Langkah 1. Dapatkan sertifikat dari HSM Langkah 2. Dapatkan sertifikat root Langkah 3. Verifikasi rantai sertifikat Langkah 4. Ekstrak dan bandingkan kunci publik

Verifikasi identitas dan keaslian klaster Anda HSM di AWS CloudHSM (opsional)

Untuk menginisialisasi klaster Anda AWS CloudHSM, Anda menandatangani permintaan penandatanganan sertifikat (CSR) yang dihasilkan oleh modul keamanan perangkat keras pertama klaster (HSM). Sebelum Anda melakukan ini, Anda mungkin ingin memverifikasi identitas dan keaslian. HSM

catatan

Proses ini opsional. Namun, ini bekerja hanya sampai sebuah klaster diinisialisasi. Setelah cluster diinisialisasi, Anda tidak dapat menggunakan proses ini untuk mendapatkan sertifikat atau memverifikasi. HSMs

Untuk memverifikasi identitas klaster Anda terlebih dahuluHSM, selesaikan langkah-langkah berikut:

Dapatkan sertifikat dan CSR — Pada langkah ini, Anda mendapatkan tiga sertifikat dan satu CSR dariHSM. Anda juga mendapatkan dua sertifikat root, satu dari AWS CloudHSM dan satu dari produsen HSM perangkat keras.
Verifikasi rantai sertifikat — Pada langkah ini, Anda membuat dua rantai sertifikat, satu ke sertifikat AWS CloudHSM root dan satu ke sertifikat root pabrikan. Kemudian Anda memverifikasi HSM sertifikat dengan rantai sertifikat ini untuk menentukan bahwa AWS CloudHSM dan produsen perangkat keras keduanya membuktikan identitas dan keaslian. HSM
Bandingkan kunci publik — Pada langkah ini, Anda mengekstrak dan membandingkan kunci publik dalam HSM sertifikat dan klasterCSR, untuk memastikan bahwa mereka sama. Ini akan memberi Anda keyakinan bahwa CSR itu dihasilkan oleh otentik, tepercayaHSM.

Diagram berikut menunjukkanCSR, sertifikat, dan hubungannya satu sama lain. Daftar berikutnya mendefinisikan setiap sertifikat.

AWS Sertifikat Root: Ini AWS CloudHSM adalah sertifikat root.
Sertifikat Root Produsen: Ini adalah sertifikat root pabrik perangkat keras.
AWS Sertifikat Perangkat Keras: AWS CloudHSM membuat sertifikat ini ketika HSM perangkat keras ditambahkan ke armada. Sertifikat ini menegaskan bahwa AWS CloudHSM memiliki perangkat keras.
Sertifikat Perangkat Keras Produsen: Pabrikan HSM perangkat keras membuat sertifikat ini ketika memproduksi perangkat HSM keras. Sertifikat ini menegaskan bahwa produsen membuat perangkat keras.
HSMSertifikat: HSMSertifikat dihasilkan oleh perangkat keras FIPS yang divalidasi saat Anda membuat yang pertama HSM di cluster. Sertifikat ini menegaskan bahwa HSM perangkat keras menciptakan file. HSM
Cluster CSR: Yang pertama HSM menciptakan clusterCSR. Saat Anda menandatangani cluster CSR, Anda mengklaim cluster. Kemudian, Anda dapat menggunakan tanda tangan CSR untuk menginisialisasi cluster.

Langkah 1. Dapatkan sertifikat dari HSM

Untuk memverifikasi identitas dan keaslian AndaHSM, mulailah dengan mendapatkan satu CSR dan lima sertifikat. Anda mendapatkan tiga sertifikat dariHSM, yang dapat Anda lakukan dengan AWS CloudHSM konsol, AWS Command Line Interface (AWS CLI), atau AWS CloudHSM API.

Console

Untuk mendapatkan CSR dan HSM sertifikat (konsol)

Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/rumah.
Pilih tombol radio di sebelah ID cluster dengan yang ingin HSM Anda verifikasi.
Pilih Tindakan. Dari menu tarik-turun, pilih Inisialisasi.
Jika Anda tidak menyelesaikan langkah sebelumnya untuk membuatHSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih Buat.
Ketika sertifikat dan CSR siap, Anda melihat tautan untuk mengunduhnya.
Pilih setiap tautan untuk mengunduh dan menyimpan CSR dan sertifikat. Untuk menyederhanakan langkah-langkah berikutnya, simpan semua file ke direktori yang sama dan menggunakan nama file default.

AWS CLI

Untuk mendapatkan CSR dan HSM sertifikat (AWS CLI)

Pada prompt perintah, jalankan describe-clusters perintah empat kali, ekstrak CSR dan sertifikat yang berbeda setiap kali dan simpan ke file.

Keluarkan perintah berikut untuk mengekstrak clusterCSR. Ganti <cluster ID> dengan ID cluster yang Anda buat sebelumnya.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr

Keluarkan perintah berikut untuk mengekstrak HSM sertifikat. Ganti <cluster ID> dengan ID cluster yang Anda buat sebelumnya.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.HsmCertificate' \
                                   > <cluster ID>_HsmCertificate.crt

Keluarkan perintah berikut untuk mengekstrak sertifikat AWS perangkat keras. Ganti <cluster ID> dengan ID cluster yang Anda buat sebelumnya.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.AwsHardwareCertificate' \
                                   > <cluster ID>_AwsHardwareCertificate.crt

Keluarkan perintah berikut untuk mengekstrak sertifikat perangkat keras produsen. Ganti <cluster ID> dengan ID cluster yang Anda buat sebelumnya.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \
                                   > <cluster ID>_ManufacturerHardwareCertificate.crt

AWS CloudHSM API

Untuk mendapatkan CSR dan HSM sertifikat (AWS CloudHSM API)

Kirim DescribeClusterspermintaan, lalu ekstrak dan simpan CSR dan sertifikat dari respons.

Langkah 2. Dapatkan sertifikat root

Ikuti langkah-langkah ini untuk mendapatkan sertifikat root untuk AWS CloudHSM dan pabrikan. Simpan file sertifikat root ke direktori yang berisi file CSR dan HSM sertifikat.

Untuk mendapatkan sertifikat root AWS CloudHSM dan produsen

Unduh sertifikat AWS CloudHSM root: AWS_Cloud HSM _Root-G1.zip
Unduh sertifikat root pabrikan yang tepat untuk HSM jenis Anda:
- hsm1.medium sertifikat root produsen: liquid_security_certificate.zip
- hsm2m.sertifikat root produsen medium: liquid_security_certificate.zip
catatan
Untuk mengunduh setiap sertifikat dari halaman arahnya, gunakan tautan berikut:
- Halaman arahan untuk sertifikat root pabrikan hsm1.medium
- Halaman arahan untuk sertifikat root pabrikan hsm2m.medium
Anda mungkin harus mengeklik kanan Unduh Sertifikat dan kemudian pilih Simpan Tautan Sebagai... untuk menyimpan file sertifikat.
Setelah Anda mengunduh file, ekstrak (unzip) konten.

Langkah 3. Verifikasi rantai sertifikat

Pada langkah ini, Anda membangun dua rantai sertifikat, satu ke sertifikat AWS CloudHSM root dan satu ke sertifikat root pabrikan. Kemudian gunakan Open SSL untuk memverifikasi HSM sertifikat dengan setiap rantai sertifikat.

Untuk membuat rantai sertifikat, buka shell Linux. Anda memerlukan OpenSSL, yang tersedia di sebagian besar shell Linux, dan Anda memerlukan sertifikat root dan file HSM sertifikat yang Anda unduh. Namun, Anda tidak perlu AWS CLI untuk langkah ini, dan shell tidak perlu dikaitkan dengan AWS akun Anda.

Untuk memverifikasi HSM sertifikat dengan sertifikat AWS CloudHSM root

Arahkan ke direktori tempat Anda menyimpan sertifikat root dan file HSM sertifikat yang Anda unduh. Perintah berikut menganggap bahwa semua sertifikat dalam direktori saat ini dan menggunakan nama file default.

Gunakan perintah berikut untuk membuat rantai sertifikat yang mencakup sertifikat AWS perangkat keras dan sertifikat AWS CloudHSM root, dalam urutan itu. Ganti <cluster ID> dengan ID cluster yang Anda buat sebelumnya.
```
$ cat <cluster ID>_AwsHardwareCertificate.crt \
      AWS_CloudHSM_Root-G1.crt \
      > <cluster ID>_AWS_chain.crt
```
Gunakan SSL perintah Buka berikut untuk memverifikasi HSM sertifikat dengan rantai AWS sertifikat. Ganti <cluster ID> dengan ID cluster yang Anda buat sebelumnya.
```
$ openssl verify -CAfile <cluster ID>_AWS_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK
```

Untuk memverifikasi HSM sertifikat dengan sertifikat root pabrikan

Gunakan perintah berikut untuk membuat rantai sertifikat yang mencakup sertifikat perangkat keras produsen dan sertifikat root produsen, dalam urutan itu. Ganti <cluster ID> dengan ID cluster yang Anda buat sebelumnya.
```
$ cat <cluster ID>_ManufacturerHardwareCertificate.crt \
      liquid_security_certificate.crt \
      > <cluster ID>_manufacturer_chain.crt
```
Gunakan SSL perintah Buka berikut untuk memverifikasi HSM sertifikat dengan rantai sertifikat produsen. Ganti <cluster ID> dengan ID cluster yang Anda buat sebelumnya.
```
$ openssl verify -CAfile <cluster ID>_manufacturer_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK
```

Langkah 4. Ekstrak dan bandingkan kunci publik

Gunakan Open SSL untuk mengekstrak dan membandingkan kunci publik dalam HSM sertifikat dan clusterCSR, untuk memastikan bahwa mereka sama.

Untuk membandingkan kunci publik, gunakan shell Linux Anda. Anda membutuhkan OpenSSL, yang tersedia di sebagian besar shell Linux, tetapi Anda tidak perlu AWS CLI untuk langkah ini. Shell tidak perlu dikaitkan dengan AWS akun Anda.

Untuk mengekstraksi dan membandingkan kunci publik

Gunakan perintah berikut untuk mengekstrak kunci publik dari HSM sertifikat.


$ openssl x509 -in <cluster ID>_HsmCertificate.crt -pubkey -noout > <cluster ID>_HsmCertificate.pub

Gunakan perintah berikut untuk mengekstrak kunci publik dari clusterCSR.


$ openssl req -in <cluster ID>_ClusterCsr.csr -pubkey -noout > <cluster ID>_ClusterCsr.pub

Gunakan perintah berikut untuk membandingkan kunci publik. Jika kunci publik identik, perintah berikut tidak menghasilkan output.
```
$ diff <cluster ID>_HsmCertificate.pub <cluster ID>_ClusterCsr.pub
```

Setelah Anda memverifikasi identitas dan keaslianHSM, lanjutkan keInisialisasi cluster.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Buat sebuah HSM

Inisialisasi cluster