As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Reconfigure SSL com um novo certificado e chave privada (opcional)
AWS CloudHSM usa um SSL certificado para estabelecer uma conexão com umHSM. Uma chave e um SSL certificado padrão são incluídos quando você instala o cliente. No entanto, você pode criar e usar seu próprio. Observe que você precisará do certificado autoassinado (customerCA.crt) que criou ao inicializar o cluster.
Basicamente, esse é um processo de duas etapas:
-
Primeiro, você cria uma chave privada e, em seguida, usa essa chave para criar uma solicitação de assinatura de certificado (CSR). Use o certificado de emissão, o certificado que você criou quando inicializou o cluster, para assinar o. CSR
-
Em seguida, você usa a ferramenta de configuração para copiar a chave e o certificado para os diretórios apropriados.
Crie uma chave, aCSR, e depois assine o CSR
As etapas são as mesmas para o Cliente SDK 3 ou o Cliente SDK 5.
Para reconfigurar SSL com um novo certificado e chave privada
-
Crie uma chave privada usando o seguinte SSL comando Abrir:
openssl genrsa -out ssl-client.key 2048Generating RSA private key, 2048 bit long modulus ........+++ ............+++ e is 65537 (0x10001) -
Use o SSL comando Abrir a seguir para criar uma solicitação de assinatura de certificado (CSR). Você precisará responder uma série de perguntas sobre o certificado.
openssl req -new -sha256 -key ssl-client.key -out ssl-client.csrEnter pass phrase for ssl-client.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]: State or Province Name (full name) []: Locality Name (eg, city) [Default City]: Organization Name (eg, company) [Default Company Ltd]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []: Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: -
Assine CSR com o
customerCA.crtcertificado que você criou ao inicializar seu cluster.openssl x509 -req -days 3652 -in ssl-client.csr \ -CA customerCA.crt \ -CAkey customerCA.key \ -CAcreateserial \ -out ssl-client.crtSignature ok subject=/C=US/ST=WA/L=Seattle/O=Example Company/OU=sales Getting CA Private Key
Ativar personalização SSL para AWS CloudHSM
As etapas são diferentes para o Cliente SDK 3 ou o Cliente SDK 5. Para obter mais informações sobre como trabalhar com a ferramenta de linha de comando de configuração, consulte Configure a ferramenta.
Personalizado SSL para o cliente SDK 3
Use a ferramenta de configuração do Cliente SDK 3 para habilitar a personalizaçãoSSL. Para obter mais informações sobre a ferramenta de configuração para o Cliente SDK 3, consulteFerramenta de configuração do Client SDK 3.
Para usar um certificado e uma chave personalizados para autenticação mútua TLS cliente-servidor com o Cliente SDK 3 no Linux
-
Copie a chave e o certificado para o diretório apropriado.
sudo cp ssl-client.crt/opt/cloudhsm/etcsudo cp ssl-client.key/opt/cloudhsm/etc -
Use a ferramenta de configuração para especificar
ssl-client.crtessl-client.key.sudo /opt/cloudhsm/bin/configure --ssl \ --pkey/opt/cloudhsm/etc/ssl-client.key\ --cert/opt/cloudhsm/etc/ssl-client.crt -
Adicione o certificado
customerCA.crtao armazenamento de confiança. Crie um hash do nome do certificado específico. Isso cria um índice para permitir que o certificado seja pesquisado por esse nome.openssl x509 -in /opt/cloudhsm/etc/customerCA.crt -hash | head -n 1 1234abcdCrie um diretório.
mkdir /opt/cloudhsm/etc/certsCrie um arquivo que contenha o certificado com o nome de hash.
sudo cp /opt/cloudhsm/etc/customerCA.crt /opt/cloudhsm/etc/certs/1234abcd.0
Personalizado SSL para o Cliente SDK 5
Use qualquer uma das ferramentas de configuração do Client SDK 5 para habilitar a personalizaçãoSSL. Para obter mais informações sobre a ferramenta de configuração para o Cliente SDK 5, consulteFerramenta de configuração do Client SDK 5.
