本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS CloudHSM 客户端 SDK 5 配置示例
这些示例说明如何使用 AWS CloudHSM 客户端 SDK 5 的配置工具。
本示例使用 -a
参数更新客户端软件开发工具包 5 的 HSM 数据。要使用该-a
参数,您必须拥有集群 HSMs 中其中一个的 IP 地址。
- PKCS #11 library
-
为客户端 SDK 引导 Linux EC2 实例 5
-
使用 configure 工具指定集群中某一 HSM 的 IP 地址。
$
sudo /opt/cloudhsm/bin/configure-pkcs11 -a
<HSM IP addresses>
为客户端 SDK 5 引导 Windows EC2 实例
-
使用 configure 工具指定集群中某一 HSM 的 IP 地址。
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a
<HSM IP addresses>
-
- OpenSSL Dynamic Engine
-
为客户端 SDK 引导 Linux EC2 实例 5
-
使用 configure 工具指定集群中某一 HSM 的 IP 地址。
$
sudo /opt/cloudhsm/bin/configure-dyn -a
<HSM IP addresses>
-
- Key Storage Provider (KSP)
-
为客户端 SDK 5 引导 Windows EC2 实例
-
使用 configure 工具指定集群中某一 HSM 的 IP 地址。
"C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" -a
<HSM IP addresses>
-
- JCE provider
-
为客户端 SDK 引导 Linux EC2 实例 5
-
使用 configure 工具指定集群中某一 HSM 的 IP 地址。
$
sudo /opt/cloudhsm/bin/configure-jce -a
<HSM IP addresses>
为客户端 SDK 5 引导 Windows EC2 实例
-
使用 configure 工具指定集群中某一 HSM 的 IP 地址。
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a
<HSM IP addresses>
-
- CloudHSM CLI
-
为客户端 SDK 引导 Linux EC2 实例 5
-
使用配置工具指定集群中 HSM 的 IP 地址。
$
sudo /opt/cloudhsm/bin/configure-cli -a
<The ENI IPv4 / IPv6 addresses of the HSMs>
为客户端 SDK 5 引导 Windows EC2 实例
-
使用配置工具指定集群中 HSM 的 IP 地址。
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a
<The ENI IPv4 / IPv6 addresses of the HSMs>
-
注意
您可以使用 –-cluster-id
参数代替 -a <HSM_IP_ADDRESSES>
。要查看使用 –-cluster-id
的要求,请参阅 AWS CloudHSM 客户端 SDK 5 配置工具。
有关 -a
参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数。
此示例使用 cluster-id
参数通过 DescribeClusters
调用来引导客户端软件开发工具包 5。
- PKCS #11 library
-
使用引导客户端 SDK 5 的 Linux EC2 实例
cluster-id
-
使用集群 ID
cluster-1234567
指定集群中某一 HSM 的 IP 地址。$
sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-idcluster-1234567
使用以下命令启动客户端 SDK 5 的 Windows EC2 实例
cluster-id
-
使用集群 ID
cluster-1234567
指定集群中某一 HSM 的 IP 地址。"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --cluster-id
cluster-1234567
-
- OpenSSL Dynamic Engine
-
使用引导客户端 SDK 5 的 Linux EC2 实例
cluster-id
-
使用集群 ID
cluster-1234567
指定集群中某一 HSM 的 IP 地址。$
sudo /opt/cloudhsm/bin/configure-dyn --cluster-idcluster-1234567
-
- Key Storage Provider (KSP)
-
使用以下命令启动客户端 SDK 5 的 Windows EC2 实例
cluster-id
-
使用集群 ID
cluster-1234567
指定集群中某一 HSM 的 IP 地址。"C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --cluster-id
cluster-1234567
-
- JCE provider
-
使用引导客户端 SDK 5 的 Linux EC2 实例
cluster-id
-
使用集群 ID
cluster-1234567
指定集群中某一 HSM 的 IP 地址。$
sudo /opt/cloudhsm/bin/configure-jce --cluster-idcluster-1234567
使用以下命令启动客户端 SDK 5 的 Windows EC2 实例
cluster-id
-
使用集群 ID
cluster-1234567
指定集群中某一 HSM 的 IP 地址。"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id
cluster-1234567
-
- CloudHSM CLI
-
使用引导客户端 SDK 5 的 Linux EC2 实例
cluster-id
-
使用集群 ID
cluster-1234567
指定集群中某一 HSM 的 IP 地址。$
sudo /opt/cloudhsm/bin/configure-cli --cluster-idcluster-1234567
使用以下命令启动客户端 SDK 5 的 Windows EC2 实例
cluster-id
-
使用集群 ID
cluster-1234567
指定集群中某一 HSM 的 IP 地址。"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id
cluster-1234567
-
您可以将 --region
和 --endpoint
参数与 cluster-id
参数结合使用,以指定系统如何进行 DescribeClusters
调用。例如,如果集群的区域与 AWS CLI 默认配置区域不同,则应使用 --region
参数使用该区域。此外,您还可以指定用于调用的 AWS CloudHSM API 终端节点,这可能是各种网络设置所必需的,例如使用不使用默认 DNS 主机名的 VPC 接口终端节点。 AWS CloudHSM
- PKCS #11 library
-
使用自定义终端节点和区域引导 Linux EC2 实例
-
使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。
$
sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id
cluster-1234567
--regionus-east-1
--endpointhttps://cloudhsmv2.us-east-1.amazonaws.com
使用终端节点和区域引导 Windows EC2 实例
-
使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。
C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id
cluster-1234567
--regionus-east-1
--endpointhttps://cloudhsmv2.us-east-1.amazonaws.com
-
- OpenSSL Dynamic Engine
-
使用自定义终端节点和区域引导 Linux EC2 实例
-
使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。
$
sudo /opt/cloudhsm/bin/configure-dyn --cluster-id
cluster-1234567
--regionus-east-1
--endpointhttps://cloudhsmv2.us-east-1.amazonaws.com
-
- Key Storage Provider (KSP)
-
使用终端节点和区域引导 Windows EC2 实例
-
使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。
"C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --cluster-id
cluster-1234567
--regionus-east-1
--endpointhttps://cloudhsmv2.us-east-1.amazonaws.com
-
- JCE provider
-
使用自定义终端节点和区域引导 Linux EC2 实例
-
使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。
$
sudo /opt/cloudhsm/bin/configure-jce --cluster-id
cluster-1234567
--regionus-east-1
--endpointhttps://cloudhsmv2.us-east-1.amazonaws.com
使用终端节点和区域引导 Windows EC2 实例
-
使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id
cluster-1234567
--regionus-east-1
--endpointhttps://cloudhsmv2.us-east-1.amazonaws.com
-
- CloudHSM CLI
-
使用自定义终端节点和区域引导 Linux EC2 实例
-
使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。
$
sudo /opt/cloudhsm/bin/configure-cli --cluster-id
cluster-1234567
--regionus-east-1
--endpointhttps://cloudhsmv2.us-east-1.amazonaws.com
使用终端节点和区域引导 Windows EC2 实例
-
使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id
cluster-1234567
--regionus-east-1
--endpointhttps://cloudhsmv2.us-east-1.amazonaws.com
-
有关 --cluster-id
、--region
和 --endpoint
参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数。
此示例说明如何使用--server-client-cert-file
和--server-client-key-file
参数通过为其指定自定义密钥和 SSL 证书来重新配置 SSL AWS CloudHSM
- PKCS #11 library
-
在 Linux 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份认证
-
将您的密钥和证书复制到相应目录。
$
sudo cp ssl-client.crt
/opt/cloudhsm/etc
$
sudo cp ssl-client.key
/opt/cloudhsm/etc
-
使用配置工具指定
ssl-client.crt
和ssl-client.key
。$
sudo /opt/cloudhsm/bin/configure-pkcs11 \ --server-client-cert-file
/opt/cloudhsm/etc/ssl-client.crt
\ --server-client-key-file/opt/cloudhsm/etc/ssl-client.key
在 Windows 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份验证
-
将您的密钥和证书复制到相应目录。
cp ssl-client.crt
C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.keyC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
使用 PowerShell 解释器,使用配置工具指定
ssl-client.crt
和ssl-client.key
。& "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" ` --server-client-cert-file
C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
` --server-client-key-fileC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
- OpenSSL Dynamic Engine
-
在 Linux 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份认证
-
将您的密钥和证书复制到相应目录。
$
sudo cp ssl-client.crt
/opt/cloudhsm/etc
sudo cp ssl-client.key/opt/cloudhsm/etc
-
使用配置工具指定
ssl-client.crt
和ssl-client.key
。$
sudo /opt/cloudhsm/bin/configure-dyn \ --server-client-cert-file
/opt/cloudhsm/etc/ssl-client.crt
\ --server-client-key-file/opt/cloudhsm/etc/ssl-client.key
-
- Key Storage Provider (KSP)
-
在 Windows 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份验证
-
将您的密钥和证书复制到相应目录。
cp ssl-client.crt
C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.keyC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
使用 PowerShell 解释器,使用配置工具指定
ssl-client.crt
和ssl-client.key
。& "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" ` --server-client-cert-file
C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
` --server-client-key-fileC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
- JCE provider
-
在 Linux 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份认证
-
将您的密钥和证书复制到相应目录。
$
sudo cp ssl-client.crt
/opt/cloudhsm/etc
sudo cp ssl-client.key/opt/cloudhsm/etc
-
使用配置工具指定
ssl-client.crt
和ssl-client.key
。$
sudo /opt/cloudhsm/bin/configure-jce \ --server-client-cert-file
/opt/cloudhsm/etc/ssl-client.crt
\ --server-client-key-file/opt/cloudhsm/etc/ssl-client.key
在 Windows 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份验证
-
将您的密钥和证书复制到相应目录。
cp ssl-client.crt
C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.keyC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
使用 PowerShell 解释器,使用配置工具指定
ssl-client.crt
和ssl-client.key
。& "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" ` --server-client-cert-file
C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
` --server-client-key-fileC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
- CloudHSM CLI
-
在 Linux 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份认证
-
将您的密钥和证书复制到相应目录。
$
sudo cp ssl-client.crt
/opt/cloudhsm/etc
sudo cp ssl-client.key/opt/cloudhsm/etc
-
使用配置工具指定
ssl-client.crt
和ssl-client.key
。$
sudo /opt/cloudhsm/bin/configure-cli \ --server-client-cert-file
/opt/cloudhsm/etc/ssl-client.crt
\ --server-client-key-file/opt/cloudhsm/etc/ssl-client.key
在 Windows 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份验证
-
将您的密钥和证书复制到相应目录。
cp ssl-client.crt
C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.keyC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
使用 PowerShell 解释器,使用配置工具指定
ssl-client.crt
和ssl-client.key
。& "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" ` --server-client-cert-file
C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
` --server-client-key-fileC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
有关 --server-client-cert-file
和 --server-client-key-file
参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数。
此示例说明如何使用--client-cert-hsm-tls-file
和--client-key-hsm-tls-file
参数通过为其指定自定义密钥和 SSL 证书来重新配置 SSL AWS CloudHSM
- PKCS #11 library
-
在 Linux 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
-
将您的密钥和证书复制到相应目录。
$
sudo cp ssl-client.pem
/opt/cloudhsm/etc
$
sudo cp ssl-client.key
/opt/cloudhsm/etc
-
使用配置工具指定
ssl-client.pem
和ssl-client.key
。$
sudo /opt/cloudhsm/bin/configure-pkcs11 \ --client-cert-hsm-tls-file
/opt/cloudhsm/etc/ssl-client.pem
\ --client-key-hsm-tls-file/opt/cloudhsm/etc/ssl-client.key
在 Windows 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
-
将您的密钥和证书复制到相应目录。
cp ssl-client.pem
C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.keyC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
使用 PowerShell 解释器,使用配置工具指定
ssl-client.pem
和ssl-client.key
。& "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" ` --client-cert-hsm-tls-file
C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
` --client-key-hsm-tls-fileC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
- OpenSSL Dynamic Engine
-
在 Linux 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
-
将您的密钥和证书复制到相应目录。
$
sudo cp ssl-client.pem
/opt/cloudhsm/etc
sudo cp ssl-client.key/opt/cloudhsm/etc
-
使用配置工具指定
ssl-client.pem
和ssl-client.key
。$
sudo /opt/cloudhsm/bin/configure-dyn \ --client-cert-hsm-tls-file
/opt/cloudhsm/etc/ssl-client.pem
\ --client-key-hsm-tls-file/opt/cloudhsm/etc/ssl-client.key
-
- Key Storage Provider (KSP)
-
在 Windows 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
-
将您的密钥和证书复制到相应目录。
cp ssl-client.pem
C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.keyC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
使用 PowerShell 解释器,使用配置工具指定
ssl-client.pem
和ssl-client.key
。& "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" ` --client-cert-hsm-tls-file
C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
` --client-key-hsm-tls-fileC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
- JCE provider
-
在 Linux 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
-
将您的密钥和证书复制到相应目录。
$
sudo cp ssl-client.pem
/opt/cloudhsm/etc
sudo cp ssl-client.key/opt/cloudhsm/etc
-
使用配置工具指定
ssl-client.pem
和ssl-client.key
。$
sudo /opt/cloudhsm/bin/configure-jce \ --client-cert-hsm-tls-file
/opt/cloudhsm/etc/ssl-client.pem
\ --client-key-hsm-tls-file/opt/cloudhsm/etc/ssl-client.key
在 Windows 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
-
将您的密钥和证书复制到相应目录。
cp ssl-client.pem
C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.keyC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
使用 PowerShell 解释器,使用配置工具指定
ssl-client.pem
和ssl-client.key
。& "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" ` --client-cert-hsm-tls-file
C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
` --client-key-hsm-tls-fileC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
- CloudHSM CLI
-
在 Linux 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
-
将您的密钥和证书复制到相应目录。
$
sudo cp ssl-client.pem
/opt/cloudhsm/etc
sudo cp ssl-client.key/opt/cloudhsm/etc
-
使用配置工具指定
ssl-client.pem
和ssl-client.key
。$
sudo /opt/cloudhsm/bin/configure-cli \ --client-cert-hsm-tls-file
/opt/cloudhsm/etc/ssl-client.pem
\ --client-key-hsm-tls-file/opt/cloudhsm/etc/ssl-client.key
在 Windows 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
-
将您的密钥和证书复制到相应目录。
cp ssl-client.pem
C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.keyC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
使用 PowerShell 解释器,使用配置工具指定
ssl-client.pem
和ssl-client.key
。& "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" ` --client-cert-hsm-tls-file
C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
` --client-key-hsm-tls-fileC:\ProgramData\Amazon\CloudHSM\ssl-client.key
-
有关 --client-cert-hsm-tls-file
和 --client-key-hsm-tls-file
参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数。
此示例使用 --disable-key-availability-check
参数禁用客户端密钥持久性设置。要使用单个 HSM 运行集群,必须禁用客户端密钥持久性设置。
- PKCS #11 library
-
在 Linux 上禁用客户端软件开发工具包 5 的客户端密钥持久性
-
使用配置工具禁用客户端密钥持久性设置。
$
sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
在 Windows 上禁用客户端软件开发工具包 5 的客户端密钥持久性
-
使用配置工具禁用客户端密钥持久性设置。
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
-
- OpenSSL Dynamic Engine
-
在 Linux 上禁用客户端软件开发工具包 5 的客户端密钥持久性
-
使用配置工具禁用客户端密钥持久性设置。
$
sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
-
- Key Storage Provider (KSP)
-
在 Windows 上禁用客户端软件开发工具包 5 的客户端密钥持久性
-
使用配置工具禁用客户端密钥持久性设置。
"C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
-
- JCE provider
-
在 Linux 上禁用客户端软件开发工具包 5 的客户端密钥持久性
-
使用配置工具禁用客户端密钥持久性设置。
$
sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
在 Windows 上禁用客户端软件开发工具包 5 的客户端密钥持久性
-
使用配置工具禁用客户端密钥持久性设置。
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
-
- CloudHSM CLI
-
在 Linux 上禁用客户端软件开发工具包 5 的客户端密钥持久性
-
使用配置工具禁用客户端密钥持久性设置。
$
sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
在 Windows 上禁用客户端软件开发工具包 5 的客户端密钥持久性
-
使用配置工具禁用客户端密钥持久性设置。
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
-
有关 --disable-key-availability-check
参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数。
客户端软件开发工具包 5 使用 log-file
、log-level
、log-rotation
和 log-type
参数来管理日志记录。
注意
要为无服务器环境(例如 AWS Fargate 或 AWS Lambda)配置您的软件开发工具包,我们建议您将日志类型配置为 AWS CloudHSM 。term
客户机日志将输出到为该环境配置的 Lo CloudWatch gs 日志组,stderr
并在该组中捕获。
- PKCS #11 library
-
默认日志记录位置
-
如果您没有为文件指定位置,则系统会将日志写入以下默认位置:
Linux
/opt/cloudhsm/run/cloudhsm-pkcs11.log
Windows
C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
配置日志记录级别并将其他日志记录选项设置为默认值
-
$
sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
配置文件日志记录选项
-
$
sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file <
file name with path
> --log-rotation daily --log-level info
配置终端日志记录选项
-
$
sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
-
- OpenSSL Dynamic Engine
-
默认日志记录位置
-
如果您没有为文件指定位置,则系统会将日志写入以下默认位置:
Linux
stderr
配置日志记录级别并将其他日志记录选项设置为默认值
-
$
sudo /opt/cloudhsm/bin/configure-dyn --log-level info
配置文件日志记录选项
-
$
sudo /opt/cloudhsm/bin/configure-dyn --log-type <
file name
> --log-file file --log-rotation daily --log-level info
配置终端日志记录选项
-
$
sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
-
- Key Storage Provider (KSP)
-
默认日志记录位置
-
如果您没有为文件指定位置,则系统会将日志写入以下默认位置:
Windows
C:\Program Files\Amazon\CloudHSM\cloudhsm-ksp.log
配置日志记录级别并将其他日志记录选项设置为默认值
-
$
"C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --log-level info
配置文件日志记录选项
-
$
"C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --log-type file --log-file <
file name
> --log-rotation daily --log-level info
配置终端日志记录选项
-
$
"C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --log-type term --log-level info
-
- JCE provider
-
默认日志记录位置
-
如果您没有为文件指定位置,则系统会将日志写入以下默认位置:
Linux
/opt/cloudhsm/run/cloudhsm-jce.log
Windows
C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
配置日志记录级别并将其他日志记录选项设置为默认值
-
$
sudo /opt/cloudhsm/bin/configure-jce --log-level info
配置文件日志记录选项
-
$
sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file <
file name
> --log-rotation daily --log-level info
配置终端日志记录选项
-
$
sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
-
- CloudHSM CLI
-
默认日志记录位置
-
如果您没有为文件指定位置,则系统会将日志写入以下默认位置:
Linux
/opt/cloudhsm/run/cloudhsm-cli.log
Windows
C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
配置日志记录级别并将其他日志记录选项设置为默认值
-
$
sudo /opt/cloudhsm/bin/configure-cli --log-level info
配置文件日志记录选项
-
$
sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file <
file name
> --log-rotation daily --log-level info
配置终端日志记录选项
-
$
sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info
-
有关 log-file
、log-level
、log-rotation
和 log-type
参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数。
此示例使用 --hsm-ca-cert
参数更新客户端软件开发工具包 5 的颁发证书的位置。
- PKCS #11 library
-
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
-
使用配置工具指定签发证书的位置。
$
sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert<customerCA certificate file>
在 Windows 上放置适用于客户端软件开发工具包 5 的颁发证书
-
使用配置工具指定签发证书的位置。
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert
<customerCA certificate file>
-
- OpenSSL Dynamic Engine
-
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
-
使用配置工具指定签发证书的位置。
$
sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert<customerCA certificate file>
-
- Key Storage Provider (KSP)
-
在 Windows 上放置适用于客户端软件开发工具包 5 的颁发证书
-
使用配置工具指定签发证书的位置。
"C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --hsm-ca-cert
<customerCA certificate file>
-
- JCE provider
-
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
-
使用配置工具指定签发证书的位置。
$
sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert<customerCA certificate file>
在 Windows 上放置适用于客户端软件开发工具包 5 的颁发证书
-
使用配置工具指定签发证书的位置。
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert
<customerCA certificate file>
-
- CloudHSM CLI
-
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
-
使用配置工具指定签发证书的位置。
$
sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert<customerCA certificate file>
在 Windows 上放置适用于客户端软件开发工具包 5 的颁发证书
-
使用配置工具指定签发证书的位置。
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert
<customerCA certificate file>
-
有关 --hsm-ca-cert
参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数。