将客户端软件开发工具包连接到 AWS CloudHSM 集群 - AWS CloudHSM

将客户端软件开发工具包连接到 AWS CloudHSM 集群

要使用客户端软件开发工具包 5 或客户端软件开发工具包 3 连接到集群,您必须首先做两件事情:

  • 在 EC2 实例上使用颁发证书

  • 将客户端软件开发工具包引导到集群

在每个 EC2 实例上使用颁发证书

在初始化集群时创建颁发证书。将颁发证书复制到连接到集群的每个 EC2 实例上平台的默认位置。

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

指定颁发证书的位置

使用客户端软件开发工具包 5,您可以使用配置工具指定颁发证书位置。

PKCS #11 library
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
在 Windows 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    $ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    $ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
在 Windows 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    $ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
在 Windows 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

有关更多信息,请参阅配置工具

有关初始化集群或创建和签名证书的更多信息,请参阅初始化集群

引导客户端软件开发工具包

引导过程因您使用的客户端软件开发工具包的版本而异,但是您必须有集群中某个硬件安全模块(HSM)的 IP 地址。您可以使用连接到集群的任何 HSM 的 IP 地址。客户端软件开发工具包连接后,将检索任何其他 HSM 的 IP 地址,并执行负载平衡和客户端密钥同步操作。

获取 HSM 的 IP 地址(控制台)
  1. 打开位于 https://console.aws.amazon.com/cloudhsm/home 的 AWS CloudHSM 控制台。

  2. 要更改 Amazon Web Services Region,请使用页面右上角的区域选择器(Region selector)。

  3. 要打开该集群的详细信息页面,请在集群表中选择集群 ID。

  4. 要获取 IP 地址,请在 HSM 选项卡上,选择 ENI IP 地址下列出的 IP 地址之一。

获取 HSM 的 IP 地址(AWS CLI)
  • 使用 AWS CLI 中的 describe-clusters 命令获取 HSM 的 IP 地址。在该命令的输出中,HSM 的 IP 地址为 EniIp 的值。

    $ aws cloudhsmv2 describe-clusters { "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", ...

有关引导程序的更多信息,请参阅配置工具

PKCS #11 library
引导适用于客户端软件开发工具包 5 的 Linux EC2 实例
  • 使用 configure 工具指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
引导适用于客户端软件开发工具包 5 的 Windows EC2 实例
  • 使用 configure 工具指定集群中某一 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
引导适用于客户端软件开发工具包 5 的 Linux EC2 实例
  • 使用 configure 工具指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
引导适用于客户端软件开发工具包 5 的 Linux EC2 实例
  • 使用 configure 工具指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
引导适用于客户端软件开发工具包 5 的 Windows EC2 实例
  • 使用 configure 工具指定集群中某一 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
引导适用于客户端软件开发工具包 5 的 Linux EC2 实例
  • 使用配置工具指定集群中 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
引导适用于客户端软件开发工具包 5 的 Windows EC2 实例
  • 使用配置工具指定集群中 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
注意

您可以使用 –-cluster-id 参数代替 -a <HSM_IP_ADDRESSES>。要查看使用 –-cluster-id 的要求,请参阅 AWS CloudHSM Client SDK 5 configure 工具

引导适用于客户端软件开发工具包 3 的 Linux EC2 实例
  • 使用 configure 指定集群中某一 HSM 的 IP 地址。

    sudo /opt/cloudhsm/bin/configure -a <IP address>
引导适用于客户端软件开发工具包 3 的 Windows EC2 实例
  • 使用 configure 指定集群中某一 HSM 的 IP 地址。

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

有关配置的更多信息,请参阅 AWS CloudHSM configure 工具