As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Inicialize o cluster em AWS CloudHSM
<a name="initialize-cluster"></a>

Depois de criar seu cluster e adicionar seu módulo de segurança de hardware (HSM) AWS CloudHSM, você pode inicializar o cluster. Conclua as etapas dos tópicos a seguir para inicializar o cluster do .

**nota**  
Antes de inicializar o cluster, revise o processo pelo qual você pode [verificar a identidade e a autenticidade do. HSMs](verify-hsm-identity.md) Esse processo é opcional e funciona apenas até que um cluster seja inicializado. Depois que o cluster for inicializado, você não poderá usar esse processo para obter seus certificados ou verificar o. HSMs 

**Topics**
+ [Visão geral do](#initialize-cluster-overview)
+ [Etapa 1. Obter a Solicitação de assinatura de certificado (CSR) do cluster](#get-csr)
+ [Etapa 2. Crie uma chave privada para sua CA raiz](#sign-csr-create-key)
+ [Etapa 3. Assinar a CSR](#sign-csr)
+ [Etapa 4: Inicializar o cluster](#initialize)

## Visão geral do
<a name="initialize-cluster-overview"></a>

 O processo de inicialização do cluster estabelece sua propriedade e controle sobre o cluster e sobre você HSMs por meio de um sistema de autenticação baseado em certificado. Esse processo prova criptograficamente que você é o único proprietário do HSMs em seu cluster e cria a base de confiança que será necessária para todas as conexões futuras com o seu. HSMs 

 Esta página mostrará como fazer o seguinte: 
+ Recupere a solicitação de assinatura de certificado (CSR) do seu cluster.
+ Gere e use a (s) chave (s) privada (s) para criar um certificado raiz autoassinado ou uma cadeia de certificados.
+ Assine a CSR do seu cluster para produzir um certificado HSM assinado.
+ Inicialize seu cluster usando o certificado HSM assinado e o certificado autoassinado ou a cadeia de certificados.

Quando estiver pronto para começar, vá para [Etapa 1. Obter a Solicitação de assinatura de certificado (CSR) do cluster](#get-csr).

## Etapa 1. Obter a Solicitação de assinatura de certificado (CSR) do cluster
<a name="get-csr"></a>

Antes de inicializar o cluster, é necessário baixar e assinar uma solicitação de assinatura de certificado (CSR) gerada pelo primeiro HSM do cluster. Se tiver seguido as etapas para [verificar a identidade do HSM do cluster](verify-hsm-identity.md), você já deverá ter a CSR e poderá assiná-la. Caso contrário, obtenha a CSR agora usando o [AWS CloudHSM console](https://console.aws.amazon.com/cloudhsm/), o [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) ou a AWS CloudHSM API. 

------
#### [ Console ]

**Para obter a CSR (console)**

1. Abra o AWS CloudHSM console em [https://console.aws.amazon.com/cloudhsm/casa](https://console.aws.amazon.com/cloudhsm/home).

1. Selecione o botão de seleção ao lado do ID do cluster com o HSM que deseja verificar.

1. Selecione **Ações**. No menu suspenso, escolha **Iniciar**.

1. Se você não concluiu a [etapa anterior](create-hsm.md) para criar um HSM, escolha uma Zona de Disponibilidade (AZ) para o HSM que você está criando. Em seguida, selecione **Criar**.

1. Quando a CSR estiver pronta, você verá um link para fazer o download.  
![\[Baixe a página de solicitação de assinatura de certificado no AWS CloudHSM console.\]](http://docs.aws.amazon.com/pt_br/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png)

1. Selecione **Cluster CSR** para fazer o download e salvar a CSR.

------
#### [ AWS CLI ]

**Para obter a CSR ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ No prompt de comando, execute o seguinte comando **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)**, que extrai a CSR e a salva em um arquivo. *<cluster ID>*Substitua pelo ID do cluster que você [criou anteriormente](create-cluster.md). 

  ```
  $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                     --output text \
                                     --query 'Clusters[].Certificates.ClusterCsr' \
                                     > <cluster ID>_ClusterCsr.csr
  ```

------
#### [ AWS CloudHSM API ]

**Para obter o CSR (AWS CloudHSM API)**

1. Envie uma solicitação [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html).

1. Extraia e salve a CSR da resposta.

------

## Etapa 2. Crie uma chave privada para sua CA raiz
<a name="sign-csr-create-key"></a>

**nota**  
Para um cluster de produção, a chave deve ser criada com segurança usando uma fonte confiável de aleatoriedade. Recomendamos que você use um HSM fora do local e off-line ou o equivalente. Armazene a chave com segurança. A chave estabelece a identidade do cluster e seu controle exclusivo sobre o HSMs que ele contém.  
Durante a fase de desenvolvimento e teste, você pode usar qualquer ferramenta conveniente (como o OpenSSL) para criar e assinar o certificado do cluster. O exemplo a seguir mostra como criar uma chave. Após usar a chave para criar um certificado autoassinado (veja abaixo), você deve armazená-la com segurança. Para entrar na sua AWS CloudHSM instância, o certificado precisa estar presente, mas a chave privada não.

A tabela abaixo descreve os algoritmos, tamanhos de chave e curvas compatíveis para a geração de certificados.


| Algoritmos | Tamanho/Curvas | 
| --- | --- | 
| **RSA 5 PKCSv1.** |  2048, 3072, 4096  | 
| **RSA-PSS** |  2048, 3072, 4096  | 
| **ECDSA** |  prime256v1, secp384r1, secp521r1  | 
| **Resumo** |  SHA-224, SHA-256, SHA-384 e SHA-512  | 

Use o comando de exemplo a seguir para criar uma chave privada para sua CA raiz autoassinada.

```
$ openssl genrsa -aes256 -out customerRootCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerRootCA.key:
Verifying - Enter pass phrase for customerRootCA.key:
```

## Etapa 3. Assinar a CSR
<a name="sign-csr"></a>

Nas etapas anteriores, você recuperou a CSR do seu cluster e criou uma chave privada para sua CA raiz. Nesta etapa, você usará sua chave privada para gerar um certificado de assinatura para assinar a CSR do seu cluster. Os tópicos abaixo guiarão você pelo processo de criação de um único certificado autoassinado, ou uma cadeia de certificados, usando o OpenSSL. Você não precisa do AWS CLI para esta etapa e o shell não precisa estar associado à sua AWS conta. 

**Importante**  
Para inicializar seu cluster, sua âncora de confiança deve estar em conformidade com a [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280) e atender aos seguintes requisitos:   
Se estiver usando extensões X509v3, a extensão X509v3 Basic Constraints deve estar presente.
A âncora de confiança deve ser um certificado autoassinado.
Os valores de extensão não devem entrar em conflito uns com os outros.

Escolha uma das seguintes abordagens para assinar a CSR do seu cluster:

### Escolha sua abordagem de certificação
<a name="certificate-approach-choice"></a>

Você deve escolher uma das duas abordagens a seguir. Não conclua as duas abordagens.

**Opção A: certificado autoassinado único**  
Crie um único certificado raiz autoassinado para assinar a CSR do seu cluster. Esse é o método mais simples e direto de estabelecer confiança.  
**Recomendado para:**  
+ Ambientes em que uma PKI externa não é necessária
+ Ambientes de teste e desenvolvimento em que a simplicidade é preferida
Vá para: [Crie um único certificado autoassinado](#self-signed-certificate)

**Opção B: cadeia de certificados com CA intermediária**  
Crie uma cadeia de certificados usando uma autoridade de certificação intermediária. Uma cadeia de certificados intermediária fornece segurança, escalabilidade e flexibilidade aprimoradas, permitindo que as Autoridades de Certificação raiz (CAs) permaneçam off-line enquanto delegam a emissão do certificado ao intermediário CAs, reduzindo assim o risco de comprometer a CA raiz.  
**Recomendado para:**  
+ Ambientes em que uma PKI externa é necessária
+ Integração com a Autoridade de Certificação Privada (PCA) da AWS
**Exemplo de integração com o AWS PCA:** você pode usar a Autoridade de Certificação AWS Privada para criar e gerenciar seus certificados CA intermediários. Isso fornece gerenciamento automatizado do ciclo de vida do certificado, incluindo renovação e revogação, enquanto mantém os benefícios de segurança de manter sua CA raiz offline. Para obter mais informações sobre o AWS PCA, consulte o [Guia do usuário da Autoridade de Certificação Privada da AWS](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).  
Vá para: [Crie uma cadeia de autoridade de certificação intermediária (ICA)](#certificate-chain)

### Crie um único certificado autoassinado
<a name="self-signed-certificate"></a>

O hardware confiável que você usa para criar a chave privada para seu cluster de produção também deve fornecer uma ferramenta de software para gerar um certificado autoassinado usando essa chave. O exemplo a seguir usa o OpenSSL e a chave privada que você criou na etapa anterior para criar um certificado de assinatura de CA raiz autoassinado. O certificado é válido por 10 anos (3652 dias). Leia as instruções na tela e siga os avisos. 

```
$ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt
Enter pass phrase for customerRootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```

Este comando cria um arquivo de certificado nomeado `customerRootCA.crt`. Coloque esse certificado em cada host a partir do qual você se conectará ao seu AWS CloudHSM cluster. Se você der um nome diferente ao arquivo ou armazená-lo em um caminho diferente da raiz do host, edite o arquivo de configuração do cliente adequadamente. Use o certificado e a chave privada que você acabou de criar para assinar a solicitação de assinatura de certificado (CSR) do cluster na próxima etapa. 

#### Assine o CSR do cluster com sua CA raiz autoassinada
<a name="sign-csr-sign-cluster-csr-with-root-ca"></a>

O hardware confiável que você usa para criar a chave privada do cluster de produção também deve fornecer uma ferramenta para assinar a CSR por meio dessa chave. O exemplo a seguir usa o OpenSSL para assinar a CSR do cluster. O comando de exemplo abaixo assina o CSR com o autoassinado `customerRootCA.crt`

```
$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
		-CA <customerRootCA>.crt \
		-CAkey <customerRootCA>.key \
		-CAcreateserial \
		-out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for <customerRootCA>.key:
```

Este comando cria um arquivo chamado `<cluster ID>_CustomerHsmCertificate.crt`. Use este arquivo como o certificado assinado ao inicializar o cluster. 

Verifique o certificado assinado em relação à CA raiz (opcional):

```
$ openssl verify -purpose sslserver -CAfile customerRootCA.crt <cluster ID>_CustomerHsmCertificate.crt
<cluster ID>_CustomerHsmCertificate.crt: OK
```

Depois de produzir o certificado HSM assinado com sua CA raiz autoassinada, acesse. [Etapa 4: Inicializar o cluster](#initialize)

### Crie uma cadeia de autoridade de certificação intermediária (ICA)
<a name="certificate-chain"></a>

Os exemplos a seguir ajudarão você a criar uma cadeia de certificados de comprimento 2, consistindo em uma Autoridade Certificadora (CA) raiz e uma CA intermediária. Primeiro, você criará um certificado de CA raiz autoassinado e, em seguida, gerará uma CA intermediária assinada pela CA raiz. Por fim, você usará a CA intermediária para assinar a CSR do seu cluster, criando uma cadeia de confiança completa do seu certificado HSM até a CA raiz. Essa abordagem fornece segurança aprimorada ao manter a CA raiz off-line enquanto usa a CA intermediária para operações de day-to-day certificado.

**Importante**  
Para inicializar seu cluster com uma cadeia de certificados, sua cadeia deve atender aos seguintes requisitos:   
A cadeia deve ser solicitada, começando com a CA intermediária que assina a CSR do cluster. Nessa ordem, o primeiro ICA deve ter um emissor que corresponda ao assunto do próximo ICA na cadeia, e assim por diante.
Somente a CA raiz deve ser autoassinada, o que significa que o emissor e o assunto devem ser idênticos.
A cadeia deve consistir em no máximo 4 certificados (incluindo a CA raiz no final) e o tamanho total da cadeia não deve exceder 16 kb (kilobytes).
Todas as autoridades de certificação (CAs) devem estar em conformidade com as diretrizes da [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280).

Esta seção fornece exemplos para criar uma cadeia de autoridade de certificação intermediária usando duas abordagens diferentes: OpenSSL para geração de certificados locais e AWS Private Certificate Authority (PCA) para serviços gerenciados de certificados. Escolha a abordagem que melhor se adequa ao seu ambiente e aos requisitos de segurança.

**nota**  
Os exemplos a seguir são casos de uso gerais e ambos são simplificados, usando a configuração mais básica. Para ambientes de produção, revise as opções adicionais de configuração e os requisitos de segurança específicos para seu caso de uso.

------
#### [ OpenSSL ]

Crie um arquivo de configuração do OpenSSL com extensões v3 comuns para CA:

```
$ cat > ca-extensions.conf <<EOF
[req]
distinguished_name = req_distinguished_name
[req_distinguished_name]
C = Country Name (2 letter code)
ST = State or Province Name (full name)
L = Locality Name (eg, city)
O = Organization Name (eg, company)
OU = Organizational Unit Name (eg, section)
CN = Common Name (e.g. server FQDN or YOUR name)
[v3_ca]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical,CA:true
keyUsage = critical, keyCertSign, cRLSign, digitalSignature
EOF
```

Gere uma CA raiz autoassinada usando o OpenSSL:

```
$ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt -extensions v3_ca -config ca-extensions.conf
Enter pass phrase for customerRootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```

Gere uma chave CA intermediária:

```
$ openssl genrsa -aes256 -out intermediateCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for intermediateCA.key:
Verifying - Enter pass phrase for intermediateCA.key:
```

Crie a solicitação intermediária de assinatura de certificado CA (CSR):

```
$ openssl req -new -key intermediateCA.key -out intermediateCA.csr
Enter pass phrase for intermediateCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```

Usando a CA raiz autoassinada, crie o certificado CA intermediário:

```
$ openssl x509 -req -in intermediateCA.csr \
		-CA customerRootCA.crt \
		-CAkey customerRootCA.key \
		-CAcreateserial \
		-days 3652 \
		-extensions v3_ca \
		-extfile ca-extensions.conf \
		-out intermediateCA.crt

Certificate request self-signature ok
subject=C= , ST= , L= , O= , OU=
```

Combine os certificados em um arquivo em cadeia:

```
$ cat intermediateCA.crt customerRootCA.crt > chainCA.crt

-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----
```

Assine o CSR do cluster com sua CA intermediária:

```
$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
			-CA intermediateCA.crt \
			-CAkey intermediateCA.key \
			-CAcreateserial \
			-out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for intermediateCA.key:
```

------
#### [ AWS PCA ]

Crie e ative uma CA raiz usando a Autoridade de Certificação Privada da AWS:

```
$ # 1. Create Root CA
aws acm-pca create-certificate-authority \
    --certificate-authority-configuration \
        "KeyAlgorithm=RSA_4096,
        SigningAlgorithm=SHA256WITHRSA,
        Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=RootCA}" \
    --certificate-authority-type ROOT

# Store the Root CA Authority ARN from the previous output
ROOT_CA_AUTHORITY_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<ca-authority-id>"

# 2. Generate Root CA CSR
aws acm-pca get-certificate-authority-csr \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --output text > customerRootCA.csr

# 3. Self-sign Root CA Certificate
aws acm-pca issue-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --csr fileb://customerRootCA.csr \
    --signing-algorithm SHA256WITHRSA \
	--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
    --validity Value=3652,Type=DAYS

# Store the Root CA certificate ARN from the previous output
ROOT_CA_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<ca-authority-id>/certificate/<cert-id>"

# 4. Retrieve the Root CA certificate
aws acm-pca get-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --certificate-arn $ROOT_CA_ARN \
    --output text > customerRootCA.crt

# 5. Import the Root CA Certificate
aws acm-pca import-certificate-authority-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --certificate fileb://customerRootCA.crt
```

Crie e ative uma CA subordinada (também conhecida como CA intermediária):

```
$ # 6. Create Subordinate CA
aws acm-pca create-certificate-authority \
    --certificate-authority-configuration \
        "KeyAlgorithm=RSA_4096,
        SigningAlgorithm=SHA256WITHRSA,
        Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=SubordinateCA}" \
    --certificate-authority-type SUBORDINATE

# Store the Subordinate CA Authority ARN from the previous output
SUB_CA_AUTHORITY_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<sub-ca-authority-id>"

# 7. Generate Subordinate CA CSR
aws acm-pca get-certificate-authority-csr \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --output text > intermediateCA.csr

# 8. Issue Subordinate CA Certificate using Root CA
aws acm-pca issue-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --csr fileb://intermediateCA.csr \
    --signing-algorithm SHA256WITHRSA \
    --template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 \
    --validity Value=3651,Type=DAYS

# Store the Subordinate CA certificate ARN from the previous output
SUB_CA_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<sub-ca-authority-id>"

# 9. Retrieve Subordinate CA Certificate
aws acm-pca get-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --certificate-arn $SUB_CA_ARN \
    --query 'Certificate' \
    --output text > intermediateCA.crt

# 10. Import the Subordinate CA Certificate
aws acm-pca import-certificate-authority-certificate \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --certificate fileb://intermediateCA.crt \
    --certificate-chain fileb://customerRootCA.crt
```

Combine os certificados em um arquivo em cadeia:

```
$ cat intermediateCA.crt customerRootCA.crt > chainCA.crt

-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----
```

Assine o CSR do cluster usando o AWS PCA:

```
$ aws acm-pca issue-certificate \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --csr fileb://<cluster ID>_ClusterCsr.csr \
    --signing-algorithm SHA256WITHRSA \
    --template-arn arn:aws:acm-pca:::template/EndEntityCertificate/V1 \
    --validity Value=3650,Type=DAYS

# Store your cluster's cert ARN from the previous output
CLUSTER_CERT_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<cluster-cert-arn>"
```

Baixe o certificado de cluster assinado:

```
$ aws acm-pca get-certificate \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --certificate-arn $CLUSTER_CERT_ARN \
    --output text --query Certificate > <cluster ID>_CustomerHsmCertificate.crt
```

------

Este comando cria um arquivo chamado `<cluster ID>_CustomerHsmCertificate.crt`. Use este arquivo como o certificado assinado ao inicializar o cluster. 

Verifique o certificado assinado em relação à cadeia de certificados (opcional):

```
$ openssl verify -purpose sslserver -CAfile chainCA.crt <cluster ID>_CustomerHsmCertificate.crt
<cluster ID>_CustomerHsmCertificate.crt: OK
```

Depois de produzir o certificado HSM assinado com sua CA intermediária, acesse[Etapa 4: Inicializar o cluster](#initialize).

## Etapa 4: Inicializar o cluster
<a name="initialize"></a>

Use o certificado assinado do HSM e o certificado de assinatura para inicializar o cluster. Você pode usar o [AWS CloudHSM console [AWS CLI](https://aws.amazon.com/cli/)](https://console.aws.amazon.com/cloudhsm/), o ou a AWS CloudHSM API. 

------
#### [ Console ]

**Para inicializar um cluster (console)**

1. Abra o AWS CloudHSM console em [https://console.aws.amazon.com/cloudhsm/casa](https://console.aws.amazon.com/cloudhsm/home).

1. Selecione o botão de seleção ao lado do ID do cluster com o HSM que deseja verificar.

1. Selecione **Ações**. No menu suspenso, escolha **Iniciar**.

1. Se você não concluiu a [etapa anterior](create-hsm.md) para criar um HSM, escolha uma Zona de Disponibilidade (AZ) para o HSM que você está criando. Em seguida, selecione **Criar**.

1. Na página **Download certificate signing request (Solicitação de assinatura de certificado de download)**, escolha **Next (Próximo)**. Se a opção **Next (Próximo)** não estiver disponível, selecione primeiro um dos links de certificado ou de CSR. Em seguida, escolha **Next (Próximo)**.

1. Na página de **Download certificate signing request [Solicitação assinatura de certificado (CSR)]**, selecione **Next (Próximo)**.

1. Na página **Upload the certificates (Carregar os certificados)**, faça o seguinte:

   1. Ao lado de **Cluster certificate (Certificado de cluster)**selecione **Upload file (Carregar arquivo)**. Em seguida, localize e selecione o certificado do HSM assinado anteriormente. Se tiver executado as etapas na seção anterior, selecione o arquivo denominado `<cluster ID>_CustomerHsmCertificate.crt`.

   1. Ao lado de **Issuing certificate (Certificado de emissão)**selecione **Upload file (Carregar arquivo)**. Em seguida, selecione seu certificado de assinatura com base na abordagem escolhida:
      + **Se você escolheu a Opção A (certificado autoassinado único):** selecione o arquivo chamado `<customerRootCA>.crt`
      + **Se você escolheu a Opção B (cadeia de certificados):** Selecione o arquivo chamado `<chainCA>.crt`

   1. Selecione **Upload and initialize (Carregar e inicializar)**.

------
#### [ AWS CLI ]

**Para inicializar um cluster ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ Em um prompt de comando, execute o comando **[initialize-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/initialize-cluster.html)**. Forneça o seguinte: 
  + O ID do cluster que foi criado anteriormente.
  + O certificado de HSM que foi assinado anteriormente. Se tiver executado as etapas na seção anterior, ele foi salvo em um arquivo denominado `<cluster ID>_CustomerHsmCertificate.crt`. 
  + Seu certificado de assinatura com base na abordagem que você escolheu:
    + **Se você escolheu a Opção A (certificado autoassinado único):** use o arquivo chamado `<customerRootCA>.crt`
    + **Se você escolheu a Opção B (cadeia de certificados):** Use o arquivo chamado `<chainCA>.crt`

  ```
  $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                      --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                      --trust-anchor file://<customerRootCA.crt OR chainCA.crt>
  {
      "State": "INITIALIZE_IN_PROGRESS",
      "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
  }
  ```

------
#### [ AWS CloudHSM API ]

**Para inicializar um cluster (AWS CloudHSM API)**
+ Envie uma solicitação [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_InitializeCluster.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_InitializeCluster.html) com o seguinte:
  + O ID do cluster que foi criado anteriormente.
  + O certificado de HSM que foi assinado anteriormente. Se tiver executado as etapas na seção anterior, ele foi salvo em um arquivo denominado `<cluster ID>_CustomerHsmCertificate.crt`. 
  + Seu certificado de assinatura com base na abordagem que você escolheu:
    + **Se você escolheu a Opção A (certificado autoassinado único):** use o arquivo chamado `<customerRootCA>.crt`
    + **Se você escolheu a Opção B (cadeia de certificados):** Use o arquivo chamado `<chainCA>.crt`

------