Inizializza il cluster in AWS CloudHSM - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Inizializza il cluster in AWS CloudHSM

Dopo aver creato il cluster e aggiunto il modulo di sicurezza hardware (HSM) AWS CloudHSM, è possibile inizializzare il cluster. Completa le fasi descritte negli argomenti seguenti per inizializzare il cluster .

Nota

Prima di inizializzare il cluster, esamina il processo mediante il quale è possibile verificare l'identità e l'autenticità del. HSMs Questa procedura è facoltativa e puoi seguirla solo finché non inizializzi il cluster. Dopo l'inizializzazione del cluster, non è possibile utilizzare questo processo per ottenere i certificati o verificare il. HSMs

Fase 1: Ottieni il cluster CSR

Prima di poter inizializzare il cluster, è necessario scaricare e firmare una richiesta di firma del certificato (CSR) generata dalla prima HSM richiesta del cluster. Se hai seguito la procedura per verificare l'identità del clusterHSM, la possiedi già CSR e puoi firmarla. Altrimenti, accedi CSR subito usando la AWS CloudHSM console, il AWS Command Line Interface (AWS CLI) o il AWS CloudHSM API.

Importante

Per inizializzare il cluster, il trust anchor deve essere conforme alla norma RFC5280 e soddisfare i seguenti requisiti:

  • Se si utilizzano estensioni X509v3, deve essere presente l'estensione X509v3 Basic Constraints.

  • L'ancora di fiducia deve essere un certificato autofirmato.

  • I valori delle estensioni non devono essere in conflitto tra loro.

Console
Per ottenere la (consoleCSR)
  1. Apri la AWS CloudHSM console a https://console.aws.amazon.com/cloudhsm/casa.

  2. Seleziona il pulsante di opzione accanto all'ID del cluster con l'ID che HSM desideri verificare.

  3. Seleziona Azioni. Dal menu a tendina, scegli Inizializza.

  4. Se non hai completato il passaggio precedente per creare unaHSM, scegli una zona di disponibilità (AZ) per HSM quella che stai creando. Quindi seleziona Crea.

  5. Quando CSR è pronto, viene visualizzato un link per scaricarlo.

    Scarica la pagina di richiesta di firma del certificato nella AWS CloudHSM console.
  6. Scegli Cluster CSR per scaricare e salvare ilCSR.

AWS CLI
Per ottenere il CSR (AWS CLI)
  • Al prompt dei comandi, esegui il describe-clusters comando seguente, che estrae CSR e salva in un file. Replace (Sostituisci) <cluster ID> con l'ID del cluster creato in precedenza.

    $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \ --output text \ --query 'Clusters[].Certificates.ClusterCsr' \ > <cluster ID>_ClusterCsr.csr
AWS CloudHSM API
Per ottenere il CSR (AWS CloudHSM API)
  1. Inviare una richiesta DescribeClusters.

  2. Estrai e salva il CSR file dalla risposta.

Fase 2: Firma il CSR

Attualmente, è necessario creare un certificato autofirmato e utilizzarlo per firmare il certificato CSR per il cluster. Non ne hai bisogno AWS CLI per questo passaggio e non è necessario che la shell sia associata al tuo AWS account. Per firmare ilCSR, devi fare quanto segue:

  1. Completa la sezione precedente (vediFase 1: Ottieni il cluster CSR).

  2. Crea una chiave privata.

  3. Utilizza la chiave privata per creare un certificato di firma.

  4. Firma il tuo clusterCSR.

Crea una chiave privata

Nota

Per i cluster di produzione, la chiave deve essere creata in modo sicuro tramite una fonte attendibile di casualità. Ti consigliamo di utilizzare un sito sicuro fuori sede e offline HSM o qualcosa di equivalente. Archivia la chiave in modo sicuro. La chiave stabilisce l'identità del cluster e il controllo esclusivo dell'utente su ciò che contiene. HSMs

Per lo sviluppo e il test, puoi utilizzare qualsiasi strumento utile (come OpenSSL) per creare e firmare il certificato del cluster. Nell'esempio seguente viene illustrato come creare una chiave. Dopo aver creato un certificato autofirmato usando la chiave (vedi sotto), archivialo in modo sicuro. Per accedere all' AWS CloudHSM istanza, è necessario che il certificato sia presente, ma la chiave privata no.

Utilizza il comando seguente per creare una chiave privata. Quando si inizializza un AWS CloudHSM cluster, è necessario utilizzare il certificato RSA 2048 o il RSA certificato 4096.

$ openssl genrsa -aes256 -out customerCA.key 2048 Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) Enter pass phrase for customerCA.key: Verifying - Enter pass phrase for customerCA.key:

Utilizza la chiave privata per creare un certificato autofirmato

L'hardware attendibile che usi per creare la chiave privata per il cluster di produzione deve fornire inoltre uno strumento software per la generazione di un certificato autofirmato tramite tale chiave. L'esempio seguente utilizza Open SSL e la chiave privata creata nel passaggio precedente per creare un certificato di firma. Il certificato è valido per 10 anni (3652 giorni). Leggi le istruzioni a video e segui i prompt.

$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt Enter pass phrase for customerCA.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []:

Questo comando crea un file di certificato denominato customerCA.crt. Inserisci questo certificato su ogni host da cui ti connetterai al tuo AWS CloudHSM cluster. Se dai un nome diverso al file o se lo archivi in un percorso diverso dalla radice dell'host, devi modificare il file di configurazione del client di conseguenza. Usa il certificato e la chiave privata che hai appena creato per firmare la richiesta di firma del certificato del cluster (CSR) nel passaggio successivo.

Firma il cluster CSR

L'hardware affidabile utilizzato per creare la chiave privata per il cluster di produzione dovrebbe inoltre fornire uno strumento per firmare l'CSRutilizzo di tale chiave. L'esempio seguente utilizza Open SSL per firmare i dati del clusterCSR. Nell'esempio vengono utilizzati la chiave privata e il certificato autofirmato creati nella fase precedente.

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out <cluster ID>_CustomerHsmCertificate.crt Signature ok subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifer>:PARTN:<partition number>, for FIPS mode Getting CA Private Key Enter pass phrase for customerCA.key:

Questo comando crea un file denominato <cluster ID>_CustomerHsmCertificate.crt. Utilizzalo come certificato firmato durante l'inizializzazione del cluster.

Fase 3. Inizializzazione del cluster

Utilizza il HSM certificato firmato e il certificato di firma per inizializzare il cluster. È possibile utilizzare la AWS CloudHSM console, il AWS CLI, o il AWS CloudHSM API.

Console
Per inizializzare un cluster (console)
  1. Apri la AWS CloudHSM console a https://console.aws.amazon.com/cloudhsm/casa.

  2. Seleziona il pulsante di opzione accanto all'ID del cluster con l'ID che HSM desideri verificare.

  3. Seleziona Azioni. Dal menu a tendina, scegli Inizializza.

  4. Se non hai completato il passaggio precedente per creare unaHSM, scegli una zona di disponibilità (AZ) per HSM quella che stai creando. Quindi seleziona Crea.

  5. Nella pagina Scarica richiesta di firma del certificato, scegli Successivo. Se Next non è disponibile, scegli innanzitutto uno dei link CSR o dei certificati. Quindi scegli Successivo.

  6. Nella pagina Firma della richiesta di firma del certificato (CSR), scegli Avanti.

  7. Nella pagina Carica certificati, procedi come segue:

    1. Accanto a Certificato cluster, scegli Carica file. Quindi individua e seleziona il HSM certificato che hai firmato in precedenza. Se sono state effettuate le fasi riportate nella sezione precedente, seleziona il file denominato <cluster ID>_CustomerHsmCertificate.crt.

    2. Accanto a Certificazione, scegli Carica file. Quindi, seleziona il certificato di firma. Se sono state effettuate le fasi riportate nella sezione precedente, seleziona il file denominato customerCA.crt.

    3. Scegli Carica e inizializza.

AWS CLI
Per inizializzare un cluster (AWS CLI)
  • Al prompt dei comandi, esegui il comando initialize-cluster. Specifica quanto segue:

    • L'ID del cluster creato in precedenza.

    • Il HSM certificato che hai firmato in precedenza. Se sono state effettuate le fasi riportate nella sezione precedente, quest'ultimo è salvato in un file denominato <cluster ID>_CustomerHsmCertificate.crt.

    • Il certificato di firma. Se sono state effettuate le fasi riportate nella sezione precedente, il certificato di firma è salvato in un file denominato customerCA.crt.

    $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \ --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \ --trust-anchor file://customerCA.crt { "State": "INITIALIZE_IN_PROGRESS", "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion." }
AWS CloudHSM API
Per inizializzare un cluster (AWS CloudHSM API)
  • Inviare una richiesta InitializeCluster con gli elementi seguenti:

    • L'ID del cluster creato in precedenza.

    • Il HSM certificato che hai firmato in precedenza.

    • Il certificato di firma.