Riconfigurazione SSL con un nuovo certificato e una chiave privata per AWS CloudHSM (opzionale) - AWS CloudHSM
Fase 1: Crea una chiave, aCSR, e poi firma il CSRFase 2: Abilita la modalità personalizzata per SSL AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Riconfigurazione SSL con un nuovo certificato e una chiave privata per AWS CloudHSM (opzionale)

AWS CloudHSM utilizza un SSL certificato per stabilire una connessione a un modulo di sicurezza hardware (HSM). Una chiave e un SSL certificato predefiniti sono inclusi quando si installa il client. Tuttavia, puoi creare e utilizzare un certificato personale. Dovrai utilizzare il certificato autofirmato (customerCA.crt) creato al momento dell'inizializzazione del cluster.

Ad alto livello, si tratta di un processo in due fasi:

  1. Crea una chiave privata, quindi usa quella chiave per creare una richiesta di firma del certificato (CSR). Usa il certificato di emissione, il certificato che hai creato quando hai inizializzato il cluster, per firmare il. CSR

  2. Utilizza lo strumento di configurazione per copiare la chiave e il certificato nelle directory appropriate.

Fase 1: Crea una chiave, aCSR, e poi firma il CSR

I passaggi sono gli stessi per il Client SDK 3 o il Client SDK 5.

Per riconfigurare SSL con un nuovo certificato e una chiave privata

  1. Crea una chiave privata utilizzando il seguente SSL comando Open:

    openssl genrsa -out ssl-client.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)

  2. Utilizzate il seguente SSL comando Open per creare una richiesta di firma del certificato (CSR). Ti verranno posta una serie di domande per il certificato. 

    openssl req -new -sha256 -key ssl-client.key -out ssl-client.csr
Enter pass phrase for ssl-client.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

  3. Firmalo CSR con il customerCA.crtcertificato che hai creato quando hai inizializzato il cluster. 

    openssl x509 -req -days 3652 -in ssl-client.csr \
        -CA customerCA.crt \
        -CAkey customerCA.key \
        -CAcreateserial \
        -out ssl-client.crt
Signature ok
subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales
Getting CA Private Key

Fase 2: Abilita la modalità personalizzata per SSL AWS CloudHSM

I passaggi sono diversi per il Client SDK 3 o il Client SDK 5. Per ulteriori informazioni sull'utilizzo dello strumento della riga di comando configurazione, vedi AWS CloudHSM strumento di configurazione.

Personalizzato SSL per Client SDK 3

Utilizza lo strumento di configurazione per Client SDK 3 per abilitare la personalizzazioneSSL. Per ulteriori informazioni sullo strumento di configurazione per il Client SDK 3, vedereAWS CloudHSM Strumento di configurazione Client SDK 3.

Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS client-server con Client SDK 3 su Linux

  1. Copia la chiave e il certificato nella directory appropriata. 

    sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Utilizza lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.

    sudo /opt/cloudhsm/bin/configure --ssl \
	--pkey /opt/cloudhsm/etc/ssl-client.key \
	--cert /opt/cloudhsm/etc/ssl-client.crt

  3. Aggiungi il certificato customerCA.crt all'archivio di fiducia. Crea un hash del nome dell'oggetto del certificato. In questo modo viene creato un indice per consentire la ricerca del certificato con tale nome. 

    openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1
1234abcd

    Crea una directory.

    mkdir /opt/cloudhsm/etc/certs

    Crea un file che contiene il certificato con il nome hash. 

    sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0

Personalizzato SSL per Client 5 SDK

Utilizza uno degli strumenti di configurazione del Client SDK 5 per abilitare la personalizzazioneSSL. Per ulteriori informazioni sullo strumento di configurazione per il Client SDK 5, vedereAWS CloudHSM Strumento di configurazione del Client SDK 5.

PKCS #11 library
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS client-server con Client SDK 5 su Linux

  1. Copia la chiave e il certificato nella directory appropriata.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
$ sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Utilizza lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS client-server con Client 5 su Windows SDK

  1. Copia la chiave e il certificato nella directory appropriata.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. Con un PowerShell interprete, usa lo strumento di configurazione per specificare e. ssl-client.crt ssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS client-server con Client SDK 5 su Linux

  1. Copia la chiave e il certificato nella directory appropriata.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Utilizza lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-dyn \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
JCE provider
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS client-server con Client 5 su Linux SDK

  1. Copia la chiave e il certificato nella directory appropriata.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Utilizza lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-jce \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS client-server con Client 5 su Windows SDK

  1. Copia la chiave e il certificato nella directory appropriata.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. Con un PowerShell interprete, usa lo strumento di configurazione per specificare e. ssl-client.crt ssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS client-server con Client SDK 5 su Linux

  1. Copia la chiave e il certificato nella directory appropriata.

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. Utilizza lo strumento di configurazione per specificare ssl-client.crt e ssl-client.key.

    $ sudo /opt/cloudhsm/bin/configure-cli \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS client-server con Client 5 su Windows SDK

  1. Copia la chiave e il certificato nella directory appropriata.

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. Con un PowerShell interprete, usa lo strumento di configurazione per specificare e. ssl-client.crt ssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key