本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
要使用客户端软件开发工具包 5 或客户端软件开发工具包 3 连接到集群,您必须首先做两件事情:
-
在 EC2 实例上安装颁发证书
-
将客户端软件开发工具包引导到集群
将颁发证书放在每个 EC2 实例上
在初始化集群时创建颁发证书。将颁发证书复制到每个连接到集群的 EC2 实例上平台的默认位置。
/opt/cloudhsm/etc/customerCA.crt
指定颁发证书的位置
使用客户端软件开发工具包 5,您可以使用配置工具指定颁发证书位置。
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
-
使用配置工具指定签发证书的位置。
$sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert<customerCA certificate file>
在 Windows 上放置适用于客户端软件开发工具包 5 的颁发证书
-
使用配置工具指定签发证书的位置。
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert<customerCA certificate file>
有关更多信息,请参阅配置工具。
有关初始化集群或创建和签名证书的更多信息,请参阅初始化集群。
引导客户端软件开发工具包
引导过程因您使用的客户端软件开发工具包的版本而异,但是您必须有集群中某个硬件安全模块(HSM)的 IP 地址。您可以使用连接到集群的任何 HSM 的 IP 地址。客户端 SDK 连接后,它会检索任何其他地址的 IP 地址, HSMs 并执行负载平衡和客户端密钥同步操作。
获取 HSM 的 IP 地址(控制台)
在家中打开https://console.aws.amazon.com/cloudhsm/主 AWS CloudHSM
机。 -
要更改 Amazon Web Services Region,请使用页面右上角的区域选择器(Region selector)。
-
要打开该集群的详细信息页面,请在集群表中选择集群 ID。
-
要获取 IP 地址,请转到 HSMs 选项卡。对于 IPv4 集群,请选择 ENI 地址下列出 IPv4 的地址。对于双栈集群,请使用 ENI IPv4 或 ENI IPv6 地址地址。
获取 HSM 的 IP 地址(AWS CLI)
-
使用 AWS CLI中的 describe-clusters 命令获取 HSM 的 IP 地址。在命令的输出中,的 IP 地址 HSMs 是
EniIp和的值EniIpV6(如果是双栈群集)。$aws cloudhsmv2 describe-clusters{ "Clusters": [ { ... } "Hsms": [ { ... "EniIp": "10.0.0.9", ... }, { ... "EniIp": "10.0.1.6", "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733", ...
有关引导程序的更多信息,请参阅配置工具。
注意
您可以使用 –-cluster-id 参数代替 -a <HSM_IP_ADDRESSES>。要查看使用 –-cluster-id 的要求,请参阅 AWS CloudHSM 客户端 SDK 5 配置工具。
为客户端 SDK 3 引导 Linux EC2 实例
-
使用 configure 指定集群中某一 HSM 的 IP 地址。
sudo /opt/cloudhsm/bin/configure -a<IP address>
为客户端 SDK 3 引导 Windows EC2 实例
-
使用 configure 指定集群中某一 HSM 的 IP 地址。
C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a<HSM IP address>
有关配置的更多信息,请参阅 AWS CloudHSM 配置工具。
