翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
新しい証明書とプライベートキーSSLを使用して再設定する (オプション)
AWS CloudHSM は証明書を使用して SSLへの接続を確立しますHSM。クライアントをインストールすると、デフォルトのキーとSSL証明書が含まれます。しかし、自分で作成して使用することはできます。クラスターの初期化customerCA.crt
時に作成した自己署名証明書 (プライベートキーを使用して、自己署名証明書を作成します。) が必要になります。
高レベルでは、これは 2 ステップのプロセスです。
-
まず、プライベートキーを作成し、そのキーを使用して証明書署名リクエスト () を作成しますCSR。発行証明書、クラスターの初期化時に作成した証明書を使用して、 に署名しますCSR。
-
次に構成ツールを使用して、キーと証明書を適切なディレクトリにコピーします。
キー、 を作成しCSR、 に署名する CSR
手順は、クライアント 3 またはクライアント SDK 5 SDK で同じです。
新しい証明書とプライベートキーSSLを使用して を再設定するには
-
次の OpenSSL コマンドを使用してプライベートキーを作成します。
openssl genrsa -out ssl-client.key 2048
Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001)
-
次の OpenSSL コマンドを使用して、証明書署名リクエスト () を作成しますCSR。ユーザーの証明書について一連の質問をされます。
openssl req -new -sha256 -key ssl-client.key -out ssl-client.csr
Enter pass phrase for ssl-client.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
-
クラスターを初期化したときに作成した
customerCA.crt
証明書CSRで に署名します。openssl x509 -req -days 3652 -in ssl-client.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out ssl-client.crt
Signature ok subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales Getting CA Private Key
SSL のカスタムを有効にする AWS CloudHSM
ステップは、クライアント 3 SDK とクライアント 5 SDK で異なります。configureコマンドラインツールを用いての作業のさらなる詳細については、設定ツール を参照してください。
クライアント 3 SDK SSLのカスタム
クライアント 3 SDK の設定ツールを使用して、カスタム を有効にしますSSL。クライアント 3 の設定ツールの詳細については、SDK「」を参照してくださいクライアント SDK 3 設定ツール。
Linux でクライアント SDK3 とのTLSクライアント/サーバー相互認証にカスタム証明書とキーを使用するには
-
キーと証明書を適切なディレクトリにコピーします。
sudo cp ssl-client.crt
/opt/cloudhsm/etc
sudo cp ssl-client.key/opt/cloudhsm/etc
-
設定ツールを使用して、
ssl-client.crt
とssl-client.key
を指定します。sudo /opt/cloudhsm/bin/configure --ssl \ --pkey
/opt/cloudhsm/etc/ssl-client.key
\ --cert/opt/cloudhsm/etc/ssl-client.crt
-
customerCA.crt
証明書を信頼ストアに追加します。証明書のサブジェクト名のハッシュを作成します。これにより、その名前で証明書を検索できるようにするインデックスが作成されます。openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1 1234abcd
ディレクトリを作成します。
mkdir /opt/cloudhsm/etc/certs
ハッシュ名の証明書を含むファイルを作成します。
sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0
クライアント 5 SDK SSLのカスタム
Client 5 SDK の設定ツールを使用して、カスタム を有効にしますSSL。クライアント 5 の設定ツールの詳細については、SDK「」を参照してくださいクライアント SDK 5 設定ツール。