使用 CloudHSM CLI 注册信任锚 - AWS CloudHSM
用户类型要求语法示例参数相关 主题

使用 CloudHSM CLI 注册信任锚

使用 CloudHSM CLI 中的 cluster mtls register-trust-anchor 命令注册客户端和 AWS CloudHSM 之间双向 TLS 的信任锚。

用户类型

以下用户均可运行此命令。

  • Admin

要求

AWS CloudHSM 接受具有以下密钥类型的信任锚:

密钥类型 描述
EC secp256r1(P-256)、secp384r1(P-384)和 secp521r1(P-521)曲线。
RSA 2048 位、3072 位和 4096 位 RSA 密钥。

语法

aws-cloudhsm > help cluster mtls register-trust-anchor
            
Register a trust anchor for mtls

Usage: cluster mtls register-trust-anchor [OPTIONS] --path [<PATH>...]

Options:
      --cluster-id <CLUSTER_ID>  Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --path <PATH>  Filepath of the trust anchor to register
      --approval <APPROVAL>  Filepath of signed quorum token file to approve operation
  -h, --help                     Print help

示例

在以下示例中,此命令将信任锚注册到 HSM 上。最多可注册两个(2)个信任锚。

aws-cloudhsm > cluster mtls register-trust-anchor --path /home/rootCA
                
{
  "error_code": 0,
  "data": {
    "trust_anchor": {
      "certificate-reference": "0x01",
      "certificate": "<PEM Encoded Certificate>",
      "cluster-coverage": "full"
    }
  }
}

然后,您可以运行 list-trust-anchors 命令来确认信任锚已注册到 AWS CloudHSM 上:

aws-cloudhsm > clsuter mtls list-trust-anchors
                
{
  "error_code": 0,
  "data": {
    "trust_anchors": [
      {
        "certificate-reference": "0x01",
        "certificate": "<PEM Encoded Certificate>",
        "cluster-coverage": "full"
      }
    ]
  }
}

参数

<CLUSTER_ID>

要运行此操作的集群的 ID。

必需:如果已配置多个集群。

<PATH>

要注册的信任锚的文件路径。

必需:是

注意

AWS CloudHSM 支持将中间证书注册为信任锚。在这种情况下,需要将整个 PEM 编码的证书链文件注册到 HSM 上,并以分层顺序排列证书。

AWS CloudHSM 支持 6980 字节的证书链。

<APPROVAL>

指定要批准操作的已签名仲裁令牌文件的文件路径。仅当仲裁集群服务仲裁值大于 1 时才需要。

相关 主题