기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
새 인증서 및 개인 키로 재구성 SSL (선택 사항)
AWS CloudHSM SSL인증서를 사용하여 에 대한 연결을 설정합니다HSM. 클라이언트를 설치할 때 기본 키와 SSL 인증서가 포함됩니다. 하지만 직접 만들어서 사용할 수도 있습니다. 클러스터를 초기화할 때 만든 자체 서명 인증서(customerCA.crt)가 필요합니다.
상위 레벨에서는 다음과 같은 2단계 프로세스입니다.
-
먼저 개인 키를 만든 다음 이 키를 사용하여 인증서 서명 요청을 생성합니다 (CSR). 클러스터를 초기화할 때 생성한 인증서인 발급 인증서를 사용하여 서명합니다. CSR
-
다음으로 구성 도구를 사용하여 키와 인증서를 적절한 디렉터리에 복사합니다.
키 a를 만든 다음 서명합니다. CSR CSR
클라이언트 SDK 3 또는 클라이언트 SDK 5의 단계는 동일합니다.
새 인증서와 개인 키를 사용하여 재구성하려면 SSL
-
다음 Open SSL 명령을 사용하여 개인 키를 생성합니다.
openssl genrsa -out ssl-client.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
-
다음 Open SSL 명령을 사용하여 인증서 서명 요청 (CSR) 을 생성합니다. 인증서에 대해 일련의 질문을 받게 됩니다.
openssl req -new -sha256 -key ssl-client.key -out ssl-client.csr
Enter pass phrase for ssl-client.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
-
클러스터를 초기화할 때 만든 customerCA.crt인증서로 서명합니다. CSR
openssl x509 -req -days 3652 -in ssl-client.csr \
-CA customerCA.crt \
-CAkey customerCA.key \
-CAcreateserial \
-out ssl-client.crt
Signature ok
subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales
Getting CA Private Key
다음에 대한 사용자 지정 SSL 활성화 AWS CloudHSM
클라이언트 SDK 3과 클라이언트 SDK 5의 단계는 다릅니다. 구성 명령줄 도구 작업에 대한 자세한 내용은 구성 도구 단원을 참조하십시오.
클라이언트 SSL SDK 3용 사용자 지정
클라이언트 SDK 3의 구성 도구를 사용하여 사용자 지정을 SSL 활성화합니다. 클라이언트 SDK 3의 구성 도구에 대한 자세한 내용은 을 참조하십시오클라이언트 SDK 3 구성 도구.
Linux용 TLS 클라이언트 SDK 3과의 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면
-
키와 인증서를 적절한 디렉터리로 복사합니다.
sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
sudo /opt/cloudhsm/bin/configure --ssl \
--pkey /opt/cloudhsm/etc/ssl-client.key \
--cert /opt/cloudhsm/etc/ssl-client.crt
-
customerCA.crt 인증서를 트러스트 스토어에 추가합니다. 인증서 주체 이름 해시를 생성합니다. 이 해시는 해당 이름으로 인증서를 찾을 수 있는 인덱스를 생성합니다.
openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1
1234abcd
디렉터리를 생성합니다.
mkdir /opt/cloudhsm/etc/certs
해당 해시 이름의 인증서를 포함하는 파일을 만듭니다.
sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0
클라이언트 SSL 5용 사용자 지정 SDK
Client SDK 5 구성 도구 중 하나를 사용하여 사용자 지정을 SSL 활성화하십시오. 클라이언트 SDK 5의 구성 도구에 대한 자세한 내용은 을 참조하십시오클라이언트 SDK 5 구성 도구.
- PKCS #11 library
-
Linux용 TLS 클라이언트 SDK 5와의 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면
-
키와 인증서를 적절한 디렉터리로 복사합니다.
$ sudo cp ssl-client.crt /opt/cloudhsm/etc
$ sudo cp ssl-client.key /opt/cloudhsm/etc
-
구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
$ sudo /opt/cloudhsm/bin/configure-pkcs11 \
--server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
--server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows용 TLS 클라이언트 5와의 클라이언트-서버 상호 인증을 위한 사용자 지정 인증서 및 키 사용하기 SDK
-
키와 인증서를 적절한 디렉터리로 복사합니다.
cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 및 을 지정합니다. ssl-client.crt ssl-client.key
& "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
--server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
--server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
- OpenSSL Dynamic Engine
-
Linux용 TLS 클라이언트 5와의 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면 SDK
-
키와 인증서를 적절한 디렉터리로 복사합니다.
$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
$ sudo /opt/cloudhsm/bin/configure-dyn \
--server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
--server-client-key-file /opt/cloudhsm/etc/ssl-client.key
- JCE provider
-
Linux용 TLS 클라이언트 5와의 클라이언트-서버 상호 인증을 위한 사용자 지정 인증서 및 키 사용하기 SDK
-
키와 인증서를 적절한 디렉터리로 복사합니다.
$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
$ sudo /opt/cloudhsm/bin/configure-jce \
--server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
--server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows용 TLS 클라이언트 5와의 클라이언트-서버 상호 인증을 위한 사용자 지정 인증서 및 키 사용하기 SDK
-
키와 인증서를 적절한 디렉터리로 복사합니다.
cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 및 을 지정합니다. ssl-client.crt ssl-client.key
& "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
--server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
--server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
- CloudHSM CLI
-
Linux용 TLS 클라이언트 5와의 클라이언트-서버 상호 인증에 사용자 지정 인증서 및 키를 사용하려면 SDK
-
키와 인증서를 적절한 디렉터리로 복사합니다.
$ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc
-
구성 도구를 사용하여 ssl-client.crt 및 ssl-client.key을 지정합니다.
$ sudo /opt/cloudhsm/bin/configure-cli \
--server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
--server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Windows용 TLS 클라이언트 5와의 클라이언트-서버 상호 인증을 위한 사용자 지정 인증서 및 키 사용하기 SDK
-
키와 인증서를 적절한 디렉터리로 복사합니다.
cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
PowerShell 인터프리터를 사용하는 경우 구성 도구를 사용하여 및 을 지정합니다. ssl-client.crt ssl-client.key
& "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
--server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
--server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
