AWS CloudHSM 客户端 SDK 5 配置示例 - AWS CloudHSM

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS CloudHSM 客户端 SDK 5 配置示例

这些示例说明如何使用 AWS CloudHSM 客户端 SDK 5 的配置工具。

本示例使用 -a 参数更新客户端软件开发工具包 5 的 HSM 数据。要使用该-a参数,您必须拥有集群 HSMs 中其中一个的 IP 地址。

PKCS #11 library
为客户端 SDK 引导 Linux EC2 实例 5
  • 使用 configure 工具指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
为客户端 SDK 5 引导 Windows EC2 实例
  • 使用 configure 工具指定集群中某一 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
为客户端 SDK 引导 Linux EC2 实例 5
  • 使用 configure 工具指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
Key Storage Provider (KSP)
为客户端 SDK 5 引导 Windows EC2 实例
  • 使用 configure 工具指定集群中某一 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" -a <HSM IP addresses>
JCE provider
为客户端 SDK 引导 Linux EC2 实例 5
  • 使用 configure 工具指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
为客户端 SDK 5 引导 Windows EC2 实例
  • 使用 configure 工具指定集群中某一 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
为客户端 SDK 引导 Linux EC2 实例 5
  • 使用配置工具指定集群中 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IPv4 / IPv6 addresses of the HSMs>
为客户端 SDK 5 引导 Windows EC2 实例
  • 使用配置工具指定集群中 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IPv4 / IPv6 addresses of the HSMs>
注意

您可以使用 –-cluster-id 参数代替 -a <HSM_IP_ADDRESSES>。要查看使用 –-cluster-id 的要求,请参阅 AWS CloudHSM 客户端 SDK 5 配置工具

有关 -a 参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数

此示例使用 cluster-id 参数通过 DescribeClusters 调用来引导客户端软件开发工具包 5。

PKCS #11 library
使用引导客户端 SDK 5 的 Linux EC2 实例 cluster-id
  • 使用集群 ID cluster-1234567 指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567
使用以下命令启动客户端 SDK 5 的 Windows EC2 实例 cluster-id
  • 使用集群 ID cluster-1234567 指定集群中某一 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --cluster-id cluster-1234567
OpenSSL Dynamic Engine
使用引导客户端 SDK 5 的 Linux EC2 实例 cluster-id
  • 使用集群 ID cluster-1234567 指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567
Key Storage Provider (KSP)
使用以下命令启动客户端 SDK 5 的 Windows EC2 实例 cluster-id
  • 使用集群 ID cluster-1234567 指定集群中某一 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --cluster-id cluster-1234567
JCE provider
使用引导客户端 SDK 5 的 Linux EC2 实例 cluster-id
  • 使用集群 ID cluster-1234567 指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567
使用以下命令启动客户端 SDK 5 的 Windows EC2 实例 cluster-id
  • 使用集群 ID cluster-1234567 指定集群中某一 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567
CloudHSM CLI
使用引导客户端 SDK 5 的 Linux EC2 实例 cluster-id
  • 使用集群 ID cluster-1234567 指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567
使用以下命令启动客户端 SDK 5 的 Windows EC2 实例 cluster-id
  • 使用集群 ID cluster-1234567 指定集群中某一 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id cluster-1234567

您可以将 --region--endpoint 参数与 cluster-id 参数结合使用,以指定系统如何进行 DescribeClusters 调用。例如,如果集群的区域与 AWS CLI 默认配置区域不同,则应使用 --region 参数使用该区域。此外,您还可以指定用于调用的 AWS CloudHSM API 终端节点,这可能是各种网络设置所必需的,例如使用不使用默认 DNS 主机名的 VPC 接口终端节点。 AWS CloudHSM

PKCS #11 library
使用自定义终端节点和区域引导 Linux EC2 实例
  • 使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
使用终端节点和区域引导 Windows EC2 实例
  • 使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。

    C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
OpenSSL Dynamic Engine
使用自定义终端节点和区域引导 Linux EC2 实例
  • 使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
Key Storage Provider (KSP)
使用终端节点和区域引导 Windows EC2 实例
  • 使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
JCE provider
使用自定义终端节点和区域引导 Linux EC2 实例
  • 使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
使用终端节点和区域引导 Windows EC2 实例
  • 使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
CloudHSM CLI
使用自定义终端节点和区域引导 Linux EC2 实例
  • 使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。

    $ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
使用终端节点和区域引导 Windows EC2 实例
  • 使用 configure 工具通过自定义区域和端点指定集群中某一 HSM 的 IP 地址。

    "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

有关 --cluster-id--region--endpoint 参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数

此示例说明如何使用--server-client-cert-file--server-client-key-file参数通过为其指定自定义密钥和 SSL 证书来重新配置 SSL AWS CloudHSM

PKCS #11 library
在 Linux 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份认证
  1. 将您的密钥和证书复制到相应目录。

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc $ sudo cp ssl-client.key /opt/cloudhsm/etc
  2. 使用配置工具指定 ssl-client.crtssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
在 Windows 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份验证
  1. 将您的密钥和证书复制到相应目录。

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. 使用 PowerShell 解释器,使用配置工具指定ssl-client.crtssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" ` --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt ` --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
在 Linux 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份认证
  1. 将您的密钥和证书复制到相应目录。

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. 使用配置工具指定 ssl-client.crtssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-dyn \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
Key Storage Provider (KSP)
在 Windows 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份验证
  1. 将您的密钥和证书复制到相应目录。

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. 使用 PowerShell 解释器,使用配置工具指定ssl-client.crtssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" ` --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt ` --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
JCE provider
在 Linux 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份认证
  1. 将您的密钥和证书复制到相应目录。

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. 使用配置工具指定 ssl-client.crtssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-jce \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
在 Windows 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份验证
  1. 将您的密钥和证书复制到相应目录。

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. 使用 PowerShell 解释器,使用配置工具指定ssl-client.crtssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" ` --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt ` --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
在 Linux 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份认证
  1. 将您的密钥和证书复制到相应目录。

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. 使用配置工具指定 ssl-client.crtssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-cli \ --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \ --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
在 Windows 上对客户端软件开发工具包 5 使用自定义证书和密钥进行 TLS 客户端与服务器之间的双向身份验证
  1. 将您的密钥和证书复制到相应目录。

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. 使用 PowerShell 解释器,使用配置工具指定ssl-client.crtssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" ` --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt ` --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

有关 --server-client-cert-file--server-client-key-file 参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数

此示例说明如何使用--client-cert-hsm-tls-file--client-key-hsm-tls-file参数通过为其指定自定义密钥和 SSL 证书来重新配置 SSL AWS CloudHSM

PKCS #11 library
在 Linux 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
  1. 将您的密钥和证书复制到相应目录。

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc $ sudo cp ssl-client.key /opt/cloudhsm/etc
  2. 使用配置工具指定 ssl-client.pemssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \ --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \ --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
在 Windows 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
  1. 将您的密钥和证书复制到相应目录。

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. 使用 PowerShell 解释器,使用配置工具指定ssl-client.pemssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" ` --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem ` --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
在 Linux 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
  1. 将您的密钥和证书复制到相应目录。

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. 使用配置工具指定 ssl-client.pemssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-dyn \ --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \ --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
Key Storage Provider (KSP)
在 Windows 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
  1. 将您的密钥和证书复制到相应目录。

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. 使用 PowerShell 解释器,使用配置工具指定ssl-client.pemssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" ` --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem ` --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
JCE provider
在 Linux 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
  1. 将您的密钥和证书复制到相应目录。

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. 使用配置工具指定 ssl-client.pemssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-jce \ --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \ --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
在 Windows 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
  1. 将您的密钥和证书复制到相应目录。

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. 使用 PowerShell 解释器,使用配置工具指定ssl-client.pemssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" ` --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem ` --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
在 Linux 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
  1. 将您的密钥和证书复制到相应目录。

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc sudo cp ssl-client.key /opt/cloudhsm/etc
  2. 使用配置工具指定 ssl-client.pemssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-cli \ --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \ --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
在 Windows 上对 Client SDK 5 使用自定义证书和密钥进行 TLS 客户端-HSM 双向身份验证
  1. 将您的密钥和证书复制到相应目录。

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key
  2. 使用 PowerShell 解释器,使用配置工具指定ssl-client.pemssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" ` --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem ` --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

有关 --client-cert-hsm-tls-file--client-key-hsm-tls-file 参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数

此示例使用 --disable-key-availability-check 参数禁用客户端密钥持久性设置。要使用单个 HSM 运行集群,必须禁用客户端密钥持久性设置。

PKCS #11 library
在 Linux 上禁用客户端软件开发工具包 5 的客户端密钥持久性
  • 使用配置工具禁用客户端密钥持久性设置。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
在 Windows 上禁用客户端软件开发工具包 5 的客户端密钥持久性
  • 使用配置工具禁用客户端密钥持久性设置。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
在 Linux 上禁用客户端软件开发工具包 5 的客户端密钥持久性
  • 使用配置工具禁用客户端密钥持久性设置。

    $ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
Key Storage Provider (KSP)
在 Windows 上禁用客户端软件开发工具包 5 的客户端密钥持久性
  • 使用配置工具禁用客户端密钥持久性设置。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
JCE provider
在 Linux 上禁用客户端软件开发工具包 5 的客户端密钥持久性
  • 使用配置工具禁用客户端密钥持久性设置。

    $ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
在 Windows 上禁用客户端软件开发工具包 5 的客户端密钥持久性
  • 使用配置工具禁用客户端密钥持久性设置。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
在 Linux 上禁用客户端软件开发工具包 5 的客户端密钥持久性
  • 使用配置工具禁用客户端密钥持久性设置。

    $ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
在 Windows 上禁用客户端软件开发工具包 5 的客户端密钥持久性
  • 使用配置工具禁用客户端密钥持久性设置。

    "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

有关 --disable-key-availability-check 参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数

客户端软件开发工具包 5 使用 log-filelog-levellog-rotationlog-type 参数来管理日志记录。

注意

要为无服务器环境(例如 AWS Fargate 或 AWS Lambda)配置您的软件开发工具包,我们建议您将日志类型配置为 AWS CloudHSM 。term客户机日志将输出到为该环境配置的 Lo CloudWatch gs 日志组,stderr并在该组中捕获。

PKCS #11 library
默认日志记录位置
  • 如果您没有为文件指定位置,则系统会将日志写入以下默认位置:

    Linux

    /opt/cloudhsm/run/cloudhsm-pkcs11.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
配置日志记录级别并将其他日志记录选项设置为默认值
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
配置文件日志记录选项
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file <file name with path> --log-rotation daily --log-level info
配置终端日志记录选项
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
OpenSSL Dynamic Engine
默认日志记录位置
  • 如果您没有为文件指定位置,则系统会将日志写入以下默认位置:

    Linux

    stderr
配置日志记录级别并将其他日志记录选项设置为默认值
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-level info
配置文件日志记录选项
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type <file name> --log-file file --log-rotation daily --log-level info
配置终端日志记录选项
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
Key Storage Provider (KSP)
默认日志记录位置
  • 如果您没有为文件指定位置,则系统会将日志写入以下默认位置:

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-ksp.log
配置日志记录级别并将其他日志记录选项设置为默认值
  • $ "C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --log-level info
配置文件日志记录选项
  • $ "C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --log-type file --log-file <file name> --log-rotation daily --log-level info
配置终端日志记录选项
  • $ "C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --log-type term --log-level info
JCE provider
默认日志记录位置
  • 如果您没有为文件指定位置,则系统会将日志写入以下默认位置:

    Linux

    /opt/cloudhsm/run/cloudhsm-jce.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
配置日志记录级别并将其他日志记录选项设置为默认值
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-level info
配置文件日志记录选项
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file <file name> --log-rotation daily --log-level info
配置终端日志记录选项
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
CloudHSM CLI
默认日志记录位置
  • 如果您没有为文件指定位置,则系统会将日志写入以下默认位置:

    Linux

    /opt/cloudhsm/run/cloudhsm-cli.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
配置日志记录级别并将其他日志记录选项设置为默认值
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-level info
配置文件日志记录选项
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file <file name> --log-rotation daily --log-level info
配置终端日志记录选项
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info

有关 log-filelog-levellog-rotationlog-type 参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数

此示例使用 --hsm-ca-cert 参数更新客户端软件开发工具包 5 的颁发证书的位置。

PKCS #11 library
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
在 Windows 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    "C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    $ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
Key Storage Provider (KSP)
在 Windows 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    "C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --hsm-ca-cert <customerCA certificate file>
JCE provider
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    $ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
在 Windows 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    "C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
在 Linux 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    $ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
在 Windows 上放置适用于客户端软件开发工具包 5 的颁发证书
  • 使用配置工具指定签发证书的位置。

    "C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

有关 --hsm-ca-cert 参数的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置参数