Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Inizializza il cluster in AWS CloudHSM

PDF
RSS
Modalità Focus
Inizializza il cluster in AWS CloudHSM - AWS CloudHSM
Fase 1: Ottenere la CSR del clusterFase 2: Firma la CSRFase 3. Inizializzazione del cluster

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dopo aver creato il cluster e aggiunto il modulo di sicurezza hardware (HSM) AWS CloudHSM, è possibile inizializzare il cluster. Completa le fasi descritte negli argomenti seguenti per inizializzare il cluster .

Nota

Prima di inizializzare il cluster, esamina il processo mediante il quale è possibile verificare l'identità e l'autenticità del. HSMs Questa procedura è facoltativa e puoi seguirla solo finché non inizializzi il cluster. Dopo l'inizializzazione del cluster, non è possibile utilizzare questo processo per ottenere i certificati o verificare il. HSMs

Fase 1: Ottenere la CSR del cluster

Prima di inizializzare il cluster, occorre scaricare e firmare una richiesta di firma del certificato (CSR) generata dal primo HSM del cluster. Se hai seguito le fasi per verificare l'identità dell'HSM del cluster, disponi già della CSR e puoi quindi firmarla. Altrimenti, ottieni subito la CSR utilizzando la AWS CloudHSM console, il AWS Command Line Interface (AWS CLI) o l' AWS CloudHSM API.

Importante

Per inizializzare il cluster, l'ancora di fiducia deve essere conforme alla RFC 5280 e soddisfare i seguenti requisiti:

  • Se si utilizzano estensioni X509v3, deve essere presente l'estensione X509v3 Basic Constraints.

  • L'ancora di fiducia deve essere un certificato autofirmato.

  • I valori delle estensioni non devono essere in conflitto tra loro.

Console
Per ottenere la CSR (console)

  1. Apri la AWS CloudHSM console a https://console.aws.amazon.com/cloudhsm/casa.

  2. Seleziona il pulsante di opzione accanto all'ID del cluster con l'HSM che desideri verificare.

  3. Seleziona Azioni. Dal menu a tendina, scegli Inizializza.

  4. Se non hai completato il passaggio precedente per creare un HSM, scegli una zona di disponibilità (AZ) per l'HSM che stai creando. Quindi seleziona Crea.

  5. Quando la CSR è pronta, verrà visualizzato un collegamento per scaricarla.

    Scarica la pagina di richiesta di firma del certificato nella AWS CloudHSM console.

  6. Sceglie CSR del cluster per scaricare e salvare la CSR.

AWS CLI
Per ottenere la CSR (AWS CLI)

  • Al prompt dei comandi, esegui il seguente comando describe-clusters, che estrae la CSR e la salva in un file. Sostituisci <cluster ID> con l'ID del cluster creato in precedenza. 

    $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr
AWS CloudHSM API
Per ottenere la CSR (AWS CloudHSM API)

  1. Inviare una richiesta DescribeClusters.

  2. Estrai e salva la CSR dalla risposta.

anchoranchoranchor
Per ottenere la CSR (console)

  1. Apri la AWS CloudHSM console a https://console.aws.amazon.com/cloudhsm/casa.

  2. Seleziona il pulsante di opzione accanto all'ID del cluster con l'HSM che desideri verificare.

  3. Seleziona Azioni. Dal menu a tendina, scegli Inizializza.

  4. Se non hai completato il passaggio precedente per creare un HSM, scegli una zona di disponibilità (AZ) per l'HSM che stai creando. Quindi seleziona Crea.

  5. Quando la CSR è pronta, verrà visualizzato un collegamento per scaricarla.

    Scarica la pagina di richiesta di firma del certificato nella AWS CloudHSM console.

  6. Sceglie CSR del cluster per scaricare e salvare la CSR.

Fase 2: Firma la CSR

Al momento, per firmare la CSR per il cluster, devi creare un certificato di firma autofirmato e utilizzarlo. Non ne hai bisogno AWS CLI per questo passaggio e non è necessario che la shell sia associata al tuo AWS account. Per firmare la CSR, completa le attività seguenti:

  1. Completa la sezione precedente (vediFase 1: Ottenere la CSR del cluster).

  2. Crea una chiave privata.

  3. Utilizza la chiave privata per creare un certificato di firma.

  4. Firma la CSR del cluster.

Crea una chiave privata

Nota

Per i cluster di produzione, la chiave deve essere creata in modo sicuro tramite una fonte attendibile di casualità. Ti consigliamo di utilizzare un HSM offline e fuori sede protetto o un equivalente. Archivia la chiave in modo sicuro. La chiave stabilisce l'identità del cluster e il controllo esclusivo dell'utente su HSMs ciò che contiene.

Durante le fasi di sviluppo e di testing, puoi utilizzare qualsiasi strumento adatto (come OpenSSL) per creare e firmare il certificato del cluster. Nell'esempio seguente viene illustrato come creare una chiave. Dopo aver creato un certificato autofirmato usando la chiave (vedi sotto), archivialo in modo sicuro. Per accedere all' AWS CloudHSM istanza, è necessario che il certificato sia presente, ma la chiave privata no.

Utilizza il comando seguente per creare una chiave privata. Quando si inizializza un AWS CloudHSM cluster, è necessario utilizzare il certificato RSA 2048 o il certificato RSA 4096.

$ openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerCA.key:
Verifying - Enter pass phrase for customerCA.key:

Utilizza la chiave privata per creare un certificato autofirmato

L'hardware attendibile che usi per creare la chiave privata per il cluster di produzione deve fornire inoltre uno strumento software per la generazione di un certificato autofirmato tramite tale chiave. Nell'esempio seguente vengono utilizzati OpenSSL e la chiave privata creata nella fase precedente per creare un certificato di firma. Il certificato è valido per 10 anni (3652 giorni). Leggi le istruzioni a video e segui i prompt. 

$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Questo comando crea un file di certificato denominato customerCA.crt. Inserisci questo certificato su ogni host da cui ti connetterai al tuo cluster. AWS CloudHSM Se dai un nome diverso al file o se lo archivi in un percorso diverso dalla radice dell'host, devi modificare il file di configurazione del client di conseguenza. Utilizza il certificato e la chiave privata appena creati per firmare la richiesta di firma del certificato (CSR) del cluster nella fase successiva.

Firma della CSR del cluster

L'hardware attendibile che hai utilizzato per creare la chiave privata per il cluster di produzione deve fornire inoltre uno strumento software per la firma della CSR tramite tale chiave. Nell'esempio seguente viene utilizzato OpenSSL per la firma della CSR del cluster. Nell'esempio vengono utilizzati la chiave privata e il certificato autofirmato creati nella fase precedente. 

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
                              -CA customerCA.crt \
                              -CAkey customerCA.key \
                              -CAcreateserial \
                              -out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for customerCA.key:

Questo comando crea un file denominato <cluster ID>_CustomerHsmCertificate.crt. Utilizzalo come certificato firmato durante l'inizializzazione del cluster.

Fase 3. Inizializzazione del cluster

Utilizza il certificato firmato dell'HSM e il certificato di firma per inizializzare il cluster. Puoi usare la AWS CloudHSM console AWS CLI, l'o l' AWS CloudHSM API.

Console
Per inizializzare un cluster (console)

  1. Apri la AWS CloudHSM console a https://console.aws.amazon.com/cloudhsm/casa.

  2. Seleziona il pulsante di opzione accanto all'ID del cluster con l'HSM che desideri verificare.

  3. Seleziona Azioni. Dal menu a tendina, scegli Inizializza.

  4. Se non hai completato il passaggio precedente per creare un HSM, scegli una zona di disponibilità (AZ) per l'HSM che stai creando. Quindi seleziona Crea.

  5. Nella pagina Scarica richiesta di firma del certificato, scegli Successivo. Se l'opzione Successivo non è disponibile, scegli innanzitutto uno dei collegamenti alla CSR o al certificato. Quindi scegli Successivo.

  6. Nella pagina Firma richiesta di firma del certificato (CSR), scegli Successivo.

  7. Nella pagina Carica certificati, procedi come segue:

    1. Accanto a Certificato cluster, scegli Carica file. Quindi, individua e seleziona il certificato dell'HSM firmato in precedenza. Se sono state effettuate le fasi riportate nella sezione precedente, seleziona il file denominato <cluster ID>_CustomerHsmCertificate.crt.

    2. Accanto a Certificazione, scegli Carica file. Quindi, seleziona il certificato di firma. Se sono state effettuate le fasi riportate nella sezione precedente, seleziona il file denominato customerCA.crt.

    3. Scegli Carica e inizializza.

AWS CLI
Per inizializzare un cluster (AWS CLI)

  • Al prompt dei comandi, esegui il comando initialize-cluster. Specifica quanto segue:

    • L'ID del cluster creato in precedenza.

    • Il certificato dell'HSM che hai firmato in precedenza. Se sono state effettuate le fasi riportate nella sezione precedente, quest'ultimo è salvato in un file denominato <cluster ID>_CustomerHsmCertificate.crt.

    • Il certificato di firma. Se sono state effettuate le fasi riportate nella sezione precedente, il certificato di firma è salvato in un file denominato customerCA.crt.

    $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                    --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                    --trust-anchor file://customerCA.crt
{
    "State": "INITIALIZE_IN_PROGRESS",
    "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
}
AWS CloudHSM API
Per inizializzare un cluster (AWS CloudHSM API)

  • Inviare una richiesta InitializeCluster con gli elementi seguenti:

    • L'ID del cluster creato in precedenza.

    • Il certificato dell'HSM che hai firmato in precedenza.

    • Il certificato di firma.

anchoranchoranchor
Per inizializzare un cluster (console)

  1. Apri la AWS CloudHSM console a https://console.aws.amazon.com/cloudhsm/casa.

  2. Seleziona il pulsante di opzione accanto all'ID del cluster con l'HSM che desideri verificare.

  3. Seleziona Azioni. Dal menu a tendina, scegli Inizializza.

  4. Se non hai completato il passaggio precedente per creare un HSM, scegli una zona di disponibilità (AZ) per l'HSM che stai creando. Quindi seleziona Crea.

  5. Nella pagina Scarica richiesta di firma del certificato, scegli Successivo. Se l'opzione Successivo non è disponibile, scegli innanzitutto uno dei collegamenti alla CSR o al certificato. Quindi scegli Successivo.

  6. Nella pagina Firma richiesta di firma del certificato (CSR), scegli Successivo.

  7. Nella pagina Carica certificati, procedi come segue:

    1. Accanto a Certificato cluster, scegli Carica file. Quindi, individua e seleziona il certificato dell'HSM firmato in precedenza. Se sono state effettuate le fasi riportate nella sezione precedente, seleziona il file denominato <cluster ID>_CustomerHsmCertificate.crt.

    2. Accanto a Certificazione, scegli Carica file. Quindi, seleziona il certificato di firma. Se sono state effettuate le fasi riportate nella sezione precedente, seleziona il file denominato customerCA.crt.

    3. Scegli Carica e inizializza.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.