Crea una chiave, una CSR, quindi firma la CSR Abilita SSL personalizzato per AWS CloudHSM

Riconfigurazione SSL con un nuovo certificato e una chiave privata (opzionale)

AWS CloudHSM utilizza un certificato SSL per stabilire una connessione a un HSM. Quando installi il client, sono inclusi una chiave predefinita e un certificato SSL. Tuttavia, puoi creare e utilizzare un certificato personale. Dovrai utilizzare il certificato autofirmato (customerCA.crt) creato al momento dell'inizializzazione del cluster.

Ad alto livello, si tratta di un processo in due fasi:

In primo luogo, devi creare una chiave privata, quindi utilizzare tale chiave per creare una richiesta di firma del certificato (CSR). Utilizza il certificato di emissione, il certificato che hai creato quando hai inizializzato il cluster, per firmare la CSR.
Successivamente, utilizza lo strumento di configurazione per copiare la chiave e il certificato nelle directory appropriate.

Crea una chiave, una CSR, quindi firma la CSR

I passaggi sono gli stessi per Client SDK 3 o Client SDK 5.

Per riconfigurare SSL con un nuovo certificato e una chiave privata

Crea una chiave privata con il seguente comando OpenSSL:


openssl genrsa -out ssl-client.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)

Utilizza il seguente comando OpenSSL per creare una richiesta di firma del certificato (CSR). Ti verranno posta una serie di domande per il certificato.


openssl req -new -sha256 -key ssl-client.key -out ssl-client.csr
Enter pass phrase for ssl-client.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Accedi al CSR con il certificato customerCA.crt creato al momento dell'inizializzazione del cluster.


openssl x509 -req -days 3652 -in ssl-client.csr \
        -CA customerCA.crt \
        -CAkey customerCA.key \
        -CAcreateserial \
        -out ssl-client.crt
Signature ok
subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales
Getting CA Private Key

Abilita SSL personalizzato per AWS CloudHSM

I passaggi sono diversi per Client SDK 3 o Client SDK 5. Per ulteriori informazioni sull'utilizzo dello strumento della riga di comando configurazione, vedi Strumento di Configurazione.

SSL personalizzato per Client SDK 3

Utilizza lo strumento di configurazione per Client SDK 3 per abilitare SSL personalizzato. Per ulteriori informazioni sullo strumento di configurazione per Client SDK 3, vedi Strumento di configurazione Client SDK 3.

Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 3 su Linux

Copia la chiave e il certificato nella directory appropriata.


sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

Utilizza lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.


sudo /opt/cloudhsm/bin/configure --ssl \
	--pkey /opt/cloudhsm/etc/ssl-client.key \
	--cert /opt/cloudhsm/etc/ssl-client.crt

Aggiungi il certificato customerCA.crt all'archivio di fiducia. Crea un hash del nome dell'oggetto del certificato. In questo modo viene creato un indice per consentire la ricerca del certificato con tale nome.
```
openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1
1234abcd
```
Crea una directory.
```
mkdir /opt/cloudhsm/etc/certs
```
Crea un file che contiene il certificato con il nome hash.
```
sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0
```

SSL personalizzato per Client SDK 5

Utilizza uno qualsiasi degli strumenti di configurazione di Client SDK 5 per abilitare SSL personalizzato. Per ulteriori informazioni sullo strumento di configurazione per Client SDK 5, vedi Strumento di configurazione Client SDK 5.

PKCS #11 library

Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Linux

Copia la chiave e il certificato nella directory appropriata.


$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

Utilizza lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.


$ sudo /opt/cloudhsm/bin/configure-pkcs11 \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Windows

Copia la chiave e il certificato nella directory appropriata.


cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Con un interprete PowerShell, usa lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.


& "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

OpenSSL Dynamic Engine

Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Linux

Copia la chiave e il certificato nella directory appropriata.


$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

Utilizzate lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.


$ sudo /opt/cloudhsm/bin/configure-dyn \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

JCE provider

Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Linux

Copia la chiave e il certificato nella directory appropriata.


$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

Utilizzate lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.


$ sudo /opt/cloudhsm/bin/configure-jce \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Windows

Copia la chiave e il certificato nella directory appropriata.


cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Con un interprete PowerShell, usa lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.


& "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

CloudHSM CLI

Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Linux

Copia la chiave e il certificato nella directory appropriata.


$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

Utilizzate lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.


$ sudo /opt/cloudhsm/bin/configure-cli \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key

Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca client-server TLS con Client SDK 5 su Windows

Copia la chiave e il certificato nella directory appropriata.


cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Con un interprete PowerShell, usa lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.


& "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Attivazione del cluster

Per creare l'applicazione