Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Guida introduttiva con AWS CloudHSM
I seguenti argomenti aiutano a creare, inizializzare e attivare un cluster in. AWS CloudHSM Dopo aver completato queste procedure, sarai pronto a gestire gli utenti e i cluster, nonché a eseguire operazioni di crittografia utilizzando le librerie software in dotazione. Per un'esperienza ottimale, segui gli argomenti nell'ordine elencato.
**Topics**
+ [Crea gruppi amministrativi IAM per AWS CloudHSM](create-iam-user.md)
+ [Crea un cloud privato virtuale (VPC) per AWS CloudHSM](create-vpc.md)
+ [Crea un cluster in AWS CloudHSM](create-cluster.md)
+ [Esamina il gruppo di sicurezza per il tuo cluster in AWS CloudHSM](configure-sg.md)
+ [Avvia un'istanza client Amazon EC2 con cui interagire AWS CloudHSM](launch-client-instance.md)
+ [Configurazione dei gruppi di sicurezza delle istanze Client Amazon EC2 per AWS CloudHSM](configure-sg-client-instance.md)
+ [Crea un HSM in AWS CloudHSM](create-hsm.md)
+ [Verifica l'identità e l'autenticità dell'HSM del cluster in AWS CloudHSM (opzionale)](verify-hsm-identity.md)
+ [Inizializza il cluster in AWS CloudHSM](initialize-cluster.md)
+ [Installa e configura la CLI di CloudHSM](gs_cloudhsm_cli-install.md)
+ [Attiva il cluster in AWS CloudHSM](activate-cluster.md)
+ [Configura TLS reciproco tra client e AWS CloudHSM (consigliato)](getting-started-setup-mtls.md)
+ [Crea e usa le chiavi in AWS CloudHSM](create-apps.md)
# Crea gruppi amministrativi IAM per AWS CloudHSM
Il primo passo per iniziare AWS CloudHSM è configurare le autorizzazioni IAM.
Come [best practice](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users), non utilizzare i tuoi Utente root dell'account AWS per interagire con AWS, tra cui AWS CloudHSM. Utilizza invece AWS Identity and Access Management (IAM) per creare un utente IAM, un ruolo IAM o un utente federato. Segui i passaggi indicati nella sezione [Creazione di un gruppo di amministratori e di un utente IAM;](#create-iam-admin) per creare un gruppo di amministratori e allegare la **AdministratorAccess**policy ad esso. Quindi, crea un nuovo utente amministratore e aggiungilo al gruppo. Aggiungi altri utenti al gruppo, se necessario. Ogni utente aggiunto eredita la **AdministratorAccess**politica dal gruppo.
Un'altra procedura consigliata consiste nel creare un gruppo di AWS CloudHSM amministratori con solo le autorizzazioni necessarie per l'esecuzione. AWS CloudHSM Aggiungi utenti singoli a questo gruppo, se necessario. Ogni utente eredita le autorizzazioni limitate collegate al gruppo anziché l'accesso completo ad AWS . La [Politiche gestite dal cliente per AWS CloudHSM](identity-access-management.md#permissions-for-cloudhsm) sezione che segue contiene la politica da allegare al gruppo di AWS CloudHSM amministratori.
AWS CloudHSM definisce un [ruolo collegato al servizio per il tuo account](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). AWS Il ruolo collegato al servizio attualmente definisce le autorizzazioni che consentono all'account di registrare gli eventi. AWS CloudHSM Il ruolo può essere creato automaticamente AWS CloudHSM o manualmente dall'utente. Non è possibile modificare il ruolo, ma è possibile eliminarlo. Per ulteriori informazioni, vedi [Ruoli collegati ai servizi per AWS CloudHSM](service-linked-roles.md).
## Creazione di un gruppo di amministratori e di un utente IAM;
Inizia creando un utente IAM; insieme a un gruppo amministratore per l'utente.
### Iscriviti per un Account AWS
Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.
**Per iscriverti a un Account AWS**
1. Apri la [https://portal.aws.amazon.com/billing/registrazione.](https://portal.aws.amazon.com/billing/signup)
1. Segui le istruzioni online.
Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.
Quando ti iscrivi a un Account AWS, *Utente root dell'account AWS*viene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire [attività che richiedono l’accesso di un utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
AWS ti invia un'email di conferma dopo il completamento della procedura di registrazione. In qualsiasi momento, puoi visualizzare l'attività corrente del tuo account e gestirlo accedendo a [https://aws.amazon.com/](https://aws.amazon.com/)e scegliendo **Il mio account**.
### Crea un utente con accesso amministrativo
Dopo esserti registrato Account AWS, proteggi Utente root dell'account AWS AWS IAM Identity Center, abilita e crea un utente amministrativo in modo da non utilizzare l'utente root per le attività quotidiane.
**Proteggi i tuoi Utente root dell'account AWS**
1. Accedi [Console di gestione AWS](https://console.aws.amazon.com/)come proprietario dell'account scegliendo **Utente root** e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.
Per informazioni sull’accesso utilizzando un utente root, consulta la pagina [Accedere come utente root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) nella *Guida per l’utente di Accedi ad AWS *.
1. Abilita l’autenticazione a più fattori (MFA) per l’utente root.
Per istruzioni, consulta [Abilitare un dispositivo MFA virtuale per l'utente Account AWS root (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) nella Guida per l'*utente IAM*.
**Crea un utente con accesso amministrativo**
1. Abilita il Centro identità IAM.
Per istruzioni, consulta [Abilitazione del AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Nel Centro identità IAM, assegna l’accesso amministrativo a un utente.
Per un tutorial sull'utilizzo di IAM Identity Center directory come fonte di identità, consulta [Configurare l'accesso utente con l'impostazione predefinita IAM Identity Center directory](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) nella *Guida per l'AWS IAM Identity Center utente*.
**Accesso come utente amministratore**
+ Per accedere come utente del Centro identità IAM, utilizza l’URL di accesso che è stato inviato al tuo indirizzo e-mail quando hai creato l’utente del Centro identità IAM.
Per informazioni sull'accesso utilizzando un utente IAM Identity Center, consulta [AWS Accedere al portale di accesso](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) nella *Guida per l'Accedi ad AWS utente*.
**Assegnazione dell’accesso ad altri utenti**
1. Nel Centro identità IAM, crea un set di autorizzazioni conforme alla best practice per l’applicazione di autorizzazioni con il privilegio minimo.
Segui le istruzioni riportate nella pagina [Creazione di un set di autorizzazioni](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) nella *Guida per l’utente di AWS IAM Identity Center *.
1. Assegna al gruppo prima gli utenti e poi l’accesso con autenticazione unica (Single Sign-On).
Per istruzioni, consulta [Aggiungere gruppi](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) nella *Guida per l’utente di AWS IAM Identity Center *.
Per esempi di policy AWS CloudHSM che puoi allegare al tuo gruppo di utenti IAM, vedi[Gestione delle identità e degli accessi per AWS CloudHSM](identity-access-management.md).
# Crea un cloud privato virtuale (VPC) per AWS CloudHSM
È necessario un cloud privato virtuale (VPC) per il cluster. AWS CloudHSM Se non ne hai già uno, segui i passaggi descritti in questo argomento per creare un VPC.
**Nota**
Seguendo questi passaggi creerai sottoreti pubbliche e private.
**Per creare un VPC**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Sulla barra di navigazione, utilizza il selettore di regione per scegliere una delle [AWS regioni in cui AWS CloudHSM è attualmente](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region) supportata.
1. Seleziona il pulsante **Crea VPC.**
1. Per **Risorse da creare**, scegli **VPC e altro**.
1. Per la **generazione automatica del tag nome**, digita un nome identificabile, ad esempio **CloudHSM**.
1. Per il blocco **IPv6 CIDR, seleziona il blocco IPv6 ** **CIDR fornito da Amazon per utilizzare la IPv6 connettività per il tuo HSMs e fai AWS allocare un blocco** IPv6 CIDR per il tuo cluster. Questa impostazione supporta il tipo di rete dual-stack. Mantieni l'impostazione predefinita se non hai bisogno di connettività. IPv6
1. Lascia tutte le altre opzioni impostate sui valori predefiniti.
1. Seleziona **Crea VPC**.
1. Dopo aver creato il VPC, seleziona **Visualizza VPC** per visualizzare il VPC appena creato.
# Crea un cluster in AWS CloudHSM
Un cluster è una raccolta di singoli moduli di sicurezza hardware (HSMs). AWS CloudHSM li sincronizza HSMs in ogni cluster in modo che funzionino come unità logica. AWS CloudHSM *offre due tipi di HSMs: *hsm1.medium e hsm2m.medium*.* Quando crei un cluster, scegli quale dei due farà parte del tuo cluster. Per i dettagli sulle differenze tra ogni tipo di HSM e la modalità cluster, consulta[AWS CloudHSM modalità cluster](cluster-hsm-types.md).
Quando crei un cluster, AWS CloudHSM crea un gruppo di sicurezza per il cluster per tuo conto. Questo gruppo di sicurezza controlla l'accesso alla rete all' HSMs interno del cluster. Consente connessioni in entrata solo da istanze Amazon Elastic Compute Cloud EC2 (Amazon) che fanno parte del gruppo di sicurezza. Per impostazione predefinita, il gruppo di sicurezza non contiene istanze. In seguito, è possibile [avviare un'istanza del client](launch-client-instance.md) e [configurare il gruppo di sicurezza del cluster](configure-sg.md) per consentire la comunicazione e le connessioni con HSM.
**Considerazioni**
+ Di seguito sono riportate alcune considerazioni relative alla creazione di un cluster in: AWS CloudHSM
+ Quando si AWS CloudHSM crea un cluster, viene creato un [ruolo collegato al servizio denominato HSM](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html). AWSService RoleForCloud Se AWS CloudHSM non riesci a creare il ruolo o il ruolo non esiste già, potresti non essere in grado di creare un cluster. Per ulteriori informazioni, consulta [Risoluzione degli errori di creazione dei AWS CloudHSM cluster](troubleshooting-create-cluster.md). Per ulteriori informazioni sui ruoli legati al servizio, vedi [Ruoli collegati ai servizi per AWS CloudHSM](service-linked-roles.md).
+ Se stai usando l'[endpoint AWS CloudHSM dual-stack](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) (ovvero cloudhsmv2). **.api.aws), assicurati che le tue policy IAM siano aggiornate per essere gestite. IPv6 Per ulteriori informazioni, consulta la sezione [Aggiornamento delle politiche IAM alla IPv6 sezione Sicurezza](https://docs.aws.amazon.com/cloudhsm/latest/userguide/ip-access.html).
Puoi creare un cluster dalla [console AWS CloudHSM](https://console.aws.amazon.com/cloudhsm/), da [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) o dall'API AWS CloudHSM .
Per i dettagli sugli argomenti del cluster e APIs, consulta [https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)la sezione AWS CLI Command Reference.
------
#### [ Console ]
**Per creare un cluster (console)**
1. Apri la AWS CloudHSM console a [https://console.aws.amazon.com/cloudhsm/casa](https://console.aws.amazon.com/cloudhsm/home).
1. Sulla barra di navigazione, utilizza lo strumento di selezione della regione per scegliere una delle [regioni AWS in cui AWS CloudHSM è attualmente supportato](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region).
1. Scegli **Crea cluster**.
1. Nella sezione **Configurazione del cluster**, procedi come segue:
1. In **VPC**, seleziona il VPC che hai creato in [Crea un cloud privato virtuale (VPC) per AWS CloudHSM](create-vpc.md).
1. In **Zone di disponibilità (AZ)**, a fianco di ciascuna zona di disponibilità, scegli la sottorete privata creata.
**Nota**
Anche se non AWS CloudHSM è supportata in una determinata zona di disponibilità, le prestazioni non dovrebbero risentirne, HSMs in quanto il carico AWS CloudHSM viene automaticamente bilanciato tra tutti i componenti di un cluster. Vedi [AWS CloudHSM Regioni ed endpoint](https://docs.aws.amazon.com/general/latest/gr/rande.html#cloudhsm_region) nella sezione *Riferimenti generali di AWS*per vedere il supporto per le zone di disponibilità. AWS CloudHSM
1. Per il **tipo di HSM**, seleziona il tipo di HSM che può essere creato nel cluster insieme alla modalità desiderata del cluster. [Per scoprire quali tipi di HSM sono supportati in ogni regione, consulta il calcolatore dei AWS CloudHSM prezzi.](https://aws.amazon.com/cloudhsm/pricing/)
**Importante**
Dopo la creazione del cluster, la modalità cluster non può essere modificata. Per informazioni sul tipo e sulla modalità più adatti al tuo caso d'uso, consulta[AWS CloudHSM modalità cluster](cluster-hsm-types.md).
1. Per **Tipo di rete**, scegli i protocolli di indirizzi IP per accedere ai tuoi HSMs. IPv4 limita la comunicazione tra l'applicazione e IPv4 solo HSMs verso. Questa è l'opzione predefinita. Il dual-stack consente sia IPv4 la comunicazione che la comunicazione. IPv6 Per utilizzare il dual-stack, aggiungi entrambi IPv4 e alle configurazioni IPv6 CIDRs VPC e subnet. Il tipo di rete è difficile da modificare dopo la configurazione iniziale. Per modificarlo, crea un backup del cluster esistente e ripristina un nuovo cluster con il tipo di rete desiderato. Per ulteriori informazioni, consulta [Creazione di AWS CloudHSM cluster dai backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html)
1. Per **Cluster source**, specifica se desideri creare un nuovo cluster o ripristinarne uno da un backup esistente.
+ I backup di cluster in modalità non FIPS possono essere utilizzati solo per ripristinare cluster in modalità non FIPS.
+ I backup dei cluster in modalità FIPS possono essere utilizzati solo per ripristinare i cluster in modalità FIPS.
1. Scegli **Next (Successivo)**.
1. Specifica per quanto tempo il servizio deve conservare i backup.
1. Accetta il periodo di conservazione predefinito di 90 giorni o digita un nuovo valore tra 7 e 379 giorni. Il servizio eliminerà automaticamente i backup in questo cluster più vecchi del valore specificato qui. Puoi modificare questa impostazione in un secondo momento. Per ulteriori informazioni, vedi [Configura la conservazione dei backup](manage-backup-retention.md).
1. Scegli **Next (Successivo)**.
1. (Facoltativo) Digita tag per una chiave di un valore di tag facoltativo. Per aggiungere più di un tag al cluster scegli **Aggiungi tag**.
1. Scegli **Rivedi**.
1. Rivedi la configurazione del cluster, quindi scegli **Crea cluster**.
Se i tentativi di creare un cluster falliscono, è possibile che ciò sia dovuto a problemi con i ruoli collegati ai servizi. AWS CloudHSM Per assistenza nella risoluzione del problema, vedi [Risoluzione degli errori di creazione dei AWS CloudHSM cluster](troubleshooting-create-cluster.md).
------
#### [ AWS CLI ]
**Per creare un cluster ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ Al prompt dei comandi, esegui il comando **[create-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)**. Specificate il tipo di istanza HSM, il periodo di conservazione dei backup e la sottorete IDs delle sottoreti da creare. HSMs Utilizzate la sottorete IDs delle sottoreti private che avete creato. Specifica una sola sottorete per ogni zona di disponibilità.
```
$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
--backup-retention-policy Type=DAYS,Value= \
--subnet-ids \
--mode \
--network-type
{
"Cluster": {
"BackupPolicy": "DEFAULT",
"BackupRetentionPolicy": {
"Type": "DAYS",
"Value": 90
},
"VpcId": "vpc-50ae0636",
"SubnetMapping": {
"us-west-2b": "subnet-49a1bc00",
"us-west-2c": "subnet-6f950334",
"us-west-2a": "subnet-fd54af9b"
},
"SecurityGroup": "sg-6cb2c216",
"HsmType": "hsm2m.medium",
"NetworkType": "IPV4",
"Certificates": {},
"State": "CREATE_IN_PROGRESS",
"Hsms": [],
"ClusterId": "cluster-igklspoyj5v",
"ClusterMode": "FIPS",
"CreateTimestamp": 1502423370.069
}
}
```
**Nota**
`ClusterMode`è un parametro obbligatorio per tutti i tipi di hsm tranne hsm1.medium. `--mode`:
```
$ aws cloudhsmv2 create-cluster --hsm-type hsm2m.medium \
--backup-retention-policy Type=DAYS,Value= \
--subnet-ids \
--mode NON_FIPS
```
Se i tentativi di creare un cluster falliscono, è possibile che ciò sia dovuto a problemi con i ruoli AWS CloudHSM collegati ai servizi. Per assistenza nella risoluzione del problema, vedi [Risoluzione degli errori di creazione dei AWS CloudHSM cluster](troubleshooting-create-cluster.md).
------
#### [ AWS CloudHSM API ]
**Per creare un cluster (API)AWS CloudHSM**
+ Inviare una richiesta [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html). Specificate il tipo di istanza HSM, la politica di conservazione dei backup e la sottorete IDs delle sottoreti da creare. HSMs Utilizzate la sottorete IDs delle sottoreti private che avete creato. Specifica una sola sottorete per ogni zona di disponibilità.
Se i tentativi di creare un cluster falliscono, è possibile che ciò sia dovuto a problemi con i ruoli collegati ai servizi. AWS CloudHSM Per assistenza nella risoluzione del problema, vedi [Risoluzione degli errori di creazione dei AWS CloudHSM cluster](troubleshooting-create-cluster.md).
------
# Esamina il gruppo di sicurezza per il tuo cluster in AWS CloudHSM
Quando crei un cluster o aggiungi un HSM a un cluster, AWS CloudHSM crea un gruppo di sicurezza con lo stesso nome `cloudhsm-cluster--sg` se non ne esiste già uno. Questo gruppo di sicurezza contiene una regola TCP preconfigurata che consente la comunicazione in entrata e in uscita all'interno del gruppo di sicurezza del cluster su porte 2223-2225. Questo SG consente alle istanze EC2 di utilizzare il VPC con cui comunicare all'interno del cluster. HSMs
**avvertimento**
Non eliminare o modificare la regola TCP preconfigurata, che viene inserita in tale gruppo di sicurezza. Questa regola può prevenire problemi di connettività e accessi non autorizzati al tuo. HSMs
Il gruppo di sicurezza del cluster impedisce l'accesso non autorizzato al tuo. HSMs Chiunque possa accedere alle istanze del gruppo di sicurezza può accedere alle tue. HSMs La maggior parte delle operazioni richiede un utente per l'accesso all'HSM. Tuttavia, è possibile effettuare l'azzeramento HSMs senza autenticazione, il che distrugge il materiale chiave, i certificati e gli altri dati. In questo caso, i dati creati o modificati dopo il backup più recente vengono persi e non possono essere più recuperati. Prevenire gli accessi non autorizzati, in modo che solo gli amministratori attendibili possano modificare o accedere alle istanze nel gruppo di sicurezza di default.
I cluster hsm2m.medium introducono la funzionalità mTLS per impedire agli utenti non autorizzati di connettersi al cluster. Gli utenti non autorizzati avranno bisogno di credenziali MTLS valide per connettersi correttamente al cluster prima di tentare la zeroizzazione.
Nella fase successiva, puoi [avviare un'istanza Amazon EC2](launch-client-instance.md) e collegarla alla tua HSMs [collegandovi il gruppo di sicurezza del cluster](configure-sg-client-instance.md).
# Avvia un'istanza client Amazon EC2 con cui interagire AWS CloudHSM
Per interagire e gestire il AWS CloudHSM cluster e le istanze HSM, devi essere in grado di comunicare con le interfacce di rete elastiche dei tuoi HSM. Il modo più semplice per farlo è utilizzare un'istanza EC2 nello stesso VPC del cluster. Puoi anche utilizzare le risorse AWS seguenti per connettersi al cluster:
+ [Peering Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html)
+ [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [Connessioni VPN](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
**Nota**
Questa guida fornisce un esempio semplificato di come connettere un'istanza EC2 al cluster. AWS CloudHSM Per le migliori pratiche relative alle configurazioni di rete sicure, consulta. [Accesso sicuro al cluster](bp-cluster-management.md#bp-secure-access)
La AWS CloudHSM documentazione in genere presuppone che si stia utilizzando un'istanza EC2 nello stesso VPC e nella stessa zona di disponibilità (AZ) in cui si crea il cluster.
**Per creare un'istanza EC2**
1. Apri la dashboard **EC2 all'indirizzo**. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Seleziona **Avvia istanza**. Dal menu a tendina, seleziona **Avvia istanza**.
1. Nel campo **Nome** immetti un nome per l'istanza EC2.
1. Nella sezione **Applicazioni e immagini del sistema operativo (Amazon Machine Image)**, seleziona un'Amazon Machine Image (AMI), che corrisponde a una piattaforma supportata da CloudHSM. Per ulteriori informazioni, vedi [AWS CloudHSM Piattaforme supportate da Client SDK 5](client-supported-platforms.md).
1. Nella sezione **Tipo di istanza**, seleziona il tipo di istanza.
1. Nella sezione **Coppia di chiavi**, usa una coppia di chiavi esistente o seleziona **Crea nuova coppia di chiavi** e completa i seguenti passaggi:
1. In **Nome coppia di chiavi**, immetti un nome per la coppia di chiavi.
1. Per **Tipo coppia di chiavi**, scegli una coppia di chiavi.
1. Per **Formato file chiave privata**, scegli il formato in cui salvare la chiave privata.
1. Seleziona **Crea coppia di chiavi**.
1. Scarica e salva il file della chiave privata.
**Importante**
Questo è l'unica possibilità per salvare il file della chiave privata. Scarica e archivia il file in un luogo sicuro. Devi fornire il nome della tua coppia di chiavi quando avvii un'istanza. Inoltre, è necessario fornire la chiave privata corrispondente ogni volta che ci si connette all'istanza e scegliere la coppia di chiavi creata al momento della configurazione.
1. In **Impostazioni di rete**, seleziona **Modifica**.
1. Per **VPC**, scegli il VPC creato in precedenza per il cluster.
1. Per **Sottorete**, scegli la sottorete pubblica creata per il VPC.
1. Per **Assegna automaticamente IP pubblico**, scegli **Abilita**.
1. Per l'**assegnazione automatica dell' IPv6 IP**, scegli **Abilita** per utilizzare la connettività IPv6 con i cluster e il Dual-stack. NetworkType Se abiliti questa opzione, aggiorna le regole dei gruppi di sicurezza, le tabelle di routing VPC e subnet e la rete dell'istanza Amazon EC2 ACLs per consentire il traffico in IPv6 uscita dall'istanza a. HSMs
1. Scegli **Seleziona un gruppo di sicurezza esistente**.
1. In **Gruppi di sicurezza comuni**, seleziona il gruppo di sicurezza predefinito dal menu a tendina.
1. In **Configurazione archiviazione**, utilizza i menu a tendina per scegliere una configurazione di archiviazione.
1. Nella finestra **Riepilogo**, seleziona **Avvia istanza**.
**Nota**
Il completamento di questo passaggio avvierà le operazioni necessarie per la creazione dell'istanza EC2.
Per ulteriori informazioni sulla creazione di un client Amazon EC2 per Linux, consulta [Nozioni di base sulle istanze Amazon EC2 Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html). Per informazioni sulla connessione al client in esecuzione, vedi i seguenti argomenti:
+ [Connessione all'istanza Linux tramite SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html)
+ [Connessione all'istanza Linux da Windows tramite PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html)
La guida dell'utente Amazon EC2 contiene istruzioni dettagliate per la configurazione e l'utilizzo delle istanze Amazon EC2. L'elenco seguente fornisce una panoramica della documentazione disponibile per i client Amazon EC2 di Linux e Windows:
+ Per creare un client Amazon EC2 Linux, vedi [Iniziare a usare le istanze di Amazon EC2 Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html).
Per informazioni sulla connessione al client in esecuzione, vedi i seguenti argomenti:
+ [Connessione all'istanza Linux tramite SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html)
+ [Connessione all'istanza Linux da Windows tramite PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html)
+ Per creare un client Amazon EC2 di Windows, vedi [Iniziare a usare le istanze Windows di Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html). Per ulteriori informazioni sulla connessione al client Windows, vedi [Connessione all'istanza Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows).
**Nota**
La tua istanza EC2 può eseguire tutti i AWS CLI comandi contenuti in questa guida. Se la AWS CLI non è installata, è possibile scaricarla da [AWS Command Line Interface](https://aws.amazon.com/cli/). Se utilizzi Windows, è possibile scaricare ed eseguire il programma di installazione a 64 bit o a 32 bit di Windows. Se si utilizza Linux o macOS, è possibile installare la CLI tramite pip.
# Configurazione dei gruppi di sicurezza delle istanze Client Amazon EC2 per AWS CloudHSM
Quando hai lanciato un'istanza Amazon EC2 per il tuo cluster in AWS CloudHSM, l'hai associata a un gruppo di sicurezza Amazon VPC predefinito. Questo argomento spiega come associare il gruppo di sicurezza del cluster con l'istanza EC2. Questa associazione consente al AWS CloudHSM client in esecuzione sulla tua istanza EC2 di comunicare con i tuoi HSM. Per connettere l'istanza EC2 al AWS CloudHSM cluster, è necessario configurare correttamente il gruppo di sicurezza predefinito VPC e associare il *gruppo* di sicurezza del cluster all'istanza.
Utilizza i seguenti passaggi per completare le modifiche alla configurazione.
**Topics**
+ [Passaggio 1. Modifica il gruppo di sicurezza di default.](#configure-sg-client-instance-modify-default-security-group)
+ [Passaggio 2. Connect l'istanza Amazon EC2 al cluster AWS CloudHSM](#configure-sg-client-instance-connect-the-ec2-instance-to-the-HSM-cluster)
## Passaggio 1. Modifica il gruppo di sicurezza di default.
Devi modificare il gruppo di sicurezza di default per consentire la connessione SSH o RDP in modo che sia possibile scaricare e installare il software client, e interagire con il tuo HSM.
**Modifica del gruppo di sicurezza predefinito**
1. Apri il **pannello di controllo EC2** all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Seleziona **Istanze (in esecuzione)**, quindi seleziona la casella di controllo accanto all'istanza EC2 su cui desideri installare il client. AWS CloudHSM
1. Nella scheda **Sicurezza**, scegli il gruppo di sicurezza denominato **Default**.
1. Nella parte superiore della pagina, seleziona **Azioni**, **Modifica regole in entrata**.
1. Seleziona **Aggiungi regola**.
1. Per **Tipo**, procedere in uno dei seguenti modi:
+ Per un’istanza Windows Server Amazon EC2, scegli **RDP**. La porta `3389` viene completata automaticamente.
+ Per un'istanza Amazon EC2 Linux, scegli **SSH**. L'intervallo di porte `22` viene completato automaticamente.
1. Per entrambe le opzioni, imposta **Fonte** del **Mio IP** per consentirti di comunicare con la tua istanza Amazon EC2.
**Importante**
Non specificare 0.0.0.0/0 come intervallo CIDR per evitare di consentire a chiunque di accedere all'istanza.
1. Scegli **Save** (Salva).
## Passaggio 2. Connect l'istanza Amazon EC2 al cluster AWS CloudHSM
È necessario collegare il gruppo di sicurezza del cluster all'istanza EC2 in modo che l'istanza EC2 possa comunicare con HSMs il cluster. Il gruppo di sicurezza del cluster contiene una regola preconfigurata che consente la comunicazione sulle porte 2223-2225 in entrata.
**Per connettere l'istanza EC2 al cluster AWS CloudHSM**
1. Apri il **pannello di controllo EC2** all'indirizzo. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Seleziona **Istanze (in esecuzione)**, quindi seleziona la casella di controllo relativa all'istanza EC2 su cui desideri installare il client. AWS CloudHSM
1. Nella parte superiore della pagina, scegli **Azioni**, **Sicurezza**, quindi **Cambia gruppi di sicurezza**.
1. Seleziona il gruppo di sicurezza con il nome del gruppo che corrisponde all'ID del cluster, come `cloudhsm-cluster--sg`.
1. Seleziona **Applica i gruppi di sicurezza**.
1. Seleziona **Salva**.
**Nota**
È possibile assegnare un massimo di cinque gruppi di sicurezza a un’istanza Amazon EC2. Se hai raggiunto il limite massimo, è necessario modificare il gruppo di sicurezza predefinito dell'istanza Amazon EC2 e il gruppo di sicurezza del cluster:
Nel gruppo di sicurezza di default, procedi nel seguente modo:
Aggiungi una regola in entrata per consentire il traffico utilizzando il protocollo TCP sulle porte `2223-2225` dal gruppo di sicurezza del cluster.
Nel gruppo di sicurezza del cluster, procedi nel seguente modo:
Aggiungi una regola in entrata per consentire il traffico utilizzando il protocollo TCP sulle porte `2223-2225` dal gruppo di sicurezza di default.
# Crea un HSM in AWS CloudHSM
Dopo aver creato un cluster in AWS CloudHSM, è possibile creare un modulo di sicurezza hardware (HSM). Tuttavia, prima di essere in grado di creare un HSM nel cluster, devi impostare quest'ultimo come non inizializzato. Per determinare lo stato del cluster, visualizza la [pagina dei cluster nella AWS CloudHSM console](https://console.aws.amazon.com/cloudhsm/home), usa il comando AWS CLI per eseguire il **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** comando o invia una [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)richiesta nell' AWS CloudHSM API. È possibile creare un HSM dalla [console dell'AWS CloudHSM](https://console.aws.amazon.com/cloudhsm/), dalla [AWS CLI](https://aws.amazon.com/cli/) o dall'API AWS CloudHSM .
**Importante**
Crea un solo HSM mentre il cluster è nello stato non inizializzato.
------
#### [ Console ]
**Per creare un HSM (console)**
1. [Apri la AWS CloudHSM console a casa. https://console.aws.amazon.com/cloudhsm/](https://console.aws.amazon.com/cloudhsm/home)
1. Seleziona il pulsante di opzione accanto all'ID del cluster per il quale desideri creare un HSM.
1. Seleziona **Azioni**. Dal menu a tendina, scegli **Inizializza**.
1. Scegli una zona di disponibilità (AZ) per il modulo HSM in fase di creazione.
1. Seleziona **Crea**.
Dopo avere creato un cluster e un HSM, potrai [verificare l'identità dell'HSM](verify-hsm-identity.md) oppure procedere direttamente a [Inizializzazione del cluster](initialize-cluster.md).
------
#### [ AWS CLI ]
**Per creare un HSM ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ Al prompt dei comandi, esegui il comando **[create-hsm](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-hsm.html)**. Specifica l'ID del cluster creato in precedenza e una zona di disponibilità per l'HSM. Specifica la zona di disponibilità con il formato `us-west-2a`, `us-west-2b` e così via.
```
$ aws cloudhsmv2 create-hsm --cluster-id --availability-zone
{
"Hsm": {
"HsmId": "hsm-ted36yp5b2x",
"EniIp": "10.0.1.12",
"EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
"AvailabilityZone": "us-west-2a",
"ClusterId": "cluster-igklspoyj5v",
"EniId": "eni-5d7ade72",
"SubnetId": "subnet-fd54af9b",
"State": "CREATE_IN_PROGRESS"
}
}
```
Dopo avere creato un cluster e un HSM, potrai [verificare l'identità dell'HSM](verify-hsm-identity.md) oppure procedere direttamente a [Inizializzazione del cluster](initialize-cluster.md).
------
#### [ AWS CloudHSM API ]
**Per creare un HSM (AWS CloudHSM API)**
+ Inviare una richiesta [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html). Specifica l'ID del cluster creato in precedenza e una zona di disponibilità per l'HSM.
Dopo avere creato un cluster e un HSM, potrai [verificare l'identità dell'HSM](verify-hsm-identity.md) oppure procedere direttamente a [Inizializzazione del cluster](initialize-cluster.md).
------
# Verifica l'identità e l'autenticità dell'HSM del cluster in AWS CloudHSM (opzionale)
Per inizializzare il cluster in AWS CloudHSM, è necessario firmare una richiesta di firma del certificato (CSR) generata dal primo modulo di sicurezza hardware (HSM) del cluster. Prima di eseguire questa operazione, puoi verificare l'identità e l'autenticità dell'HSM.
**Nota**
Questo processo è facoltativo. Tuttavia, funziona solo finché un cluster viene inizializzato. Dopo l'inizializzazione del cluster, non è possibile utilizzare questo processo per ottenere i certificati o verificare il. HSMs
Per verificare l'identità dell'HSM del primo cluster, segui i passi seguenti:
1. [Ottieni i certificati e la CSR](#get-certificates) in questa fase, ottieni tre certificati e una CSR dall'HSM. Sono inoltre disponibili due certificati root, uno fornito dal produttore dell'hardware HSM AWS CloudHSM e l'altro fornito dal produttore dell'hardware HSM.
1. [Verifica le catene di certificati](#verify-certificate-chains): in questo passaggio, crei due catene di certificati, una relativa al certificato AWS CloudHSM radice e una al certificato radice del produttore. Quindi verificate il certificato HSM con queste catene di certificati per stabilirlo AWS CloudHSM e il produttore dell'hardware attesta l'identità e l'autenticità dell'HSM.
1. [Confronta le chiavi pubbliche](#compare-public-keys) in questa fase, estrai e confronti le chiavi pubbliche nel certificato HSM e la CSR del cluster per accertarti che siano le stesse. Questo dovrebbe offrire la sicurezza che la CSR è stato generata da un HSM autentico e affidabile.
Il diagramma seguente mostra la CSR, i certificati e la loro correlazione. L'elenco successivo definisce ogni certificato.
![\[I certificati HSM e le relative correlazioni.\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/hsm-certificate-relationships.png)
**AWS Certificato principale**
Questo è AWS CloudHSM il certificato principale.
**Certificato root del produttore**
Questo è il certificato root del produttore dell'hardware.
**AWS Certificato hardware**
AWS CloudHSM ha creato questo certificato quando l'hardware HSM è stato aggiunto al parco macchine. Questo certificato afferma di essere il AWS CloudHSM proprietario dell'hardware.
**Certificato hardware del produttore**
Il produttore dell'hardware HSM ha creato questo certificato quando ha prodotto l'hardware HSM. Questo certificato attesta che il produttore ha creato l'hardware.
**Certificato HSM**
Il certificato HSM viene generato dall'hardware convalidato da FIPS quando si crea il primo HSM nel cluster. Questo certificato attesta che l'hardware HSM ha creato il modulo HSM.
**CSR del cluster**
Il primo HSM crea la CSR del cluster. Quando [firmi la CSR del cluster](initialize-cluster.md#sign-csr), rivendichi il cluster. Quindi, puoi utilizzare la CSR firmata per [inizializzare il cluster](initialize-cluster.md#initialize).
## Passaggio 1. Ottieni i certificati da HSM
Per verificare l'identità e l'autenticità dell'HSM, inizia ottenendo una CSR e cinque certificati. Ottieni tre dei certificati dall'HSM, cosa che puoi fare con la [AWS CloudHSM console](https://console.aws.amazon.com/cloudhsm/), il [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) o l' AWS CloudHSM API.
------
#### [ Console ]
**Per ottenere i certificati CSR e HSM (della console)**
1. Apri la AWS CloudHSM console a [https://console.aws.amazon.com/cloudhsm/casa](https://console.aws.amazon.com/cloudhsm/home).
1. Seleziona il pulsante di opzione accanto all'ID del cluster con l'HSM che desideri verificare.
1. Seleziona **Azioni**. Dal menu a tendina, scegli **Inizializza**.
1. Se non hai completato il [passaggio precedente](create-hsm.md) per creare un HSM, scegli una zona di disponibilità (AZ) per l'HSM che stai creando. Quindi seleziona **Crea**.
1. Quando certificati e CSR sono pronti, vengono visualizzati i link per scaricarli.
![\[La pagina di richiesta di firma del certificato di download nella AWS CloudHSM console.\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png)
1. Seleziona ogni link per scaricare e salvare CSR e certificati. Per semplificare le fasi successive, salva tutti i file nella stessa directory e utilizza i nomi di file predefiniti.
------
#### [ AWS CLI ]
**Per ottenere i certificati HSM e la CSR ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ Al prompt dei comandi, esegui il comando **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** quattro volte, estraendo ogni volta la CSR e i diversi certificati e salvandoli sui file.
1. Esegui il seguente comando per estrarre la CSR del cluster. Sostituisci ** con l'ID del cluster creato in precedenza.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ClusterCsr' \
> _ClusterCsr.csr
```
1. Esegui il seguente comando per estrarre il certificato HSM. Sostituisci ** con l'ID del cluster creato in precedenza.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.HsmCertificate' \
> _HsmCertificate.crt
```
1. Esegui il seguente comando per estrarre il certificato AWS hardware. Sostituiscilo ** con l'ID del cluster creato in precedenza.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.AwsHardwareCertificate' \
> _AwsHardwareCertificate.crt
```
1. Esegui il seguente comando per estrarre il certificato hardware del produttore. Sostituisci ** con l'ID del cluster creato in precedenza.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \
> _ManufacturerHardwareCertificate.crt
```
------
#### [ AWS CloudHSM API ]
**Per ottenere i certificati CSR e HSM (API)AWS CloudHSM**
+ Invia una richiesta [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html), quindi estrai e salva CSR e certificati dalla risposta.
------
## Passaggio 2. Ottenere i certificati root
Segui questi passaggi per ottenere i certificati root AWS CloudHSM e il produttore. Salva i file del certificato root nella directory che contiene i file dei certificati HSM e la CSR.
**Per ottenere i certificati root AWS CloudHSM e quelli del produttore**
1. Scarica il certificato AWS CloudHSM principale: [AWS\$1CloudHSM\$1Root-G1.zip](samples/AWS_CloudHSM_Root-G1.zip)
1. Scarica il certificato root del produttore giusto per il tuo tipo di HSM:
+ [certificato root del produttore hsm1.medium: liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquid_security_certificate.zip)
+ [certificato principale del produttore hsm2m.medium: liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquidsecurity2_ar_v1.zip)
**Nota**
Per scaricare ogni certificato dalla relativa pagina di destinazione, usa i seguenti link:
[Pagina di destinazione per il certificato root del produttore di hsm1.medium](https://www.marvell.com/products/security-solutions/liquid-security-hsm-adapters-and-appliances/liquidsecurity-certificate.html)
[Pagina iniziale del certificato root del produttore di hsm2m.medium](https://www.marvell.com/products/security-solutions/nitrox-hs-adapters/liquidsecurity2-certificate-ls2-g-axxx-ar-f-bo-v1.html)
Potrebbe essere necessario fare clic con il pulsante destro del mouse su **Scarica certificato**, quindi scegliere **Salva collegamento con nome** per salvare il file del certificato.
1. Dopo aver scaricato il file, estrai (decomprimi) il contenuto.
## Fase 3. Verifica le catene di certificato
In questo passaggio, si creano due catene di certificati, una relativa al certificato radice e una al certificato AWS CloudHSM radice del produttore. Quindi utilizza OpenSSL per verificare il certificato HSM con ogni catena di certificati.
Per creare le catene di certificato, apri una shell Linux. È necessario disporre di OpenSSL, disponibile nella maggior parte delle shell Linux, del [certificato root](#get-root-certificates) e dei [file del certificato HSM](#get-certificates) che hai scaricato. Tuttavia, non ne avete bisogno AWS CLI per questo passaggio e non è necessario che la shell sia associata al vostro AWS account.
**Per verificare il certificato HSM con il certificato AWS CloudHSM root**
1. Passare alla directory in cui è stato salvato il certificato [certificato root](#get-root-certificates) e i [file dei certificati HSM](#get-certificates) che hai scaricato. I comandi seguenti presuppongono che tutti i certificati siano nella directory corrente e utilizzino i nomi file predefiniti.
Utilizzate il comando seguente per creare una catena di certificati che includa il certificato AWS hardware e il certificato AWS CloudHSM radice, in quest'ordine. Sostituiscilo ** con l'ID del cluster creato in precedenza.
```
$ cat _AwsHardwareCertificate.crt \
AWS_CloudHSM_Root-G1.crt \
> _AWS_chain.crt
```
1. Utilizza il seguente comando OpenSSL per verificare il certificato HSM con la catena di certificati AWS . Sostituisci ** con l'ID del cluster creato in precedenza.
```
$ openssl verify -CAfile _AWS_chain.crt _HsmCertificate.crt
_HsmCertificate.crt: OK
```
**Per verificare il certificato HSM con il certificato root del produttore**
1. Utilizza il comando seguente per creare una catena di certificati che includa il certificato hardware del produttore e il certificato root del produttore, in questo ordine. Sostituisci ** con l'ID del cluster creato in precedenza.
```
$ cat _ManufacturerHardwareCertificate.crt \
liquid_security_certificate.crt \
> _manufacturer_chain.crt
```
1. Utilizza il seguente comando OpenSSL per verificare il certificato HSM con la catena di certificati del produttore. Sostituisci ** con l'ID del cluster creato in precedenza.
```
$ openssl verify -CAfile _manufacturer_chain.crt _HsmCertificate.crt
_HsmCertificate.crt: OK
```
## Passaggio 4. Estrai e confronta chiavi pubbliche
Utilizza OpenSSL per estrarre e confrontare le chiavi pubbliche nel certificato HSM e la CSR del cluster per accertarsi che siano le stesse.
Per confrontare le chiavi pubbliche, utilizzare la shell Linux. È necessario OpenSSL, disponibile nella maggior parte delle shell Linux, ma non è necessario AWS CLI per questo passaggio. Non è necessario che la shell sia associata al tuo account. AWS
**Estrai e confronta chiavi pubbliche**
1. Utilizza il comando seguente per estrarre la chiave pubblica dal certificato HSM.
```
$ openssl x509 -in _HsmCertificate.crt -pubkey -noout > _HsmCertificate.pub
```
1. Utilizzare il comando seguente per estrarre la chiave pubblica dalla CSR del cluster.
```
$ openssl req -in _ClusterCsr.csr -pubkey -noout > _ClusterCsr.pub
```
1. Utilizzare il comando seguente per confrontare le chiavi pubbliche. Se le chiavi pubbliche sono identiche, il comando seguente non produce alcun output.
```
$ diff _HsmCertificate.pub _ClusterCsr.pub
```
Dopo aver verificato l'identità e l'autenticità dell'HSM, passa a [Inizializzazione del cluster](initialize-cluster.md).
# Inizializza il cluster in AWS CloudHSM
Dopo aver creato il cluster e aggiunto il modulo di sicurezza hardware (HSM) AWS CloudHSM, è possibile inizializzare il cluster. Completa le fasi descritte negli argomenti seguenti per inizializzare il cluster .
**Nota**
Prima di inizializzare il cluster, esamina il processo mediante il quale è possibile [verificare l'identità e l'autenticità](verify-hsm-identity.md) del. HSMs Questa procedura è facoltativa e puoi seguirla solo finché non inizializzi il cluster. Dopo l'inizializzazione del cluster, non è possibile utilizzare questo processo per ottenere i certificati o verificare il. HSMs
**Topics**
+ [Panoramica di](#initialize-cluster-overview)
+ [Passaggio 1. Ottenere la CSR del cluster](#get-csr)
+ [Passaggio 2. Crea una chiave privata per la tua Root CA](#sign-csr-create-key)
+ [Fase 3. Firma la CSR](#sign-csr)
+ [Passaggio 4. Inizializzazione del cluster](#initialize)
## Panoramica di
Il processo di inizializzazione del cluster stabilisce la proprietà e il controllo del cluster e dell'utente HSMs tramite un sistema di autenticazione basato su certificati. Questo processo dimostra crittograficamente che sei l'unico proprietario del HSMs cluster e crea le basi di fiducia che saranno necessarie per tutte le future connessioni al tuo. HSMs
Questa pagina ti mostrerà come fare quanto segue:
+ Recupera la richiesta di firma del certificato (CSR) del tuo cluster.
+ Genera e usa le chiavi private per creare un certificato radice autofirmato o una catena di certificati.
+ Firma la CSR del tuo cluster per produrre un certificato HSM firmato.
+ Inizializza il cluster utilizzando il certificato HSM firmato e il certificato o la catena di certificati autofirmati.
Quando sei pronto per iniziare, vai a [Passaggio 1. Ottenere la CSR del cluster](#get-csr).
## Passaggio 1. Ottenere la CSR del cluster
Prima di inizializzare il cluster, occorre scaricare e firmare una richiesta di firma del certificato (CSR) generata dal primo HSM del cluster. Se hai seguito le fasi per [verificare l'identità dell'HSM del cluster](verify-hsm-identity.md), disponi già della CSR e puoi quindi firmarla. Altrimenti, ottieni subito la CSR utilizzando la [AWS CloudHSM console](https://console.aws.amazon.com/cloudhsm/), il [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) o l'API. AWS CloudHSM
------
#### [ Console ]
**Per ottenere la CSR (console)**
1. Apri la AWS CloudHSM console a [https://console.aws.amazon.com/cloudhsm/casa](https://console.aws.amazon.com/cloudhsm/home).
1. Seleziona il pulsante di opzione accanto all'ID del cluster con l'HSM che desideri verificare.
1. Seleziona **Azioni**. Dal menu a tendina, scegli **Inizializza**.
1. Se non hai completato il [passaggio precedente](create-hsm.md) per creare un HSM, scegli una zona di disponibilità (AZ) per l'HSM che stai creando. Quindi seleziona **Crea**.
1. Quando la CSR è pronta, verrà visualizzato un collegamento per scaricarla.
![\[Scarica la pagina di richiesta di firma del certificato nella AWS CloudHSM console.\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png)
1. Sceglie **CSR del cluster** per scaricare e salvare la CSR.
------
#### [ AWS CLI ]
**Per ottenere la CSR ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ Al prompt dei comandi, esegui il seguente comando **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)**, che estrae la CSR e la salva in un file. Sostituisci ** con l'ID del cluster [creato in precedenza](create-cluster.md).
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ClusterCsr' \
> _ClusterCsr.csr
```
------
#### [ AWS CloudHSM API ]
**Per ottenere la CSR (AWS CloudHSM API)**
1. Inviare una richiesta [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html).
1. Estrai e salva la CSR dalla risposta.
------
## Passaggio 2. Crea una chiave privata per la tua Root CA
**Nota**
Per i cluster di produzione, la chiave deve essere creata in modo sicuro tramite una fonte attendibile di casualità. Ti consigliamo di utilizzare un HSM offline e fuori sede protetto o un equivalente. Archivia la chiave in modo sicuro. La chiave stabilisce l'identità del cluster e il controllo esclusivo dell'utente su HSMs ciò che contiene.
Durante le fasi di sviluppo e di testing, puoi utilizzare qualsiasi strumento adatto (come OpenSSL) per creare e firmare il certificato del cluster. Nell'esempio seguente viene illustrato come creare una chiave. Dopo aver creato un certificato autofirmato usando la chiave (vedi sotto), archivialo in modo sicuro. Per accedere all' AWS CloudHSM istanza, è necessario che il certificato sia presente, ma la chiave privata no.
La tabella seguente riporta gli algoritmi, le dimensioni delle chiavi e le curve supportati per la generazione dei certificati.
| Algoritmi | Dimensioni/curve |
| --- | --- |
| **RSA 5. PKCSv1** | 2048, 3072, 4096 |
| **RSA-PSS** | 2048, 3072, 4096 |
| **ECDSA** | primo 256v1, secp 384r1, secp 521r1 |
| **Digest** | SHA-224, SHA-256, SHA-384 e SHA-512 |
Utilizzate il seguente comando di esempio per creare una chiave privata per la vostra Root CA autofirmata.
```
$ openssl genrsa -aes256 -out customerRootCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerRootCA.key:
Verifying - Enter pass phrase for customerRootCA.key:
```
## Fase 3. Firma la CSR
Nei passaggi precedenti, hai recuperato la CSR del cluster e creato una chiave privata per la tua CA principale. In questo passaggio, utilizzerai la tua chiave privata per generare un certificato di firma per firmare la CSR del cluster. Gli argomenti seguenti ti guideranno attraverso il processo di creazione di un singolo certificato autofirmato, o di una catena di certificati, utilizzando OpenSSL. Non ne hai bisogno AWS CLI per questo passaggio e non è necessario che la shell sia associata al tuo account. AWS
**Importante**
Per inizializzare il cluster, l'ancora di fiducia deve essere conforme alla [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) e soddisfare i seguenti requisiti:
Se si utilizzano estensioni X509v3, deve essere presente l'estensione X509v3 Basic Constraints.
L'ancora di fiducia deve essere un certificato autofirmato.
I valori delle estensioni non devono essere in conflitto tra loro.
Scegli uno dei seguenti approcci per firmare la CSR del tuo cluster:
### Scegli il tuo approccio basato sui certificati
È necessario scegliere uno dei due approcci seguenti. Non completare entrambi gli approcci.
**Opzione A: certificato singolo autofirmato**
Crea un unico certificato radice autofirmato per firmare la CSR del tuo cluster. Questo è il metodo più semplice e diretto per stabilire la fiducia.
**Consigliato per:**
+ Ambienti in cui non è richiesta una PKI esterna
+ Ambienti di test e sviluppo in cui è preferibile la semplicità
Vai a: [Crea un unico certificato autofirmato](#self-signed-certificate)
**Opzione B: catena di certificati con CA intermedia**
Crea una catena di certificati utilizzando un'autorità di certificazione intermedia. Una catena di certificati intermedia offre maggiore sicurezza, scalabilità e flessibilità, poiché consente alle autorità di certificazione principali (CAs) di rimanere offline mentre delegano l'emissione dei certificati a quelle intermedie CAs, riducendo così il rischio di compromettere la CA principale.
**Consigliato per:**
+ Ambienti in cui è richiesta una PKI esterna
+ Integrazione con AWS Private Certificate Authority (PCA)
**Esempio di integrazione con AWS PCA:** puoi usare AWS Private Certificate Authority per creare e gestire i tuoi certificati CA intermedi. Ciò fornisce una gestione automatizzata del ciclo di vita dei certificati, compresi il rinnovo e la revoca, mantenendo al contempo i vantaggi in termini di sicurezza derivanti dal mantenere offline la CA root. Per ulteriori informazioni sulla AWS PCA, consulta la [AWS Private Certificate Authority User Guide](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).
Vai a: [Crea una catena di autorità di certificazione intermedia (ICA)](#certificate-chain)
### Crea un unico certificato autofirmato
L'hardware attendibile che usi per creare la chiave privata per il cluster di produzione deve fornire inoltre uno strumento software per la generazione di un certificato autofirmato tramite tale chiave. L'esempio seguente utilizza OpenSSL e la chiave privata creata nel passaggio precedente per creare un certificato di firma CA root autofirmato. Il certificato è valido per 10 anni (3652 giorni). Leggi le istruzioni a video e segui i prompt.
```
$ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt
Enter pass phrase for customerRootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```
Questo comando crea un file di certificato denominato `customerRootCA.crt`. Inserisci questo certificato su ogni host da cui ti connetterai al tuo cluster. AWS CloudHSM Se dai un nome diverso al file o se lo archivi in un percorso diverso dalla radice dell'host, devi modificare il file di configurazione del client di conseguenza. Utilizza il certificato e la chiave privata appena creati per firmare la richiesta di firma del certificato (CSR) del cluster nella fase successiva.
#### Firma la CSR del cluster con la tua Root CA autofirmata
L'hardware attendibile che hai utilizzato per creare la chiave privata per il cluster di produzione deve fornire inoltre uno strumento software per la firma della CSR tramite tale chiave. Nell'esempio seguente viene utilizzato OpenSSL per la firma della CSR del cluster. Il comando di esempio seguente firma la CSR con la firma autofirmata `customerRootCA.crt`
```
$ openssl x509 -req -days 3652 -in _ClusterCsr.csr \
-CA .crt \
-CAkey .key \
-CAcreateserial \
-out _CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM::PARTN:, for FIPS mode
Getting CA Private Key
Enter pass phrase for .key:
```
Questo comando crea un file denominato `_CustomerHsmCertificate.crt`. Utilizzalo come certificato firmato durante l'inizializzazione del cluster.
Verifica il certificato firmato confrontandolo con la CA principale (opzionale):
```
$ openssl verify -purpose sslserver -CAfile customerRootCA.crt _CustomerHsmCertificate.crt
_CustomerHsmCertificate.crt: OK
```
Dopo aver prodotto il certificato HSM firmato con la tua Root CA autofirmata, vai a. [Passaggio 4. Inizializzazione del cluster](#initialize)
### Crea una catena di autorità di certificazione intermedia (ICA)
Gli esempi seguenti illustreranno la creazione di una catena di certificati di lunghezza 2, composta da un'autorità di certificazione (CA) principale e una CA intermedia. Per prima cosa creerai un certificato CA radice autofirmato, quindi genererai una CA intermedia firmata dalla CA principale. Infine, utilizzerai la CA intermedia per firmare la CSR del cluster, creando una catena di fiducia completa dal certificato HSM alla CA principale. Questo approccio offre una maggiore sicurezza mantenendo offline la CA principale mentre si utilizza la CA intermedia per le operazioni di certificazione. day-to-day
**Importante**
Per inizializzare il cluster con una catena di certificati, la catena deve soddisfare i seguenti requisiti:
La catena deve essere ordinata, a partire dalla CA intermedia che firma la CSR del cluster. In quest'ordine, la prima ICA dovrebbe avere un emittente che corrisponda all'oggetto dell'ICA successiva della catena, e così via.
Solo la Root CA deve essere autofirmata, il che significa che l'emittente e l'oggetto devono essere identici.
La catena non deve essere composta da più di 4 certificati (inclusa la Root CA alla fine) e la dimensione totale della catena non deve superare i 16 kb (kilobyte).
Tutte le autorità di certificazione (CAs) devono essere conformi alle linee guida [RFC](https://datatracker.ietf.org/doc/html/rfc5280) 5280.
Questa sezione fornisce esempi per creare una catena di autorità di certificazione intermedia utilizzando due approcci diversi: OpenSSL per la generazione di certificati locali e AWS Private Certificate Authority (PCA) per i servizi di certificazione gestiti. Scegli l'approccio più adatto al tuo ambiente e ai tuoi requisiti di sicurezza.
**Nota**
Gli esempi seguenti sono casi d'uso generici e sono entrambi semplificati, utilizzando la configurazione di base. Per gli ambienti di produzione, esamina le opzioni di configurazione aggiuntive e i requisiti di sicurezza specifici per il tuo caso d'uso.
------
#### [ OpenSSL ]
Crea il file di configurazione OpenSSL con le estensioni v3 comuni per CA:
```
$ cat > ca-extensions.conf < chainCA.crt
-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----
```
Firma la CSR del cluster con la tua CA intermedia:
```
$ openssl x509 -req -days 3652 -in _ClusterCsr.csr \
-CA intermediateCA.crt \
-CAkey intermediateCA.key \
-CAcreateserial \
-out _CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM::PARTN:, for FIPS mode
Getting CA Private Key
Enter pass phrase for intermediateCA.key:
```
------
#### [ AWS PCA ]
Crea e attiva una CA root utilizzando AWS Private Certificate Authority:
```
$ # 1. Create Root CA
aws acm-pca create-certificate-authority \
--certificate-authority-configuration \
"KeyAlgorithm=RSA_4096,
SigningAlgorithm=SHA256WITHRSA,
Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=RootCA}" \
--certificate-authority-type ROOT
# Store the Root CA Authority ARN from the previous output
ROOT_CA_AUTHORITY_ARN="arn:aws:acm-pca:::certificate-authority/"
# 2. Generate Root CA CSR
aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--output text > customerRootCA.csr
# 3. Self-sign Root CA Certificate
aws acm-pca issue-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--csr fileb://customerRootCA.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3652,Type=DAYS
# Store the Root CA certificate ARN from the previous output
ROOT_CA_ARN="arn:aws:acm-pca:::certificate-authority//certificate/"
# 4. Retrieve the Root CA certificate
aws acm-pca get-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--certificate-arn $ROOT_CA_ARN \
--output text > customerRootCA.crt
# 5. Import the Root CA Certificate
aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--certificate fileb://customerRootCA.crt
```
Crea e attiva una CA subordinata (nota anche come CA intermedia):
```
$ # 6. Create Subordinate CA
aws acm-pca create-certificate-authority \
--certificate-authority-configuration \
"KeyAlgorithm=RSA_4096,
SigningAlgorithm=SHA256WITHRSA,
Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=SubordinateCA}" \
--certificate-authority-type SUBORDINATE
# Store the Subordinate CA Authority ARN from the previous output
SUB_CA_AUTHORITY_ARN="arn:aws:acm-pca:::certificate-authority/"
# 7. Generate Subordinate CA CSR
aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
--output text > intermediateCA.csr
# 8. Issue Subordinate CA Certificate using Root CA
aws acm-pca issue-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--csr fileb://intermediateCA.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 \
--validity Value=3651,Type=DAYS
# Store the Subordinate CA certificate ARN from the previous output
SUB_CA_ARN="arn:aws:acm-pca:::certificate-authority/"
# 9. Retrieve Subordinate CA Certificate
aws acm-pca get-certificate \
--certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
--certificate-arn $SUB_CA_ARN \
--query 'Certificate' \
--output text > intermediateCA.crt
# 10. Import the Subordinate CA Certificate
aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
--certificate fileb://intermediateCA.crt \
--certificate-chain fileb://customerRootCA.crt
```
Combina i certificati in un file a catena:
```
$ cat intermediateCA.crt customerRootCA.crt > chainCA.crt
-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----
```
Firma la CSR del cluster utilizzando AWS PCA:
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
--csr fileb://_ClusterCsr.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/EndEntityCertificate/V1 \
--validity Value=3650,Type=DAYS
# Store your cluster's cert ARN from the previous output
CLUSTER_CERT_ARN="arn:aws:acm-pca:::certificate-authority/"
```
Scarica il certificato del cluster firmato:
```
$ aws acm-pca get-certificate \
--certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
--certificate-arn $CLUSTER_CERT_ARN \
--output text --query Certificate > _CustomerHsmCertificate.crt
```
------
Questo comando crea un file denominato `_CustomerHsmCertificate.crt`. Utilizzalo come certificato firmato durante l'inizializzazione del cluster.
Verifica il certificato firmato rispetto alla catena di certificati (opzionale):
```
$ openssl verify -purpose sslserver -CAfile chainCA.crt _CustomerHsmCertificate.crt
_CustomerHsmCertificate.crt: OK
```
Dopo aver prodotto il certificato HSM firmato con la tua CA intermedia, vai a. [Passaggio 4. Inizializzazione del cluster](#initialize)
## Passaggio 4. Inizializzazione del cluster
Utilizza il certificato firmato dell'HSM e il certificato di firma per inizializzare il cluster. Puoi usare la [AWS CloudHSM console [AWS CLI](https://aws.amazon.com/cli/)](https://console.aws.amazon.com/cloudhsm/), l'o l' AWS CloudHSM API.
------
#### [ Console ]
**Per inizializzare un cluster (console)**
1. Apri la AWS CloudHSM console a [https://console.aws.amazon.com/cloudhsm/casa](https://console.aws.amazon.com/cloudhsm/home).
1. Seleziona il pulsante di opzione accanto all'ID del cluster con l'HSM che desideri verificare.
1. Seleziona **Azioni**. Dal menu a tendina, scegli **Inizializza**.
1. Se non hai completato il [passaggio precedente](create-hsm.md) per creare un HSM, scegli una zona di disponibilità (AZ) per l'HSM che stai creando. Quindi seleziona **Crea**.
1. Nella pagina **Scarica richiesta di firma del certificato**, scegli **Successivo**. Se l'opzione **Successivo** non è disponibile, scegli innanzitutto uno dei collegamenti alla CSR o al certificato. Quindi scegli **Successivo**.
1. Nella pagina **Firma richiesta di firma del certificato (CSR)**, scegli **Successivo**.
1. Nella pagina **Carica certificati**, procedi come segue:
1. Accanto a **Certificato cluster**, scegli **Carica file**. Quindi, individua e seleziona il certificato dell'HSM firmato in precedenza. Se sono state effettuate le fasi riportate nella sezione precedente, seleziona il file denominato `_CustomerHsmCertificate.crt`.
1. Accanto a **Certificazione**, scegli **Carica file**. Quindi seleziona il tuo certificato di firma in base all'approccio che hai scelto:
+ **Se hai scelto l'opzione A (certificato autofirmato singolo):** seleziona il file denominato `.crt`
+ **Se hai scelto l'opzione B (catena di certificati):** seleziona il file denominato `.crt`
1. Scegli **Carica e inizializza**.
------
#### [ AWS CLI ]
**Per inizializzare un cluster ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ Al prompt dei comandi, esegui il comando **[initialize-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/initialize-cluster.html)**. Specifica quanto segue:
+ L'ID del cluster creato in precedenza.
+ Il certificato dell'HSM che hai firmato in precedenza. Se sono state effettuate le fasi riportate nella sezione precedente, quest'ultimo è salvato in un file denominato `_CustomerHsmCertificate.crt`.
+ Il tuo certificato di firma in base all'approccio che hai scelto:
+ **Se hai scelto l'opzione A (certificato autofirmato singolo):** utilizza il file denominato `.crt`
+ **Se hai scelto l'opzione B (catena di certificati):** usa il file denominato `.crt`
```
$ aws cloudhsmv2 initialize-cluster --cluster-id \
--signed-cert file://_CustomerHsmCertificate.crt \
--trust-anchor file://
{
"State": "INITIALIZE_IN_PROGRESS",
"StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
}
```
------
#### [ AWS CloudHSM API ]
**Per inizializzare un cluster (AWS CloudHSM API)**
+ Invia una richiesta [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_InitializeCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_InitializeCluster.html) con quanto segue:
+ L'ID del cluster creato in precedenza.
+ Il certificato dell'HSM che hai firmato in precedenza. Se sono state effettuate le fasi riportate nella sezione precedente, quest'ultimo è salvato in un file denominato `_CustomerHsmCertificate.crt`.
+ Il tuo certificato di firma in base all'approccio che hai scelto:
+ **Se hai scelto l'opzione A (certificato autofirmato singolo):** utilizza il file denominato `.crt`
+ **Se hai scelto l'opzione B (catena di certificati):** usa il file denominato `.crt`
------
# Installa e configura la CLI di CloudHSM
Per interagire con l'HSM del AWS CloudHSM cluster, è necessaria la CLI CloudHSM.
Connect all'istanza client ed esegui i seguenti comandi per scaricare e installare gli strumenti da riga di AWS CloudHSM comando. Per ulteriori informazioni, consulta [Avvia un'istanza client Amazon EC2 con cui interagire AWS CloudHSM](launch-client-instance.md).
------
#### [ Amazon Linux 2023 ]
Amazon Linux 2023 su architettura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.amzn2023.x86_64.rpm
```
Amazon Linux 2023 sull' ARM64 architettura:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.amzn2023.aarch64.rpm
```
------
#### [ Amazon Linux 2 ]
Amazon Linux 2 su architettura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el7.x86_64.rpm
```
Amazon Linux 2 sull' ARM64 architettura:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el7.aarch64.rpm
```
------
#### [ RHEL 10 (10.0\$1) ]
RHEL 10 su architettura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el10.x86_64.rpm
```
RHEL 10 sull'architettura: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el10.aarch64.rpm
```
------
#### [ RHEL 9 (9.2\$1) ]
RHEL 9 su architettura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el9.x86_64.rpm
```
RHEL 9 sull'architettura: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el9.aarch64.rpm
```
------
#### [ RHEL 8 (8.3\$1) ]
RHEL 8 su architettura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el8.x86_64.rpm
```
RHEL 8 sull' ARM64 architettura:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el8.aarch64.rpm
```
------
#### [ Ubuntu 24.04 LTS ]
Ubuntu 24.04 LTS su architettura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_amd64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u24.04_amd64.deb
```
Ubuntu 24.04 LTS sull'architettura: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_arm64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u24.04_arm64.deb
```
------
#### [ Ubuntu 22.04 LTS ]
Ubuntu 22.04 LTS su architettura x86\$164:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_amd64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u22.04_amd64.deb
```
Ubuntu 22.04 LTS sull'architettura: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_arm64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u22.04_arm64.deb
```
------
#### [ Windows Server 2022 ]
Per Windows Server 2022 su architettura x86\$164, apri PowerShell come amministratore ed esegui il seguente comando:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
#### [ Windows Server 2019 ]
Per Windows Server 2019 su architettura x86\$164, apri PowerShell come amministratore ed esegui il comando seguente:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
#### [ Windows Server 2016 ]
Per Windows Server 2016 su architettura x86\$164, apri PowerShell come amministratore ed esegui il comando seguente:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
Usa i seguenti comandi per configurare la CLI di CloudHSM.
**Per avviare un' EC2 istanza Linux per Client SDK 5**
+ Usa lo strumento di configurazione per specificare l'indirizzo IP degli HSM sul cluster.
```
$ sudo /opt/cloudhsm/bin/configure-cli -a
```
**Per avviare un' EC2 istanza Windows per Client SDK 5**
+ Utilizza lo strumento di configurazione per specificare l'indirizzo IP dei moduli HSM presenti nel cluster.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a
```
# Attiva il cluster in AWS CloudHSM
Quando si attiva un AWS CloudHSM cluster, lo stato del cluster cambia da inizializzato ad attivo. A quel punto puoi [gestire gli utenti del modulo di sicurezza hardware (HSM)](manage-hsm-users.md) e [utilizzare l'HSM](use-hsm.md).
**Importante**
Prima di poter attivare il cluster, è necessario prima copiare il certificato di emissione nella posizione predefinita per la piattaforma su ogni EC2 istanza che si connette al cluster (il certificato di emissione viene creato quando si inizializza il cluster). Utilizza il file di certificato appropriato in base all'approccio scelto durante l'inizializzazione del cluster:
**Se hai scelto l'opzione A (certificato autofirmato singolo)**: Copia `customerRootCA.crt`
**Se hai scelto l'opzione B (catena di certificati): Copia** `chainCA.crt`
**Posizione Linux:**
```
/opt/cloudhsm/etc/
```
**Posizione Windows:**
```
C:\ProgramData\Amazon\CloudHSM\
```
Dopo aver copiato il file del certificato, modificalo `/opt/cloudhsm/etc/cloudhsm-cli.cfg` per assicurarti che il nome del file del certificato corrisponda al nome del certificato CA che hai copiato.
Dopo aver inserito il certificato di emissione, installa la CLI di CloudHSM ed esegui il comando [**cluster activate**](cloudhsm_cli-cluster-activate.md) sul tuo primo HSM. Noterai che l'account di amministratore sul primo HSM del cluster ha il ruolo di [admin non attivato.](understanding-users.md) Si tratta di un ruolo temporaneo che esiste solo prima dell'attivazione del cluster. Quando attivi il cluster, il ruolo di admin non attivato diventa admin.
**Per attivare un cluster**
1. Connettersi all'istanza del client avviata in precedenza. Per ulteriori informazioni, vedi [Avvia un'istanza client Amazon EC2 con cui interagire AWS CloudHSM](launch-client-instance.md). È possibile avviare un'istanza Linux o Windows Server.
1. Esegui la CLI di CloudHSM in modalità interattiva.
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. (Facoltativo) Usa il comando **user list** per visualizzare gli utenti esistenti.
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "unactivated-admin",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
}
]
}
}
```
1. Usa il comando **cluster activate** per impostare la password di admin iniziale.
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
È consigliabile annotare la nuova password su un foglio di lavoro delle password. Non perdere il foglio di lavoro. È consigliabile stampare una copia del foglio di lavoro delle password, utilizzarlo per registrare le password HSM critiche e quindi conservarlo in un luogo sicuro. Si consiglia inoltre di conservare una copia di questo foglio di lavoro in un posto sicuro fuori sede.
1. (Facoltativo) Usa il comando **user list** per verificare che il tipo di utente sia stato modificato in [admin/CO](understanding-users-cmu.md#crypto-officer).
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
}
]
}
}
```
1. Usa il comando **quit** per chiudere la CLI di CloudHSM.
```
aws-cloudhsm > quit
```
Per ulteriori informazioni sull'utilizzo della CLI di CloudHSM o della CMU[, vedi Capire gli utenti HSM](understanding-users.md) e [Capire la gestione degli utenti HSM con CMU](understand-users.md).
# Configura TLS reciproco tra client e AWS CloudHSM (consigliato)
I seguenti argomenti descrivono i passaggi da completare per abilitare il Mutual Transport Layer Security (MTL) tra client e. AWS CloudHSM
**Considerazioni**
+ Attualmente questa funzionalità è disponibile esclusivamente su hsm2m.medium. Per ulteriori informazioni sul tipo di HSM, vedere. [AWS CloudHSM modalità cluster](cluster-hsm-types.md)
+ mTLS non è supportato per i AWS CloudHSM key store utilizzati con. AWS Key Management Service
**Topics**
+ [Passaggio 1. Crea e registra un trust anchor sull'HSM](#setup-mtls-create-and-register-trust-anchor)
+ [Passaggio 2. Abilita MTL per AWS CloudHSM](#getting-start-setup-mtl-sdk)
+ [Fase 3. Imposta l'applicazione MTLS per AWS CloudHSM](#getting-start-setup-mtls-enforcement)
## Passaggio 1. Crea e registra un trust anchor sull'HSM
Un trust anchor deve essere creato e registrato nell'HSM prima di abilitare gli MTL. Si tratta di un processo in due fasi:
**Topics**
+ [Crea una chiave privata e un certificato radice autofirmato](#setup-mtls-create-trust-anchor)
+ [Registra il trust anchor sull'HSM](#setup-mtls-register-trust-anchor)
### Crea una chiave privata e un certificato radice autofirmato
**Nota**
Per i cluster di produzione, la chiave deve essere creata in modo sicuro tramite una fonte attendibile di casualità. Ti consigliamo di utilizzare un HSM offline e fuori sede protetto o un equivalente. Archivia la chiave in modo sicuro.
Per lo sviluppo e il test, puoi utilizzare qualsiasi strumento utile (come OpenSSL) per creare la chiave e firmare automaticamente un certificato root. Avrai bisogno della chiave e del certificato root per firmare il certificato client nell'[Enable](#getting-start-setup-mtl-sdk) MTLs for. AWS CloudHSM
Gli esempi seguenti mostrano come creare una chiave privata e un certificato root autofirmato con [OpenSSL](https://www.openssl.org/).
**Example - Creazione di una chiave privata con OpenSSL**
Usa il comando seguente per creare una chiave RSA a 4096 bit crittografata con l'algoritmo AES-256. Per utilizzare questo esempio, sostituiscilo ** con il nome del file in cui desideri memorizzare la chiave.
```
$ openssl genrsa -out -aes256 4096
Generating RSA private key, 4096 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase for mtls_ca_root_1.key:
Verifying - Enter pass phrase for mtls_ca_root_1.key:
```
**Example — Creare un certificato root autofirmato con OpenSSL**
Usa il seguente comando per creare un certificato radice autofirmato denominato `mtls_ca_root_1.crt` dalla chiave privata che hai appena creato. Il certificato è valido per 25 anni (9130 giorni). Leggi le istruzioni a video e segui i prompt.
```
$ openssl req -new -x509 -days 9130 -key mtls_ca_root_1.key -out mtls_ca_root_1.crt
Enter pass phrase for mtls_ca_root_1.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```
### Registra il trust anchor sull'HSM
Dopo aver creato un certificato radice autofirmato, l'amministratore deve registrarlo come riferimento di fiducia presso il cluster. AWS CloudHSM
**Per registrare un trust anchor con l'HSM**
1. Utilizza il seguente comando per avviare la CLI di CloudHSM:
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. Utilizzando la CLI di CloudHSM, esegui l'accesso come amministratore.
```
aws-cloudhsm > login --username --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "",
"role": "admin"
}
}
```
1. Usa il ** [Registra un trust anchor con la CLI di CloudhSM](cloudhsm_cli-cluster-mtls-register-trust-anchor.md) ** comando per registrare il trust anchor. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando **help cluster mtls register-trust-anchor**.
**Example — Registra un trust anchor con cluster AWS CloudHSM**
L'esempio seguente mostra come utilizzare il **cluster mtls register-trust-anchor** comando nella CLI di CloudHSM per registrare un trust anchor sull'HSM. Per utilizzare questo comando, l'amministratore deve aver eseguito l'accesso all'HSM. Sostituire questi valori con i propri valori:
```
aws-cloudhsm > cluster mtls register-trust-anchor --path
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
AWS CloudHSM supporta la registrazione di certificati intermedi come trust anchor. In questi casi, l'intero file della catena di certificati con codifica PEM deve essere registrato nell'HSM, con i certificati in ordine gerarchico.
AWS CloudHSM supporta una catena di certificati di 6980 byte.
Dopo aver registrato con successo il trust anchor, puoi eseguire il **cluster mtls list-trust-anchors** comando per controllare gli attuali trust anchor registrati, come mostrato di seguito:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
Il numero massimo di trust anchors che è possibile registrare su hsm2m.medium è due (2).
## Passaggio 2. Abilita MTL per AWS CloudHSM
Per abilitare gli MTL per AWS CloudHSM, è necessario creare una chiave privata e un certificato client firmato dal certificato radice che abbiamo generato in [Create and register a trust anchor sull'HSM, quindi utilizzare uno](#setup-mtls-create-and-register-trust-anchor) qualsiasi degli strumenti di configurazione di Client SDK 5 per configurare il percorso della chiave privata e il percorso della catena di certificati client.
**Topics**
+ [Crea una chiave privata e una catena di certificati client](#create-client-ssl)
+ [Configura MTL per Client SDK 5](#enable-ssl-5)
### Crea una chiave privata e una catena di certificati client
**Example - Creazione di una chiave privata con OpenSSL**
Utilizzate il seguente comando per creare una chiave RSA a 4096 bit. Per utilizzare questo esempio, sostituitelo ** con il nome del file in cui desiderate memorizzare la chiave.
```
$ openssl genrsa -out 4096
Generating RSA private key, 4096 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
```
**Example — Generazione di una richiesta di firma del certificato (CSR) con OpenSSL**
Usa il seguente comando per generare una richiesta di firma del certificato (CSR) dalla chiave privata che hai appena creato. Leggi le istruzioni a video e segui i prompt.
```
$ openssl req -new -key -out
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```
**Example — Firma la CSR con il certificato principale**
Utilizzate il seguente comando per firmare la CSR con il certificato root che abbiamo creato e registrato in [Create e registrate un trust anchor sull'HSM](#setup-mtls-create-and-register-trust-anchor) e create un certificato client denominato. `ssl-client.crt` Il certificato è valido per 5 anni (1826 giorni).
```
$ openssl x509 -req -days 1826 -in -CA -CAkey -CAcreateserial -out
```
**Example — Creare una catena di certificati client**
Utilizzate il seguente comando per combinare il certificato client e il certificato radice che abbiamo creato e registrato in Create [and register a trust anchor sull'HSM](#setup-mtls-create-and-register-trust-anchor) e creare una catena di certificati client denominata`ssl-client.pem`, che verrà utilizzata per la configurazione nel passaggio successivo.
```
$ cat >
```
Se hai registrato certificati intermedi in [Create e hai registrato un trust anchor sull'HSM](#setup-mtls-create-and-register-trust-anchor) come trust anchor, assicurati di combinare il certificato client con l'intera catena di certificati per creare una catena di certificati client.
### Configura MTL per Client SDK 5
Utilizza uno qualsiasi degli strumenti di configurazione di Client SDK 5 per abilitare il TLS reciproco fornendo il percorso chiave del client e il percorso della catena di certificati client corretti. Per ulteriori informazioni sullo strumento di configurazione per Client SDK 5, consulta. [AWS CloudHSM Strumento di configurazione di Client SDK 5](configure-sdk-5.md)
------
#### [ PKCS \$111 library ]
**Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS Client-HSM con Client SDK 5 su Linux**
1. Copia la chiave e il certificato nella directory appropriata.
```
$ sudo cp ssl-client.pem
$ sudo cp ssl-client.key
```
1. Utilizza lo strumento di configurazione per specificare `ssl-client.pem` e `ssl-client.key`.
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS Client-HSM con Client SDK 5 su Windows**
1. Copia la chiave e il certificato nella directory appropriata.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Con un PowerShell interprete, usa lo strumento di configurazione per specificare e. `ssl-client.pem` `ssl-client.key`
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
------
#### [ OpenSSL Dynamic Engine ]
**Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS Client-HSM con Client SDK 5 su Linux**
1. Copia la chiave e il certificato nella directory appropriata.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. Utilizza lo strumento di configurazione per specificare `ssl-client.pem` e `ssl-client.key`.
```
$ sudo /opt/cloudhsm/bin/configure-dyn \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
------
#### [ Key Storage Provider (KSP) ]
**Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS Client-HSM con Client SDK 5 su Windows**
1. Copia la chiave e il certificato nella directory appropriata.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Con un PowerShell interprete, usa lo strumento di configurazione per specificare e. `ssl-client.pem` `ssl-client.key`
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
------
#### [ JCE provider ]
**Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS Client-HSM con Client SDK 5 su Linux**
1. Copia la chiave e il certificato nella directory appropriata.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. Utilizza lo strumento di configurazione per specificare `ssl-client.pem` e `ssl-client.key`.
```
$ sudo /opt/cloudhsm/bin/configure-jce \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS Client-HSM con Client SDK 5 su Windows**
1. Copia la chiave e il certificato nella directory appropriata.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Con un PowerShell interprete, usa lo strumento di configurazione per specificare e. `ssl-client.pem` `ssl-client.key`
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
------
#### [ CloudHSM CLI ]
**Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS Client-HSM con Client SDK 5 su Linux**
1. Copia la chiave e il certificato nella directory appropriata.
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. Utilizza lo strumento di configurazione per specificare `ssl-client.pem` e `ssl-client.key`.
```
$ sudo /opt/cloudhsm/bin/configure-cli \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**Per utilizzare un certificato e una chiave personalizzati per l'autenticazione reciproca TLS Client-HSM con Client SDK 5 su Windows**
1. Copia la chiave e il certificato nella directory appropriata.
```
cp ssl-client.pem
cp ssl-client.key
```
1. Con un PowerShell interprete, usa lo strumento di configurazione per specificare e. `ssl-client.pem` `ssl-client.key`
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
------
## Fase 3. Imposta l'applicazione MTLS per AWS CloudHSM
Dopo la configurazione con uno qualsiasi degli strumenti di configurazione di Client SDK 5, la connessione tra client e TLS AWS CloudHSM avverrà nel cluster. Tuttavia, la rimozione del percorso della chiave privata e del percorso della catena di certificati client dal file di configurazione trasformerà nuovamente la connessione in un normale TLS. Puoi utilizzare la CLI di CloudHSM per impostare l'applicazione mtls nel cluster completando i seguenti passaggi:
1. Utilizza il seguente comando per avviare la CLI di CloudHSM:
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. Utilizzando la CLI di CloudHSM, esegui l'accesso come amministratore.
```
aws-cloudhsm > login --username --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "",
"role": "admin"
}
}
```
**Nota**
1. Assicurati di aver configurato la CLI di CloudHSM e di avviare la CLI di CloudHSM con una connessione mTLS.
2. **È necessario accedere come utente amministratore predefinito con nome utente come amministratore prima di impostare l'applicazione di mTLS.**
1. Utilizzate il ** [Imposta il livello di applicazione dell'MTLS con la CLI di CloudhSM](cloudhsm_cli-cluster-mtls-set-enforcement.md) ** comando per impostare l'applicazione. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando **help cluster mtls set-enforcement**.
**Example — Imposta l'applicazione dell'MTLS con cluster AWS CloudHSM**
L'esempio seguente mostra come utilizzare il **cluster mtls set-enforcement** comando nella CLI di CloudHSM per impostare l'applicazione mTLS con l'HSM. Per utilizzare questo comando, l'amministratore con nome utente come amministratore deve accedere all'HSM.
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
**avvertimento**
Dopo aver imposto l'utilizzo di MTLS nel cluster, tutte le connessioni non MTLS esistenti verranno interrotte e sarà possibile connettersi al cluster solo con certificati MTLS.
# Crea e usa le chiavi in AWS CloudHSM
[Prima di poter creare e utilizzare le chiavi nel tuo nuovo cluster, crea un utente del modulo di sicurezza hardware (HSM) con la CLI di AWS CloudHSM. Per ulteriori informazioni, [consulta Understanding HSM User Management Tasks, Getting started with AWS CloudHSM](understand-users.md)[Command Line Interface (CLI) e Come gestire gli utenti HSM](cloudhsm_cli-getting-started.md).](manage-hsm-users.md)
**Nota**
Se si utilizza il Client SDK 3, utilizza [CloudHSM Management Utility (CMU)](cloudhsm_mgmt_util.md) anziché la CLI del CloudHSM.
Dopo aver creato gli utenti HSM, puoi accedere all'HSM e gestire le chiavi utilizzando una di queste opzioni:
+ Usa l'[utility di gestione delle chiavi, uno strumento da riga di comando](key_mgmt_util-getting-started.md)
+ Crea un'applicazione C usando la [libreria PKCS \$111](pkcs11-library.md)
+ Crea un'applicazione Java utilizzando il [provider JCE](java-library.md)
+ Usa [OpenSSL Dynamic Engine direttamente dalla riga di comando](openssl-library.md)
+ Usa OpenSSL Dynamic Engine per l'offload TLS con [i server web NGINX e Apache](ssl-offload.md)
+ Utilizza il Key Storage Provider (KSP) per AWS CloudHSM [Microsoft Windows Server Certificate Authority (CA)](win-ca-overview-sdk5.md)
+ Usa il Key Storage Provider (KSP) per AWS CloudHSM con [Microsoft Sign](signtool-sdk5.md) Tool
+ Utilizza il Key Storage Provider (KSP) per l'offload TLS con il server [Web Internet Information Server (](ssl-offload.md)IIS)