Strumento di configurazione Client SDK 5 - AWS CloudHSM
SintassiConfigurazioni avanzateEsempiParametriArgomenti correlati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Strumento di configurazione Client SDK 5

Utilizza lo strumento di configurazione del Client SDK 5 per aggiornare i file di configurazione lato client.

Ogni componente di Client SDK 5 include uno strumento di configurazione con un designatore del componente nel nome del file dello strumento di configurazione. Ad esempio, la libreria PKCS #11 per Client SDK 5 include uno strumento di configurazione denominato configure-pkcs11 su Linux o Windows. configure-pkcs11.exe

Sintassi

PKCS #11
configure-pkcs11[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-pkcs11.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-pkcs11.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
             [--enable-validate-key-at-init]
                  This is the default for PKCS #11
OpenSSL
configure-dyn[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <error>
             [--log-type <file | term>]
                  Default is <term>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for OpenSSL
             [--enable-validate-key-at-init]
JCE
configure-jce[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-jce.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-jce.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for JCE
             [--enable-validate-key-at-init]
CloudHSM CLI
configure-cli[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default for Linux is </opt/cloudhsm/run/cloudhsm-cli.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-cli.log>
             [--log-type <file | term>]
                  Default setting is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for CloudHSM CLI
             [--enable-validate-key-at-init]

Configurazioni avanzate

Per un elenco di configurazioni avanzate specifiche dello strumento di configurazione Client SDK 5, vedi Configurazioni avanzate per lo strumento di configurazione Client SDK 5.

Importante

Dopo avere apportato le modifiche alla configurazione, è necessario riavviare l'applicazione affinché le modifiche abbiano effetto.

Esempi

Questi esempi mostrano come utilizzare lo strumento di configurazione di Client SDK 5.

In questo esempio viene utilizzato il parametro -a per aggiornare i dati HSM per il client SDK 5. Per utilizzare il parametro -a, è necessario disporre dell'indirizzo IP di uno dei moduli HSM del cluster.

PKCS #11 library
Per effettuare il bootstrap di un'istanza EC2 Linux per Client SDK 5

  • Utilizzate lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Per effettuare il bootstrap di un'istanza EC2 Windows per il Client SDK 5

  • Utilizzate lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel cluster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Per effettuare il bootstrap di un'istanza EC2 Linux per il Client SDK 5

  • Utilizzate lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
Per effettuare il bootstrap di un'istanza EC2 Linux per il Client SDK 5

  • Utilizzate lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Per effettuare il bootstrap di un'istanza EC2 Windows per il Client SDK 5

  • Utilizzate lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel cluster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Per effettuare il bootstrap di un'istanza EC2 Linux per il Client SDK 5

  • Usa lo strumento di configurazione per specificare l'indirizzo IP degli HSM sul cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
Per effettuare il bootstrap di un'istanza EC2 Windows per il Client SDK 5

  • Usa lo strumento di configurazione per specificare l'indirizzo IP degli HSM sul cluster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
Nota

è possibile utilizzare il parametro –-cluster-id al posto di -a <HSM_IP_ADDRESSES>. Per visualizzare i requisiti per l'utilizzo di –-cluster-id, vedi Strumento di configurazione Client SDK 5.

Per ulteriori informazioni sul parametro -a, vedi Parametri.

Questo esempio utilizza il parametro cluster-id per avviare Client SDK 5 effettuando una chiamata DescribeClusters.

PKCS #11 library
Per effettuare il bootstrap di un'istanza EC2 Linux per Client SDK 5 con cluster-id

  • Utilizzate l'ID del cluster cluster-1234567 per specificare l'indirizzo IP di un HSM nel cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567
Per effettuare il bootstrap di un'istanza EC2 Windows per Client SDK 5 con cluster-id

  • Utilizza l'ID del cluster cluster-1234567 per specificare l'indirizzo IP di un HSM nel cluster. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --cluster-id cluster-1234567
OpenSSL Dynamic Engine
Per effettuare il bootstrap di un'istanza EC2 Linux per Client SDK 5 con cluster-id

  • Utilizza l'ID del cluster cluster-1234567 per specificare l'indirizzo IP di un HSM nel cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567
JCE provider
Per effettuare il bootstrap di un'istanza EC2 Linux per Client SDK 5 con cluster-id

  • Utilizza l'ID del cluster cluster-1234567 per specificare l'indirizzo IP di un HSM nel cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567
Per effettuare il bootstrap di un'istanza EC2 Windows per Client SDK 5 con cluster-id

  • Utilizza l'ID del cluster cluster-1234567 per specificare l'indirizzo IP di un HSM nel cluster. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567
CloudHSM CLI
Per effettuare il bootstrap di un'istanza EC2 Linux per Client SDK 5 con cluster-id

  • Utilizza l'ID del cluster cluster-1234567 per specificare l'indirizzo IP di un HSM nel cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567
Per effettuare il bootstrap di un'istanza EC2 Windows per Client SDK 5 con cluster-id

  • Utilizza l'ID del cluster cluster-1234567 per specificare l'indirizzo IP di un HSM nel cluster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id cluster-1234567

È possibile utilizzare i parametri --region e --endpoint in combinazione con il parametro cluster-id per specificare in che modo il sistema effettua la chiamata DescribeClusters. Ad esempio, se la regione del cluster è diversa da quella configurata come impostazione predefinita della CLI di AWS, è necessario utilizzare il parametro --region per utilizzare tale regione. Inoltre, hai la possibilità di specificare l'endpoint API AWS CloudHSM da utilizzare per la chiamata, cosa che potrebbe essere necessaria per varie configurazioni di rete, ad esempio l'utilizzo dell' interfaccia dell'endpoint VPC che non utilizzano il nome host DNS predefinito per AWS CloudHSM.

PKCS #11 library
Per effettuare il bootstrap di un'istanza EC2 Linux con un endpoint e una regione personalizzati

  • Utilizza lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel cluster con una regione e un endpoint personalizzati. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Per effettuare il bootstrap di un'istanza EC2 Windows con un endpoint e una regione personalizzati

  • Utilizza lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel tuo cluster con una regione e un endpoint personalizzati.

    
C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
OpenSSL Dynamic Engine
Per effettuare il bootstrap di un'istanza EC2 Linux con un endpoint e una regione personalizzati

  • Utilizza lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel tuo cluster con una regione e un endpoint personalizzati. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
JCE provider
Per effettuare il bootstrap di un'istanza EC2 Linux con un endpoint e una regione personalizzati

  • Utilizza lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel tuo cluster con una regione e un endpoint personalizzati. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Per effettuare il bootstrap di un'istanza EC2 Windows con un endpoint e una regione personalizzati

  • Utilizza lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel tuo cluster con una regione e un endpoint personalizzati.

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
CloudHSM CLI
Per effettuare il bootstrap di un'istanza EC2 Linux con un endpoint e una regione personalizzati

  • Utilizza lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel tuo cluster con una regione e un endpoint personalizzati. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Per effettuare il bootstrap di un'istanza EC2 Windows con un endpoint e una regione personalizzati

  • Utilizza lo strumento di configurazione per specificare l'indirizzo IP di un HSM nel tuo cluster con una regione e un endpoint personalizzati.

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

Per ulteriori informazioni sui parametri --cluster-id, --region e --endpoint, vedi Parametri.

Questo esempio mostra come utilizzare i parametri server-client-cert-file e --server-client-key-file per riconfigurare SSL specificando una chiave personalizzata e un certificato SSL per AWS CloudHSM

PKCS #11 library
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Linux

  1. Copia la chiave e il certificato nella directory appropriata.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Utilizzate lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Windows

  1. Copia la chiave e il certificato nella directory appropriata.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. Con un PowerShell interprete, usa lo strumento di configurazione per specificare e. ssl-client.crt ssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Linux

  1. Copia la chiave e il certificato nella directory appropriata.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Utilizzate lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-dyn \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
JCE provider
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Linux

  1. Copia la chiave e il certificato nella directory appropriata.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Utilizzate lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-jce \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Windows

  1. Copia la chiave e il certificato nella directory appropriata.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. Con un PowerShell interprete, usa lo strumento di configurazione per specificare ssl-client.crt e. ssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Linux

  1. Copia la chiave e il certificato nella directory appropriata.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Utilizzate lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-cli \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Windows

  1. Copia la chiave e il certificato nella directory appropriata.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. Con un PowerShell interprete, usa lo strumento di configurazione per specificare ssl-client.crt e. ssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Per ulteriori informazioni sui parametri server-client-cert-file e --server-client-key-file, vedi Parametri.

Questo esempio utilizza il parametro --disable-key-availability-check per disabilitare le impostazioni di durabilità delle chiavi del client. Per eseguire un cluster con un singolo HSM, è necessario disabilitare le impostazioni di durabilità delle chiavi del client.

PKCS #11 library
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Linux

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Windows

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Linux

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
JCE provider
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Linux

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Windows

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Linux

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
Per disabilitare la durabilità delle chiavi del client per Client SDK 5 su Windows

  • Utilizza lo strumento di configurazione per disabilitare le impostazioni di durabilità delle chiavi del client. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

Per ulteriori informazioni sul parametro --disable-key-availability-check, vedi Parametri.

Client SDK 5 utilizza i parametri log-file, log-levellog-rotation, e log-type per gestire i log.

Nota

Per configurare il tuo SDK per ambienti serverless come AWS Fargate o AWS Lambda, ti consigliamo di configurare il tipo di log AWS CloudHSM su term. I log del client verranno inviati stderr e archiviati nel gruppo di log CloudWatch Logs configurato per quell'ambiente.

PKCS #11 library
Posizione di log predefinita

  • Se non si specifica una posizione per il file, il sistema scrive i log nella seguente posizione predefinita:

    Linux

    /opt/cloudhsm/run/cloudhsm-pkcs11.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
Per configurare il livello di log e lasciare le altre opzioni di log impostate sui valori predefiniti
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
Per configurare le opzioni di log dei file
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file <file name with path> --log-rotation daily --log-level info
Per configurare le opzioni di log del terminale
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
OpenSSL Dynamic Engine
Posizione di log predefinita

  • Se non si specifica una posizione per il file, il sistema scrive i log nella seguente posizione predefinita:

    Linux

    stderr
Per configurare il livello di log e lasciare le altre opzioni di log impostate sui valori predefiniti
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-level info
Per configurare le opzioni di log dei file
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type <file name> --log-file file --log-rotation daily --log-level info
Per configurare le opzioni di log del terminale
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
JCE provider
Posizione di log predefinita

  • Se non si specifica una posizione per il file, il sistema scrive i log nella seguente posizione predefinita:

    Linux

    /opt/cloudhsm/run/cloudhsm-jce.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
Per configurare il livello di log e lasciare le altre opzioni di log impostate sui valori predefiniti
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-level info
Per configurare le opzioni di log dei file
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file <file name> --log-rotation daily --log-level info
Per configurare le opzioni di log del terminale
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
CloudHSM CLI
Posizione di log predefinita

  • Se non si specifica una posizione per il file, il sistema scrive i log nella seguente posizione predefinita:

    Linux

    /opt/cloudhsm/run/cloudhsm-cli.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
Per configurare il livello di log e lasciare le altre opzioni di log impostate sui valori predefiniti
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-level info
Per configurare le opzioni di log dei file
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file <file name> --log-rotation daily --log-level info
Per configurare le opzioni di log del terminale
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info

Per ulteriori informazioni sui parametri log-file, log-level, log-rotation elog-type, vedi Parametri.

Questo esempio utilizza il parametro --hsm-ca-cert per aggiornare la posizione del certificato di emissione per Client SDK 5.

PKCS #11 library
Per inserire il certificato di emissione su Linux per Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Per posizionare il certificato di emissione su Windows per il Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Per posizionare il certificato di emissione su Linux per il Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Per posizionare il certificato di emissione su Linux per il Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Per posizionare il certificato di emissione su Windows per il Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Per posizionare il certificato di emissione su Linux per il Client SDK 5

  • Usa lo strumento di configurazione per specificare la posizione del certificato di emissione. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Per posizionare il certificato di emissione su Windows per il Client SDK 5

  • Utilizza lo strumento di configurazione per specificare una posizione per il certificato di emissione. 

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Per ulteriori informazioni sul parametro --hsm-ca-cert, vedi Parametri.

Parametri

-a <indirizzo IP ENI>

Aggiunge l'indirizzo IP specificato ai file di configurazione di Client SDK 5. Immettere qualsiasi indirizzo IP ENI di un HSM dal cluster. Per ulteriori informazioni su come utilizzare questa opzione, vedi Bootstrap Client SDK 5.

Campo obbligatorio: sì

-- hsm-ca-cert <customerCA certificate file path>

Percorso alla directory in cui è archiviato il certificato dell'autorità di certificazione (CA) utilizzato per connettere le istanze del client EC2 al cluster. Si tratta del file che crei quando inizializzi il cluster. Per impostazione predefinita, il sistema cerca questo file nella seguente posizione:

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Per ulteriori informazioni sull'inizializzazione del cluster o sull'inserimento del certificato, vedi Colloca il certificato di emissione su ogni istanza EC2 e Inizializzazione del cluster.

Campo obbligatorio: no

--id-cluster<ID cluster

Effettua una chiamata DescribeClusters per trovare tutti gli indirizzi IP a interfaccia di rete elastica (ENI) HSM del cluster associati all'ID del cluster. Il sistema aggiunge gli indirizzi IP ENI ai file di configurazione AWS CloudHSM.

Nota

Se utilizzi il parametro --cluster-id da un'istanza EC2 all'interno di un VPC che non ha accesso alla rete Internet pubblica, devi creare un endpoint VPC di interfaccia da collegare a AWS CloudHSM. Per ulteriori informazioni su endpoint VPC, vedi AWS CloudHSM ed endpoint VPC.

Campo obbligatorio: no

--endpoint<endpoint>

Specifica l'endpoint API AWS CloudHSM utilizzato per effettuare la chiamata DescribeClusters. È necessario impostare questa opzione insieme a --cluster-id.

Campo obbligatorio: no

--region<region>

Specifica la regione del cluster. È necessario impostare questa opzione insieme a --cluster-id.

Se non indichi il parametro --region, il sistema sceglie la regione tentando di leggere le variabili di ambiente AWS_DEFAULT_REGION o AWS_REGION. Se queste variabili non sono impostate, il sistema controlla la regione associata al tuo profilo indicata nel tuo file di AWS Config (generalmente ~/.aws/config) a meno che non sia stato specificato un file diverso nella variabile di ambiente AWS_CONFIG_FILE. Se non è stata impostata nessuna delle variabili precedenti, il sistema utilizza la regione us-east-1 per impostazione predefinita.

Campo obbligatorio: no

-- server-client-cert-file <client certificate file path>

Percorso al certificato client utilizzato per l'autenticazione reciproca client-server TLS.

Utilizza questa opzione solo se non desideri utilizzare la chiave predefinita e il certificato SSL/TLS inclusi in Client SDK 5. È necessario impostare questa opzione insieme a --server-client-key-file.

Campo obbligatorio: no

-- server-client-key-file <client key file path>

Percorso alla chiave del client utilizzato per l'autenticazione reciproca client-server TLS

Utilizza questa opzione solo se non desideri utilizzare la chiave predefinita e il certificato SSL/TLS inclusi in Client SDK 5. È necessario impostare questa opzione insieme a --server-client-cert-file.

Campo obbligatorio: no

--livello-log-<errore | avviso | info | debug | tracciamento>

Specifica il livello di log minimo che il sistema deve scrivere nel file di log. Ogni livello include i livelli precedenti, con errore come livello minimo e traccia il livello massimo. Ciò significa che se si specificano errori, il sistema scrive solo gli errori nel log. Se si specifica tracciamento, il sistema scrive errori, avvisi, messaggi informativi (info) e di debug nel log. Per ulteriori informazioni, vedi Log Client SDK 5.

Campo obbligatorio: no

--rotazione-log<giornaliero | settimanale>

Specifica la frequenza con cui il sistema ruota i log. Per ulteriori informazioni, vedi Log Client SDK 5.

Campo obbligatorio: no

--file-log <nome file con percorso>

Specifica dove il sistema scriverà il file di log. Per ulteriori informazioni, vedi Log Client SDK 5.

Campo obbligatorio: no

--tipo-log<terminale | file>

Specifica se il sistema scriverà il log su un file o su un terminale. Per ulteriori informazioni, vedi Log Client SDK 5.

Campo obbligatorio: no

-h | --aiuto

Visualizza aiuto.

Campo obbligatorio: no

-v, --versione

Visualizza versione.

Campo obbligatorio: no

--disable-key-availability-check

Contrassegna per disabilitare il quorum per la disponibilità delle chiavi. Utilizza questo flag per indicare che AWS CloudHSM deve disabilitare il quorum per la disponibilità delle chiavi ed è possibile utilizzare le chiavi che esistono solo su un HSM del cluster. Per ulteriori informazioni sull'utilizzo di questo flag per impostare il quorum per la disponibilità delle chiavi, vedi Gestire le impostazioni di durabilità delle chiavi del client.

Campo obbligatorio: no

--enable-key-availability-check

Contrassegna per abilitare il quorum della disponibilità delle chiavi. Utilizza questo flag per indicare che AWS CloudHSM deve utilizzare il quorum per la disponibilità delle chiavi e non consentire di utilizzare le chiavi finché tali chiavi non sono presenti su due HSM del cluster. Per ulteriori informazioni sull'utilizzo di questo flag per impostare il quorum di disponibilità delle chiavi, vedi Gestire le impostazioni di durabilità delle chiavi del client.

Abilitata come impostazione predefinita.

Campo obbligatorio: no

-- disable-validate-key-at -inizializza

Migliora le prestazioni specificando che è possibile saltare una chiamata di inizializzazione per verificare le autorizzazioni su una chiave per le chiamate successive. Utilizza questa soluzione con cautela.

Background: alcuni meccanismi della libreria PKCS #11 supportano operazioni in più parti in cui una chiamata di inizializzazione verifica se è possibile utilizzare la chiave per chiamate successive. Ciò richiede una chiamata di verifica all'HSM, che aggiunge latenza all'operazione complessiva. Questa opzione consente di disabilitare la chiamata successiva e potenzialmente di migliorare le prestazioni.

Campo obbligatorio: no

-- -init enable-validate-key-at

Specifica che è necessario utilizzare una chiamata di inizializzazione per verificare le autorizzazioni su una chiave per le chiamate successive. Questa è l'opzione predefinita. Usa enable-validate-key-at-init per riprendere queste chiamate di inizializzazione dopo avere usato disable-validate-key-at-init per sospenderle.

Campo obbligatorio: no

Argomenti correlati