Visão geral 1: Prepare-se 2: gerar chave 3: configurar um servidor 4: Verificar

AWS CloudHSM Descarregamento de SSL/TLS no Linux usando NGINX ou Apache com OpenSSL

Este tópico fornece step-by-step instruções para configurar o descarregamento de SSL/TLS AWS CloudHSM em um servidor web Linux.

Tópicos

Visão geral
Etapa 1: configurar os pré-requisitos
Etapa 2: gerar a chave privada e o certificado SSL/TLS
Etapa 3: configure o servidor Web
Etapa 4: permitir tráfego HTTPS e verificar o certificado

Visão geral

No Linux, o software de servidor Web NGINX e o Apache HTTP Server são integrados ao OpenSSL para comportar HTTPS. O mecanismo AWS CloudHSM dinâmico do OpenSSL fornece uma interface que permite que o software do servidor web use HSMs o em seu cluster para descarga criptográfica e armazenamento de chaves. O mecanismo OpenSSL é a ponte que conecta o servidor Web ao seu cluster do AWS CloudHSM .

Para concluir este tutorial, você deve primeiro escolher se deseja usar o software de servidor web NGINX ou Apache no Linux. Em seguida, este tutorial mostra como fazer o seguinte:

Instale o software do servidor web em uma EC2 instância da Amazon.
Configure o software do servidor Web para oferecer suporte a HTTPS com uma chave privada armazenada em seu AWS CloudHSM cluster.
(Opcional) Use EC2 a Amazon para criar uma segunda instância de servidor web e o Elastic Load Balancing para criar um balanceador de carga. Usar um load balanceador de carga pode aumentar o desempenho, distribuindo a carga em vários servidores. Ele também pode fornecer redundância e maior disponibilidade se um ou mais servidores falhar.

Quando estiver pronto para começar, vá para Etapa 1: configurar os pré-requisitos.

Etapa 1: configurar os pré-requisitos

Plataformas diferentes exigem pré-requisitos diferentes. Use a seção de pré-requisitos abaixo que corresponde à sua plataforma.

Pré-requisitos para o Client SDK 5

Para configurar o descarregamento SSL/TLS de servidor Web com o Client SDK 5, é necessário o seguinte:

Um AWS CloudHSM cluster ativo com pelo menos dois módulos de segurança de hardware (HSM)

nota
Você pode usar um único cluster HSM, mas primeiro deve desativar a durabilidade da chave do cliente. Para obter mais informações, consulte Gerenciar configurações de durabilidade da chave do cliente e Ferramenta de configuração do Client SDK 5.
Uma EC2 instância da Amazon executando um sistema operacional Linux com o seguinte software instalado:
- Um servidor Web (NGINX ou Apache)
- OpenSSL Dynamic Engine para Client SDK 5
Um usuário de criptografia (CU) para ter e gerenciar a chave privada do servidor Web no HSM.

Para configurar uma instância do servidor web do Linux e criar um CU no HSM

Instale e configure o OpenSSL Dynamic Engine para. AWS CloudHSM Para obter mais informações sobre a instalação do OpenSSL Dynamic Engine, consulte OpenSSL Dynamic Engine para Client SDK 5.
Em uma instância EC2 Linux que tenha acesso ao seu cluster, instale o servidor web NGINX ou Apache:
Amazon Linux
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd24 mod24_ssl
Amazon Linux 2
Para obter informações sobre como baixar a versão mais recente do NGINX no Amazon Linux 2, consulte o site do NGINX.

A versão mais recente do NGINX disponível para o Amazon Linux 2 usa uma versão do OpenSSL que é mais recente do que a versão do sistema do OpenSSL. Depois de instalar o NGINX, você precisa criar um link simbólico da biblioteca AWS CloudHSM OpenSSL Dynamic Engine para o local que essa versão do OpenSSL espera

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
Amazon Linux 2023
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
CentOS 7
Para obter informações sobre como baixar a versão mais recente do NGINX no CentOS 7, consulte o site do NGINX.

A versão mais recente do NGINX disponível para o CentOS 7 usa uma versão do OpenSSL que é mais recente do que a versão do sistema do OpenSSL. Depois de instalar o NGINX, você precisa criar um link simbólico da biblioteca AWS CloudHSM OpenSSL Dynamic Engine para o local que essa versão do OpenSSL espera

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
Red Hat 7
Para obter informações sobre como baixar a versão mais recente do NGINX no Red Hat 7, consulte o site do NGINX.

A versão mais recente do NGINX disponível para o Red Hat 7 usa uma versão do OpenSSL que é mais recente do que a versão do sistema do OpenSSL. Depois de instalar o NGINX, você precisa criar um link simbólico da biblioteca AWS CloudHSM OpenSSL Dynamic Engine para o local que essa versão do OpenSSL espera

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
CentOS 8
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
Red Hat 8
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
Ubuntu 18.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 20.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 22.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 24.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Use a CLI do CloudHSM para criar um usuário criptográfico. Para obter mais informações sobre o gerenciamento de usuários do HSM, consulte Gerenciar usuários do HSM com a CLI do CloudHSM.

dica
Lembre o nome do usuário e a senha do CU. Eles serão necessários mais tarde ao gerar ou importar a chave privada HTTPS e o certificado para o servidor Web.

Depois de concluir essas etapas, vá para Etapa 2: gerar a chave privada e o certificado SSL/TLS.

Observações

Para usar o Security-Enhanced Linux (SELinux) e servidores web, você deve permitir conexões TCP de saída na porta 2223, que é a porta que o Client SDK 5 usa para se comunicar com o HSM.
Para criar e ativar um cluster e dar acesso a uma EC2 instância ao cluster, conclua as etapas em Introdução ao AWS CloudHSM. O guia de introdução oferece step-by-step instruções para criar um cluster ativo com um HSM e uma instância EC2 cliente da Amazon. Você pode usar essa instância de cliente como seu servidor Web.
Para evitar a desativação da durabilidade da chave do cliente, adicione mais de um HSM ao seu cluster. Para obter mais informações, consulte Adicionar um HSM a um cluster AWS CloudHSM.
Você pode usar um cliente SSH ou PuTTY para se conectar à instância do cliente. Para obter mais informações, consulte Conectando-se à sua instância Linux usando SSH ou Conectando-se à sua instância Linux a partir do Windows usando PuTTY na documentação da Amazon EC2.

Etapa 2: gerar a chave privada e o certificado SSL/TLS

Para habilitar o HTTPS, seu aplicativo de servidor web (NGINX ou Apache) precisa de uma chave privada e SSL/TLS certificate. To use web server SSL/TLS de um descarregamento correspondente. Você deve armazenar a AWS CloudHSM chave privada em um HSM no seu cluster. AWS CloudHSM Primeiro, você gerará uma chave privada e usará a chave para criar uma solicitação de assinatura de certificado (CSR). Em seguida, você exporta uma chave privada PEM falsa do HSM, que é um arquivo de chave privada no formato PEM que contém uma referência à chave privada armazenada no HSM (não é a chave privada real). Seu servidor web usa o arquivo da chave privada PEM falsa para identificar a chave privada no HSM durante o descarregamento de SSL/TLS.

Gerar uma chave privada e um certificado

Gerar uma chave privada

Esta seção mostra como gerar um par de chaves usando a CLI do CloudHSM. Depois de gerar um par de chaves dentro do HSM, você pode exportá-lo como um arquivo PEM falso e gerar o certificado correspondente.

Instale e configure a CLI do CloudHSM

Instale e configure a CLI do CloudHSM.
Use o comando a seguir para iniciar a CLI do CloudHSM.
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
Execute o seguinte comando para fazer login no HSM. <user name>Substitua pelo nome de usuário do seu usuário criptográfico
```
Command: login --username <user name> --role crypto-user
```

Gerar uma chave privada

Dependendo do seu caso de uso, você pode gerar um RSA ou um par de chaves EC. Execute um destes procedimentos:

Para gerar uma chave privada RSA em um HSM

Use o comando key generate-asymmetric-pair rsa para gerar um par de chaves RSA. Este exemplo gera um par de chaves RSA com um módulo de 2048, um expoente público de 65537, rótulo de chave pública de e rótulo de chave privada detls_rsa_pub. tls_rsa_private


aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label tls_rsa_pub \
--private-label tls_rsa_private
--private-attributes sign=true
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x0000000000280cc8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "tls_rsa_pub",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "public-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
        "modulus-size-bits": 2048
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280cc7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "tls_rsa_private",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "private-key",
        "encrypt": false,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 1217,
        "public-exponent": "0x010001",
        "modulus": "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",
        "modulus-size-bits": 2048
      }
    }
  }
}

Para gerar uma chave privada EC em um HSM

Use o comando key generate-asymmetric-pair ec para gerar um par de chaves EC. Este exemplo gera um par de chaves EC com a prime256v1 curva (correspondente à NID_X9_62_prime256v1 curva), um rótulo de chave pública de tls_ec_pub e um rótulo de chave privada detls_ec_private.


aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve prime256v1 \
    --public-label tls_ec_pub \
    --private-label tls_ec_private
    --private-attributes sign=true
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x000000000012000b",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "session"
      },
      "attributes": {
        "key-type": "ec",
        "label": "tls_ec_pub",
        "id": "",
        "check-value": "0xd7c1a7",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": false,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 57,
        "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
        "curve": "secp224r1"
      }
    },
"private_key": {
      "key-reference": "0x000000000012000c",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "session"
      },
      "attributes": {
        "key-type": "ec",
        "label": "tls_ec_private",
        "id": "",
        "check-value": "0xd7c1a7",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": false,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 122,
        "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
        "curve": "secp224r1"
      }
    }
  }
}

Exportar um arquivo de chave privada PEM falso

Depois de ter uma chave privada no HSM, você deve exportar um arquivo de chave privada PEM falso. Esse arquivo não contém os dados reais da chave, mas permite que o OpenSSL Dynamic Engine identifique a chave privada no HSM. Em seguida, use a chave privada para criar uma solicitação de assinatura de certificado (CSR) e assinar o CSR para criar um certificado.

Use o key generate-filecomando para exportar a chave privada em formato PEM falso e salvá-la em um arquivo. Substitua os seguintes valores pelo seu próprio.

<private_key_label>— Etiqueta da chave privada que você gerou na etapa anterior.
<web_server_fake_pem.key>— Nome do arquivo no qual sua chave PEM falsa será gravada.


aws-cloudhsm > key generate-file --encoding reference-pem --path <web_server_fake_pem.key> --filter attr.label=<private_key_label>
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}

Saia da CLI do CloudHSM

Execute o comando a seguir para interromper a CLI do CloudHSM.


aws-cloudhsm > quit

Agora você deve ter um novo arquivo em seu sistema, localizado no caminho especificado <web_server_fake_pem.key> no comando anterior. Esse arquivo é o arquivo de chave privada PEM falso.

Gere um certificado autoassinado

Depois de gerar uma chave privada PEM falsa, você pode usar esse arquivo para gerar uma solicitação de assinatura de certificado (CSR) e um certificado.

Em um ambiente de produção, geralmente usa-se uma autoridade de certificação (CA) para criar um certificado de uma CSR. Não é necessária uma CA para um ambiente de teste. Se você usa uma CA, envie o arquivo CSR para eles e use o certificado SSL/TLS assinado que eles fornecem em seu servidor web para HTTPS.

Como alternativa ao uso de uma CA, você pode usar o AWS CloudHSM OpenSSL Dynamic Engine para criar um certificado autoassinado. Os certificados autoassinados não são confiáveis para os navegadores e não devem ser usados em ambientes de produção. Eles podem ser usados em ambientes de teste.

Atenção

Os certificados autoassinados devem ser usados apenas em um ambiente de teste. Para um ambiente de produção, use um método mais seguro, como uma autoridade de certificação, para criar um certificado.

Instalar e configurar o OpenSSL Dynamic Engine

Conecte-se à instância do cliente.
Instalar o OpenSSL Dynamic Engine para o Client SDK 5 do AWS CloudHSM

Gere um certificado

Obtenha uma cópia do arquivo PEM falso gerado em uma etapa anterior.
Crie uma CSR

Execute o comando a seguir para usar o AWS CloudHSM OpenSSL Dynamic Engine para criar uma solicitação de assinatura de certificado (CSR). <web_server_fake_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa. <web_server.csr>Substitua pelo nome do arquivo que contém sua CSR.

O comando req é interativo. Responda a cada campo. As informações do campo são copiadas para o certificado SSL/TLS.
```
$ openssl req -engine cloudhsm -new -key <web_server_fake_pem.key> -out <web_server.csr>
```
Criar um certificado autoassinado

Execute o comando a seguir para usar o AWS CloudHSM OpenSSL Dynamic Engine para assinar sua CSR com sua chave privada em seu HSM. Isso cria um certificado autoassinado. Substitua os valores a seguir no comando pelos seus próprios.
- <web_server.csr>— Nome do arquivo que contém o CSR.
- <web_server_fake_pem.key>— Nome do arquivo que contém a chave privada PEM falsa.
- <web_server.crt>— Nome do arquivo que conterá seu certificado de servidor web.
```
$ openssl x509 -engine cloudhsm -req -days 365 -in <web_server.csr> -signkey <web_server_fake_pem.key> -out <web_server.crt>
```

Depois de concluir essas etapas, vá para Etapa 3: configure o servidor Web.

Etapa 3: configure o servidor Web

Atualize a configuração do software de servidor web para usar o certificado HTTPS e a chave privada PEM falsa correspondente que você criou na etapa anterior. Lembre-se de fazer backup de seus certificados e chaves existentes antes de começar. Isso concluirá a configuração do software de servidor web do Linux para descarregamento de SSL/TLS com o AWS CloudHSM.

Conclua as etapas de uma das seções a seguir.

Configurar o servidor da Web NGINX

Use esta seção para configurar o NGINX em plataformas compatíveis.

Para atualizar a configuração do servidor web para NGINX

Conecte-se à instância do cliente.
Execute o seguinte comando para criar os diretórios necessários para o certificado do servidor Web e a chave privada PEM falsa.
```
$ sudo mkdir -p /etc/pki/nginx/private
```
Execute o seguinte comando para copiar o certificado do seu servidor Web para o local desejado. <web_server.crt>Substitua pelo nome do certificado do seu servidor web.
```
$ sudo cp <web_server.crt> /etc/pki/nginx/server.crt
```
Execute o seguinte comando para copiar sua chave privada PEM falsa no local desejado. <web_server_fake_pem.key>Substitua pelo nome do arquivo que contém sua chave privada PEM falsa.
```
$ sudo cp <web_server_example_pem.key> /etc/pki/nginx/private/server.key
```
Execute o comando a seguir para alterar a propriedade dos arquivos, para que o usuário chamado nginx possa lê-los.
```
$ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
```
Execute o comando a seguir para fazer backup do arquivo /etc/nginx/nginx.conf.
```
$ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
```

Atualizar a configuração para NGINX.

nota

Cada cluster pode suportar no máximo 1000 processos de trabalho do NGINX em todos os servidores Web do NGINX.

Amazon Linux

Use um editor de texto para editar o arquivo /etc/nginx/nginx.conf. Isso requer permissões raiz do Linux. Na parte superior do arquivo, adicione as seguintes linhas:


ssl_engine cloudhsm;
env CLOUDHSM_PIN;