Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Imposta l'autenticazione del quorum per AWS CloudHSM i funzionari crittografici
I seguenti argomenti descrivono i passaggi da completare per configurare il modulo di sicurezza hardware () in modo che i responsabili AWS CloudHSM crittografici (HSMCOs) possano utilizzare l'autenticazione quorum. È necessario eseguire questi passaggi solo una volta quando si configura per la prima volta l'autenticazione quorum per. COs Una volta completata questa procedura, consultare Gestione degli utenti con autenticazione del quorum abilitata per AWS CloudHSM Management Utility.
Argomenti
Prerequisiti
Per comprendere questo esempio, è bene avere familiarità con lo cloudhsm_mgmt_util (CMU) strumento da riga di comando. In questo esempio, il AWS CloudHSM cluster ne ha dueHSMs, ognuno con la stessa COs caratteristica, come illustrato nel seguente output del listUsers comando. Per ulteriori informazioni sulla creazione degli utenti, vedere HSMutenti.
aws-cloudhsm>listUsers
Users on server 0(10.0.2.14):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 NO 0 NO
4 CO officer2 NO 0 NO
5 CO officer3 NO 0 NO
6 CO officer4 NO 0 NO
7 CO officer5 NO 0 NO
Users on server 1(10.0.1.4):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 NO 0 NO
4 CO officer2 NO 0 NO
5 CO officer3 NO 0 NO
6 CO officer4 NO 0 NO
7 CO officer5 NO 0 NOFase 1: Creazione e registrazione di una chiave per la firma
Per utilizzare l'autenticazione del quorum, ogni CO deve eseguire tutti i seguenti passaggi:
Argomenti
Crea una RSA key pair
Esistono molti modi diversi per creare e proteggere una coppia di chiavi. Gli esempi seguenti mostrano come eseguire questa operazione con Open SSL
Esempio — Crea una chiave privata con Open SSL
L'esempio seguente mostra come utilizzare Open per creare una RSA chiave SSL a 2048 bit protetta da una passphrase. Per utilizzare questo esempio, sostituisci officer1.key con il nome del file in cui si desidera memorizzare la chiave.
$openssl genrsa -outofficer1.key-aes256 2048Generating RSA private key, 2048 bit long modulus .....................................+++ .+++ e is 65537 (0x10001) Enter pass phrase for officer1.key: Verifying - Enter pass phrase for officer1.key:
Successivamente, genera la chiave pubblica utilizzando la chiave privata appena creata.
Esempio — Crea una chiave pubblica con Open SSL
L'esempio seguente mostra come utilizzare Open SSL per creare una chiave pubblica dalla chiave privata appena creata.
$openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pubEnter pass phrase for officer1.key: writing RSA key
Creazione e firma di un token di registrazione
Crea un token e firmalo con la chiave privata appena generata nella fase precedente.
Esempio - Creazione di un token
Il token di registrazione è semplicemente un file con dati casuali che non supera la dimensione massima di 245 byte. Firma il token con la chiave privata per dimostrare di avere accesso alla chiave privata. Il comando seguente utilizza echo per reindirizzare una stringa in un file.
$echo"token to be signed">officer1.token
Firma il token e salvalo in un file di firma. Avrete bisogno del token firmato, del token non firmato e della chiave pubblica per registrare il CO come utente MoFN con. HSM
Esempio - Firma del token
Usa Open SSL e la chiave privata per firmare il token di registrazione e creare il file della firma.
$openssl dgst -sha256 \ -signofficer1.key\ -outofficer1.token.sigofficer1.token
Registra la chiave pubblica con HSM
Dopo aver creato una chiave, il CO deve registrare la parte pubblica della chiave (la chiave pubblica) conHSM.
Per registrare una chiave pubblica con HSM
-
Utilizzate il seguente comando per avviare cloudhsm_mgmt_util strumento da riga di comando.
$/opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg -
Usa il loginHSM comando per accedere HSM come CO. Per ulteriori informazioni, consulta Gestione degli utenti HSM con CloudHSM Management Utility (CMU).
-
Utilizza il comando registerQuorumPubKey per registrare una chiave pubblica. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando help registerQuorumPubKey.
Esempio — Registra una chiave pubblica con HSM
L'esempio seguente mostra come utilizzare il registerQuorumPubKey comando in cloudhsm_mgmt_util strumento da riga di comando per registrare la chiave pubblica di un CO conHSM. Per utilizzare questo comando, il CO deve essere connesso a. HSM Sostituire questi valori con i propri valori:
aws-cloudhsm>registerQuorumPubKey CO <officer1> <officer1.token> <officer1.token.sig> <officer1.pub>*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y registerQuorumPubKey success on server 0(10.0.2.14)
- <officer1.token>
-
Il percorso a un file che contiene un token di registrazione non firmato. Può contenere qualsiasi dato casuale con dimensioni massime del file pari a 245 byte.
Campo obbligatorio: sì
- <officer1.token.sig>
-
Il percorso di un file che contiene l'hash firmato SHA256 _ PKCS mechanism del token di registrazione.
Campo obbligatorio: sì
- <officer1.pub>
-
Il percorso del file che contiene la chiave pubblica di una coppia di chiavi asimmetrica RSA -2048. Utilizza la chiave privata per firmare il token di registrazione.
Campo obbligatorio: sì
Dopo aver COs registrato tutte le proprie chiavi pubbliche, l'output del listUsers comando lo mostra nella MofnPubKey colonna, come mostrato nell'esempio seguente.
aws-cloudhsm>listUsersUsers on server 0(10.0.2.14): Number of users found:7 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO officer1 YES 0 NO 4 CO officer2 YES 0 NO 5 CO officer3 YES 0 NO 6 CO officer4 YES 0 NO 7 CO officer5 YES 0 NO Users on server 1(10.0.1.4): Number of users found:7 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO 3 CO officer1 YES 0 NO 4 CO officer2 YES 0 NO 5 CO officer3 YES 0 NO 6 CO officer4 YES 0 NO 7 CO officer5 YES 0 NO
Fase 2: Imposta il valore minimo del quorum su HSM
Per utilizzare l'autenticazione del quorum perCOs, un CO deve accedere a HSM e quindi impostare il valore minimo del quorum, noto anche come valore m. Questo è il numero minimo di approvazioni CO necessarie per eseguire le operazioni di gestione degli utenti. HSM Qualsiasi CO presente su HSM può impostare il valore minimo del quorum, comprese quelle COs che non hanno registrato una chiave per la firma. È possibile modificare il valore minimo del quorum in qualsiasi momento; per ulteriori informazioni, consultare Modifica del valore minimo.
Per impostare il valore minimo del quorum su HSM
-
Utilizzate il seguente comando per avviare cloudhsm_mgmt_util strumento da riga di comando.
$/opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg -
Usa il loginHSM comando per accedere HSM come CO. Per ulteriori informazioni, consulta Gestione degli utenti HSM con CloudHSM Management Utility (CMU).
-
Utilizzare il comando setMValue per impostare il valore minimo del quorum. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando help setMValue.
Esempio — Imposta il valore minimo del quorum su HSM
Questo esempio utilizza un valore minimo del quorum pari a due. È possibile scegliere qualsiasi valore da due (2) a otto (8), fino al numero totale diCOs. HSM In questo esempio, HSM ne ha seiCOs, quindi il valore massimo possibile è sei.
Per utilizzare il comando di esempio seguente, sostituite il numero finale (2) con il valore minimo del quorum preferito.
aws-cloudhsm>setMValue 32*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?ySetting M Value(2) for 3 on 2 nodes
Nell'esempio precedente, il primo numero (3) identifica il HSMservizio di cui si sta impostando il valore minimo del quorum.
La tabella seguente elenca gli identificatori del HSM servizio con i relativi nomi, descrizioni e comandi inclusi nel servizio.
| Identificatori servizio | Nome del servizio | Descrizione del servizio | HSMComandi |
|---|---|---|---|
| 3 | USER_MGMT |
HSMgestione degli utenti |
|
| 4 | MISC_CO |
Servizio per CO vario |
|
Per ottenere il valore minimo del quorum per un servizio, utilizzare il comando getMValue, come nell'esempio seguente.
aws-cloudhsm>getMValue 3MValue of service 3[USER_MGMT] on server 0 : [2] MValue of service 3[USER_MGMT] on server 1 : [2]
L'output del getMValue comando precedente mostra che il valore minimo del quorum per le operazioni di gestione HSM degli utenti (servizio 3) è ora due.
Una volta completata questa procedura, consultare Gestione degli utenti con autenticazione del quorum abilitata per AWS CloudHSM Management Utility.
