Fase 1: configurazione dei prerequisiti - AWS CloudHSM
Prerequisiti per Client SDK 5Prerequisiti per Client SDK 3

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 1: configurazione dei prerequisiti

Piattaforme diverse richiedono prerequisiti diversi. Utilizza la sezione sui prerequisiti riportata di seguito corrispondente alla tua piattaforma.

Prerequisiti per Client SDK 5

Per configurare l'offload SSL/TLS per il server Web con Client SDK 5 è necessario quanto segue:

  • Un cluster AWS CloudHSM attivo con almeno due moduli di sicurezza hardware (HSM)

    Nota

    È possibile utilizzare un singolo cluster HSM, ma bisogna prima disabilitare la durabilità delle chiavi del client. Per ulteriori informazioni, consulta la pagina sulla gestione delle impostazioni di durabilità delle chiavi del client e la pagina sullo strumento di configurazione di Client SDK 5.

  • Un'istanza Amazon EC2 che esegue un sistema operativo Linux con il seguente software installato:

    • Un server Web (NGINX o Apache)

    • OpenSSL Dynamic Engine per Client SDK 5

  • Un utente di crittografia (CU) che sia proprietario e che gestisca la chiave privata del server Web sull'HSM.

Per configurare un'istanza del server Web Linux e creare un CU sull'HSM

  1. Installa e configura OpenSSL Dynamic Engine per AWS CloudHSM. Per ulteriori informazioni sull'installazione di OpenSSL Dynamic Engine, consulta la pagina OpenSSL Dynamic Engine per Client SDK 5.

  2. Su un'istanza Linux EC2 che ha accesso al tuo cluster, installa il server Web NGINX o Apache:

    Amazon Linux

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2

    • Per le informazioni su come scaricare l'ultima versione di NGINX su Amazon Linux 2, consulta il sito Web di NGINX.

      L'ultima versione di NGINX disponibile per Amazon Linux 2 utilizza una versione di OpenSSL più recente rispetto alla versione di sistema di OpenSSL. Dopo aver installato NGINX, è necessario creare un collegamento simbolico dalla libreria AWS CloudHSM OpenSSL Dynamic Engine alla posizione prevista da questa versione di OpenSSL 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7

    • Per le informazioni su come scaricare l'ultima versione di NGINX su CentOS 7, consulta il sito Web di NGINX.

      L'ultima versione di NGINX disponibile per CentOS 7 utilizza una versione di OpenSSL più recente rispetto alla versione di sistema di OpenSSL. Dopo aver installato NGINX, è necessario creare un collegamento simbolico dalla libreria AWS CloudHSM OpenSSL Dynamic Engine alla posizione prevista da questa versione di OpenSSL 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7

    • Per le informazioni su come scaricare l'ultima versione di NGINX su Red Hat 7, consulta il sito Web di NGINX.

      L'ultima versione di NGINX disponibile per Red Hat 7 utilizza una versione di OpenSSL più recente rispetto alla versione di sistema di OpenSSL. Dopo aver installato NGINX, è necessario creare un collegamento simbolico dalla libreria AWS CloudHSM OpenSSL Dynamic Engine alla posizione prevista da questa versione di OpenSSL 

      $ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 8

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 8

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 18.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 20.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 22.04

    Il supporto per OpenSSL Dynamic Engine non è ancora disponibile.

  3. Utilizza la CLI di CloudHSM per creare un CU. Per ulteriori informazioni sulla gestione degli utenti HSM, consulta la pagina sulla gestione degli utenti HSM con la CLI di CloudHSM.

    Suggerimento

    Prendere nota del nome utente e della password del CU, perché saranno necessari più avanti per creare o importare il certificato e la chiava privata HTTPS per il server Web.

Dopo aver completato queste operazioni, andare su Fase 2: generazione o importazione di una chiave privata e certificato SSL/TLS.

Note

  • Per utilizzare SELinux (Security-Enhanced Linux) e i server Web, è necessario consentire le connessioni TCP in uscita sulla porta 2223, ovvero la porta utilizzata da Client SDK 5 per comunicare con l'HSM.

  • Per creare e attivare un cluster e consentire a un'istanza EC2 di accedervi, completa la procedura descritta nella pagina Nozioni di base su AWS CloudHSM. La guida offre istruzioni dettagliate per la creazione di un cluster attivo con un HSM e un'istanza client Amazon EC2. È possibile utilizzare questa istanza client come server Web.

  • Per evitare di disabilitare la durabilità delle chiavi del client, aggiungi più di un HSM al cluster. Per ulteriori informazioni, consulta Aggiunta di un modulo HSM.

  • È possibile utilizzare SSH o PuTTY per connettersi all'istanza del client. Per ulteriori informazioni, consulta le pagine Connessione all'istanza Linux tramite SSH o Connessione all'istanza Linux da Windows tramite PuTTY nella documentazione Amazon EC2.

Prerequisiti per Client SDK 3

Per configurare l'offload SSL/TLS per il server Web con Client SDK 3 è necessario quanto segue:

  • Un cluster AWS CloudHSM attivo con almeno un HSM.

  • Un'istanza Amazon EC2 che esegue un sistema operativo Linux con il seguente software installato:

    • Il client e gli strumenti a riga di comando AWS CloudHSM.

    • L'applicazione del server Web NGINX o Apache.

    • Il motore dinamico AWS CloudHSM per OpenSSL.

  • Un utente di crittografia (CU) che sia proprietario e che gestisca la chiave privata del server Web sull'HSM.

Per configurare un'istanza del server Web Linux e creare un CU sull'HSM

  1. Completa le fasi descritte in Nozioni di base. Sarà quindi disponibile un cluster attivo con un HSM e un'istanza client Amazon EC2. L'istanza EC2 sarà configurata con gli strumenti a riga di comando. Utilizzare questa istanza client come server Web.

  2. Effettuare la connessione all'istanza del client. Per ulteriori informazioni, consulta le pagine Connessione all'istanza Linux tramite SSH o Connessione all'istanza Linux da Windows tramite PuTTY nella documentazione Amazon EC2.

  3. Su un'istanza Linux EC2 che ha accesso al tuo cluster, installa il server Web NGINX o Apache:

    Amazon Linux

    • NGINX

      $ sudo yum install nginx

    • Apache

      $ sudo yum install httpd24 mod24_ssl
    Amazon Linux 2

    • La versione 1.19 di NGINX è l'ultima versione di NGINX compatibile con il motore di Client SDK 3 su Amazon Linux 2.

      Per ulteriori informazioni e per scaricare la versione 1.19 di NGINX, consulta il sito Web di NGINX.

    • Apache

      $ sudo yum install httpd mod_ssl
    CentOS 7

    • La versione 1.19 di NGINX è l'ultima versione di NGINX compatibile con il motore di Client SDK 3 su CentOS 7.

      Per ulteriori informazioni e per scaricare la versione 1.19 di NGINX, consulta il sito Web di NGINX.

    • Apache

      $ sudo yum install httpd mod_ssl
    Red Hat 7

    • La versione 1.19 di NGINX è l'ultima versione di NGINX compatibile con il motore di Client SDK 3 su Red Hat 7.

      Per ulteriori informazioni e per scaricare la versione 1.19 di NGINX, consulta il sito Web di NGINX.

    • Apache

      $ sudo yum install httpd mod_ssl
    Ubuntu 16.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2
    Ubuntu 18.04

    • NGINX

      $ sudo apt install nginx

    • Apache

      $ sudo apt install apache2

  4. (Facoltativo) Aggiungi altri HSM sul cluster. Per ulteriori informazioni, consulta Aggiunta di un modulo HSM.

  5. Utilizzare cloudhsm_mgmt_util per creare un CU. Per ulteriori informazioni, consulta Gestione degli utenti HSM. Prendere nota del nome utente e della password del CU, perché saranno necessari più avanti per creare o importare il certificato e la chiava privata HTTPS per il server Web.

Dopo aver completato queste operazioni, andare su Fase 2: generazione o importazione di una chiave privata e certificato SSL/TLS.