将客户端SDK连接到集 AWS CloudHSM 群 - AWS CloudHSM
将颁发证书放在每个EC2实例上指定颁发证书的位置引导客户端 SDK

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将客户端SDK连接到集 AWS CloudHSM 群

要使用客户端 SDK 5 或客户端 SDK 3 连接到集群,必须先做两件事:

  • 在EC2实例上安装颁发证书

  • 将客户端引导SDK到集群

将颁发证书放在每个EC2实例上

在初始化集群时创建颁发证书。在连接到集群的每个EC2实例上,将颁发证书复制到平台的默认位置。

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

指定颁发证书的位置

在客户端 SDK 5 中,您可以使用配置工具来指定颁发证书的位置。

PKCS #11 library
在 Linux 上为客户端 SDK 5 放置颁发证书

  • 使用配置工具指定签发证书的位置。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
在 Windows 上放置客户端 SDK 5 的颁发证书

  • 使用配置工具指定签发证书的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
在 Linux 上为客户端 SDK 5 放置颁发证书

  • 使用配置工具指定签发证书的位置。

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
在 Linux 上为客户端 SDK 5 放置颁发证书

  • 使用配置工具指定签发证书的位置。

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
在 Windows 上放置客户端 SDK 5 的颁发证书

  • 使用配置工具指定签发证书的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
在 Linux 上为客户端 SDK 5 放置颁发证书

  • 使用配置工具指定签发证书的位置。

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
在 Windows 上放置客户端 SDK 5 的颁发证书

  • 使用配置工具指定签发证书的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

有关更多信息,请参阅配置工具

有关初始化集群或创建和签名证书的更多信息,请参阅初始化集群

引导客户端 SDK

根据SDK您使用的客户端版本的不同,引导过程会有所不同,但是您必须拥有集群中一个硬件安全模块 (HSM) 的 IP 地址。您可以使用任何HSM连接到您的集群的 IP 地址。客户端SDK连接后,它会检索任何其他地址的 IP 地址,HSMs并执行负载平衡和客户端密钥同步操作。

获取HSM(控制台)的 IP 地址

  1. 在家中打开https://console.aws.amazon.com/cloudhsm/主 AWS CloudHSM机。

  2. 要更改AWS区域,请使用页面右上角的区域选择器。

  3. 要打开该集群的详细信息页面,请在集群表中选择集群 ID。

  4. 要获取 IP 地址,请在HSMs选项卡上选择 IP 地址下列出的 ENIIP 地址之一。

获取 HSM (AWS CLI) 的 IP 地址

  • 使用中的describe-clusters命令获取HSM的 IP 地址 AWS CLI。在命令的输出中,的 IP 地址HSMs是的值EniIp

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

有关引导程序的更多信息,请参阅配置工具

PKCS #11 library
为客户端 SDK 5 引导 Linux EC2 实例

  • 使用配置工具指定集群HSM中的 IP 地址。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
为客户端 SDK 5 引导 Windows EC2 实例

  • 使用配置工具指定集群HSM中的 IP 地址。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
为客户端 SDK 5 引导 Linux EC2 实例

  • 使用配置工具指定集群HSM中的 IP 地址。

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
为客户端 SDK 5 引导 Linux EC2 实例

  • 使用配置工具指定集群HSM中的 IP 地址。

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
为客户端 SDK 5 引导 Windows EC2 实例

  • 使用配置工具指定集群HSM中的 IP 地址。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
为客户端 SDK 5 引导 Linux EC2 实例

  • 使用配置工具指定集群中的 IP 地址。HSM

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
为客户端 SDK 5 引导 Windows EC2 实例

  • 使用配置工具指定集群中的 IP 地址。HSM

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
注意

您可以使用 –-cluster-id 参数代替 -a <HSM_IP_ADDRESSES>。要查看使用 –-cluster-id 的要求,请参阅 AWS CloudHSM 客户端 SDK 5 配置工具

为客户端 SDK 3 引导 Linux EC2 实例

  • configure用于指定集群HSM中的 IP 地址。

    sudo /opt/cloudhsm/bin/configure -a <IP address>
为客户端 SDK 3 引导 Windows EC2 实例

  • configure用于指定集群HSM中的 IP 地址。

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

有关配置的更多信息,请参阅 AWS CloudHSM 配置工具