesuai. ``` cp ssl-client.pem cp ssl-client.key ``` 1. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan `ssl-client.pem` dan`ssl-client.key`. ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" ` --client-cert-hsm-tls-file ` --client-key-hsm-tls-file ``` ------ #### [ OpenSSL Dynamic Engine ] **Untuk menggunakan sertifikat dan kunci khusus untuk otentikasi timbal balik klien TLS-HSM dengan Client SDK 5 di Linux** 1. Salin kunci dan sertifikat Anda ke direktori yang sesuai. ``` $ sudo cp ssl-client.pem sudo cp ssl-client.key ``` 1. Gunakan alat konfigurasi untuk menentukan `ssl-client.pem` dan `ssl-client.key`. ``` $ sudo /opt/cloudhsm/bin/configure-dyn \ --client-cert-hsm-tls-file \ --client-key-hsm-tls-file ``` ------ #### [ Key Storage Provider (KSP) ] **Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik klien TLS-HSM dengan Klien SDK 5 pada Windows** 1. Salin kunci dan sertifikat Anda ke direktori yang sesuai. ``` cp ssl-client.pem cp ssl-client.key ``` 1. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan `ssl-client.pem` dan`ssl-client.key`. ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" ` --client-cert-hsm-tls-file ` --client-key-hsm-tls-file ``` ------ #### [ JCE provider ] **Untuk menggunakan sertifikat dan kunci khusus untuk otentikasi timbal balik klien TLS-HSM dengan Client SDK 5 di Linux** 1. Salin kunci dan sertifikat Anda ke direktori yang sesuai. ``` $ sudo cp ssl-client.pem sudo cp ssl-client.key ``` 1. Gunakan alat konfigurasi untuk menentukan `ssl-client.pem` dan `ssl-client.key`. ``` $ sudo /opt/cloudhsm/bin/configure-jce \ --client-cert-hsm-tls-file \ --client-key-hsm-tls-file ``` **Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik klien TLS-HSM dengan Klien SDK 5 pada Windows** 1. Salin kunci dan sertifikat Anda ke direktori yang sesuai. ``` cp ssl-client.pem cp ssl-client.key ``` 1. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan `ssl-client.pem` dan`ssl-client.key`. ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" ` --client-cert-hsm-tls-file ` --client-key-hsm-tls-file ``` ------ #### [ CloudHSM CLI ] **Untuk menggunakan sertifikat dan kunci khusus untuk otentikasi timbal balik klien TLS-HSM dengan Client SDK 5 di Linux** 1. Salin kunci dan sertifikat Anda ke direktori yang sesuai. ``` $ sudo cp ssl-client.pem sudo cp ssl-client.key ``` 1. Gunakan alat konfigurasi untuk menentukan `ssl-client.pem` dan `ssl-client.key`. ``` $ sudo /opt/cloudhsm/bin/configure-cli \ --client-cert-hsm-tls-file \ --client-key-hsm-tls-file ``` **Untuk menggunakan sertifikat kustom dan kunci untuk otentikasi timbal balik klien TLS-HSM dengan Klien SDK 5 pada Windows** 1. Salin kunci dan sertifikat Anda ke direktori yang sesuai. ``` cp ssl-client.pem cp ssl-client.key ``` 1. Dengan PowerShell penerjemah, gunakan alat konfigurasi untuk menentukan `ssl-client.pem` dan`ssl-client.key`. ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" ` --client-cert-hsm-tls-file ` --client-key-hsm-tls-file ``` ------ ## Langkah 3. Tetapkan penegakan mTLS untuk AWS CloudHSM Setelah mengkonfigurasi dengan salah satu alat konfigurasi Client SDK 5, koneksi antara klien dan AWS CloudHSM akan menjadi TLS bersama di cluster. Namun, menghapus jalur kunci pribadi dan jalur rantai sertifikat klien dari file konfigurasi akan mengubah koneksi menjadi TLS biasa lagi. Anda dapat menggunakan CloudHSM CLI untuk mengatur penegakan mtls di cluster dengan menyelesaikan langkah-langkah berikut: 1. Gunakan perintah berikut untuk memulai CloudHSM CLI: ------ #### [ Linux ] ``` $ /opt/cloudhsm/bin/cloudhsm-cli interactive ``` ------ #### [ Windows ] ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive ``` ------ 1. Menggunakan CloudHSM CLI, masuk sebagai admin. ``` aws-cloudhsm > login --username --role admin Enter password: { "error_code": 0, "data": { "username": "", "role": "admin" } } ``` **catatan** 1. Pastikan Anda telah mengonfigurasi CloudHSM CLI dan memulai CloudHSM CLI di bawah koneksi mTLS. 2. Anda harus masuk sebagai pengguna admin default dengan nama pengguna sebagai **admin** sebelum menetapkan penegakan mTLS. 1. Gunakan ** [Atur tingkat penegakan mTLS dengan CloudHSM CLI](cloudhsm_cli-cluster-mtls-set-enforcement.md) ** perintah untuk mengatur penegakan hukum. Untuk informasi selengkapnya, lihat contoh berikut atau gunakan perintah **help cluster mtls set-enforcement**. **Example — Tetapkan penegakan mTLS dengan cluster AWS CloudHSM** Contoh berikut menunjukkan cara menggunakan **cluster mtls set-enforcement** perintah di CloudHSM CLI untuk mengatur penegakan mTLS dengan HSM. Untuk menggunakan perintah ini, admin dengan nama pengguna sebagai admin harus login ke HSM. ``` aws-cloudhsm > cluster mtls set-enforcement --level cluster { "error_code": 0, "data": { "message": "Mtls enforcement level set to Cluster successfully" } } ``` **Awas** Setelah Anda menerapkan penggunaan mTLS di cluster, semua koneksi non-MTLS yang ada akan dihapus dan Anda hanya dapat terhubung ke cluster dengan sertifikat mTLS. # Buat dan gunakan kunci di AWS CloudHSM [Sebelum Anda dapat membuat dan menggunakan kunci di klaster baru, buat pengguna modul keamanan perangkat keras (HSM) dengan AWS CloudHSM CLI Untuk informasi selengkapnya, [lihat Memahami Tugas Manajemen Pengguna HSM, Memulai AWS CloudHSM Command Line Interface (CLI), dan Cara Mengelola Pengguna](understand-users.md)[HSM](cloudhsm_cli-getting-started.md).](manage-hsm-users.md) **catatan** Jika menggunakan Client SDK 3, gunakan [CloudHSM Management Utility (CMU) alih-alih CloudHSM](cloudhsm_mgmt_util.md) CLI. Setelah Anda membuat pengguna HSM, Anda dapat masuk ke HSM dan mengelola kunci menggunakan salah satu opsi ini: + Gunakan [utilitas manajemen kunci, alat baris perintah](key_mgmt_util-getting-started.md) + Bangun aplikasi C menggunakan [pustaka PKCS \$111](pkcs11-library.md) + Bangun aplikasi Java menggunakan [Penyedia JCE](java-library.md) + Gunakan [Mesin Dinamis OpenSSL langsung dari baris perintah](openssl-library.md) + Gunakan Mesin Dinamis OpenSSL untuk pengosongan TLS dengan[server web NGINX dan Apache](ssl-offload.md) + Gunakan Penyedia Penyimpanan Kunci (KSP) untuk AWS CloudHSM dengan [Microsoft Windows Server Certificate Authority (CA)](win-ca-overview-sdk5.md) + Gunakan Penyedia Penyimpanan Kunci (KSP) untuk AWS CloudHSM [Microsoft Sign](signtool-sdk5.md) Tool + Gunakan Penyedia Penyimpanan Kunci (KSP) untuk TLS offload dengan server [web Internet Information Server (IIS)](ssl-offload.md)