Conecte o SDK do cliente ao cluster AWS CloudHSM - AWS CloudHSM
Coloque um certificado de emissão em cada instância do EC2Especifique o local do certificado de emissão.Bootstrap o Client SDK

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conecte o SDK do cliente ao cluster AWS CloudHSM

Para se conectar ao cluster com o Client SDK 5 ou o Client SDK 3, você deve primeiro fazer duas coisas:

  • Tenha um certificado de emissão em vigor na instância do EC2

  • Inicialize o SDK do cliente no cluster

Coloque um certificado de emissão em cada instância do EC2

Você cria o certificado de emissão ao inicializar o cluster. Copie o certificado de emissão para o local padrão da plataforma em cada instância do EC2 que se conecta ao cluster.

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

Especifique o local do certificado de emissão.

Com o Client SDK 5, use a ferramenta de configuração para especificar um local para o certificado de emissão.

PKCS #11 library
Para colocar o certificado de emissão no Linux para o Client SDK 5

  • Use a ferramenta de configuração para especificar um local para o certificado de emissão. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
Para colocar o certificado de emissão no Windows para o Client SDK 5

  • Use a ferramenta de configuração para especificar um local para o certificado de emissão. 

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
Para colocar o certificado de emissão no Linux para o Client SDK 5

  • Use a ferramenta de configuração para especificar um local para o certificado de emissão. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
Para colocar o certificado de emissão no Linux para o Client SDK 5

  • Use a ferramenta de configuração para especificar um local para o certificado de emissão. 

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
Para colocar o certificado de emissão no Windows para o Client SDK 5

  • Use a ferramenta de configuração para especificar um local para o certificado de emissão. 

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
Para colocar o certificado de emissão no Linux para o Client SDK 5

  • Use a ferramenta de configuração para especificar um local para o certificado de emissão. 

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
Para colocar o certificado de emissão no Windows para o Client SDK 5

  • Use a ferramenta de configuração para especificar um local para o certificado de emissão. 

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

Para obter mais informações, consulte Configurar ferramenta.

Para obter mais informações sobre como inicializar o cluster ou criar e assinar o certificado, consulte Iniciar o cluster.

Bootstrap o Client SDK

O processo de bootstrap é diferente dependendo da versão do Client SDK que você está usando, mas você deve ter o endereço IP de um dos módulos de segurança de hardware (HSM) no cluster. Você pode usar o endereço IP de qualquer HSM conectado ao seu cluster. Depois que o Client SDK se conecta, ele recupera os endereços IP de todos os HSMs adicionais e executa o balanceamento de carga e as operações de sincronização de chaves do lado do cliente.

Para obter um endereço IP para um HSM (console)

  1. Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/home.

  2. Para alterar a região da Amazon Web Services, use o seletor de região no canto superior direito da página.

  3. Para abrir a página de detalhes do cluster, na tabela do cluster, escolha o ID do cluster.

  4. Para obter o endereço IP, na guia HSMs, escolha um dos endereços IP listados em Endereço IP ENI.

Para obter um endereço IP para um HSM ()AWS CLI

  • Obtenha o endereço IP de um HSM usando o comando describe-clusters do AWS CLI. Na saída do comando, o endereço IP dos HSMs são os valores de EniIp. 

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

Para obter mais informações sobre ações de bootstrap, consulte Configurar ferramenta.

PKCS #11 library
Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 5

  • Use a ferramenta de configuração para especificar o endereço IP de um HSM no seu cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
Para fazer o bootstrap de uma instância do EC2 do Windows para o Client SDK 5

  • Use a ferramenta de configuração para especificar o endereço IP de um HSM no seu cluster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 5

  • Use a ferramenta de configuração para especificar o endereço IP de um HSM no seu cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 5

  • Use a ferramenta de configuração para especificar o endereço IP de um HSM no seu cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
Para fazer o bootstrap de uma instância do EC2 do Windows para o Client SDK 5

  • Use a ferramenta de configuração para especificar o endereço IP de um HSM no seu cluster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 5

  • Use a ferramenta de configuração para especificar o endereço IP do(s) HSM(s) em seu cluster. 

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
Para fazer o bootstrap de uma instância do EC2 do Windows para o Client SDK 5

  • Use a ferramenta de configuração para especificar o endereço IP do(s) HSM(s) em seu cluster. 

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
nota

você pode usar o parâmetro –-cluster-id no lugar de -a <HSM_IP_ADDRESSES>. Para ver os requisitos de uso de –-cluster-id, consulte Ferramenta de configuração do Client SDK 5.

Para fazer o bootstrap de uma instância do EC2 do Linux para o Client SDK 3

  • Use configure para especificar o endereço IP de um HSM no seu cluster. 

    sudo /opt/cloudhsm/bin/configure -a <IP address>
Para fazer o bootstrap de uma instância do EC2 do Windows para o Client SDK 3

  • Use configure para especificar o endereço IP de um HSM no seu cluster. 

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

Para obter mais informações sobre configuração, consulte Configure a ferramenta.