Connessione di client SDK al cluster AWS CloudHSM - AWS CloudHSM
Colloca il certificato di emissione su ogni istanza EC2Specifica la posizione del certificato di emissioneEsegui il bootstrap di Client SDK

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione di client SDK al cluster AWS CloudHSM

Per connetterti al cluster con Client SDK 5 o Client SDK 3, devi prima svolgere due operazioni:

  • Predisporre un certificato di emissione sull'istanza EC2

  • Eseguire in bootstrap il Client SDK nel cluster

Colloca il certificato di emissione su ogni istanza EC2

Il certificato di emissione viene creato quando si inizializza il cluster. Copia il certificato di emissione nella posizione predefinita per la piattaforma su ogni istanza EC2 che si connette al cluster.

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Specifica la posizione del certificato di emissione

Con Client SDK 5, usi lo strumento di configurazione per specificare la posizione del certificato emittente.

PKCS #11 library
Per posizionare il certificato di emissione su Linux per il Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Per posizionare il certificato di emissione su Windows per il Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Per posizionare il certificato di emissione su Linux per il Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Per posizionare il certificato di emissione su Linux per il Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Per posizionare il certificato di emissione su Windows per il Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Per posizionare il certificato di emissione su Linux per il Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Per posizionare il certificato di emissione su Windows per il Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Per ulteriori informazioni, consulta Strumento Configure.

Per ulteriori informazioni sull'inizializzazione del cluster o sulla creazione e la firma del certificato, consulta Inizializzazione del cluster.

Esegui il bootstrap di Client SDK

Il processo di bootstrap è diverso a seconda della versione del Client SDK che stai usando, ma devi disporre dell'indirizzo IP di uno dei moduli di sicurezza hardware (HSM) del cluster. Puoi utilizzare l'indirizzo IP di qualsiasi HSM collegato al cluster. Dopo la connessione, il Client SDK recupera gli indirizzi IP di eventuali HSM aggiuntivi ed esegue operazioni di bilanciamento del carico e sincronizzazione delle chiavi lato client.

Per ottenere un indirizzo IP per un HSM (console)

  1. Apri la console dell'AWS CloudHSM all'indirizzo https://console.aws.amazon.com/cloudhsm/home.

  2. Per modificare la regione AWS, utilizza l'apposito selettore nell’angolo in alto a destra della pagina.

  3. Per aprire la pagina dei dettagli del cluster, nella tabella dei cluster, scegli l'ID del cluster.

  4. Per ottenere l'indirizzo IP, nella scheda HSM, scegli uno degli indirizzi IP elencati in Indirizzo IP ENI.

Per ottenere un indirizzo IP per un HSM () AWS CLI

  • Ottieni l'indirizzo IP di un HSM utilizzando il comando describe-clusters da AWS CLI. Nell'output del comando, l'indirizzo IP degli HSM sono i valori di EniIp. 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

Per ulteriori informazioni sulle operazioni di bootstrap, consulta la pagina Strumento Configure.

PKCS #11 library
Per effettuare il bootstrap di un'istanza EC2 Linux per il Client SDK 5

  • Utilizzate lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Per effettuare il bootstrap di un'istanza EC2 Windows per il Client SDK 5

  • Utilizzate lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel cluster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Per effettuare il bootstrap di un'istanza EC2 Linux per il Client SDK 5

  • Utilizzate lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
Per effettuare il bootstrap di un'istanza EC2 Linux per il Client SDK 5

  • Utilizzate lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Per effettuare il bootstrap di un'istanza EC2 Windows per il Client SDK 5

  • Utilizzate lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel cluster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Per effettuare il bootstrap di un'istanza EC2 Linux per il Client SDK 5

  • Usa lo strumento di configurazione per specificare l'indirizzo IP degli HSM sul cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
Per effettuare il bootstrap di un'istanza EC2 Windows per il Client SDK 5

  • Usa lo strumento di configurazione per specificare l'indirizzo IP degli HSM sul cluster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
Nota

è possibile utilizzare il parametro –-cluster-id al posto di -a <HSM_IP_ADDRESSES>. Per visualizzare i requisiti per l'utilizzo di –-cluster-id, consulta Strumento di configurazione Client SDK 5.

Per effettuare il bootstrap di un'istanza EC2 Linux per il Client SDK 3

  • Utilizzato configure per specificare l'indirizzo IP di un HSM nel cluster. 

    sudo /opt/cloudhsm/bin/configure -a <IP address>
Per effettuare il bootstrap di un'istanza EC2 Windows per il Client SDK 3

  • Utilizzare configure per specificare l'indirizzo IP di un HSM nel cluster. 

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

Per ulteriori informazioni relative alla configurazione, consulta Strumento di Configurazione.