本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在客户端和 AWS CloudHSM 之间设置双向 TLS(推荐)
以下主题描述了在客户端和 AWS CloudHSM之间启用双向 TLS (mTLS) 必须完成的步骤。目前,此功能仅在 hsm2m.medium 上可用。有关 HSM 类型的更多信息,请参阅 AWS CloudHSM 集群模式。
第 1 步:创建信任锚并将其注册到 HSM 上
在启用 mTLS 之前,必须创建信任锚并将其注册到 HSM。这是一个包括两个步骤的过程:
创建私有密钥和自签名根证书
注意
对于生产集群,您将要创建的密钥应使用可信的随机掩码以安全的方式创建。建议您使用安全的异地和离线 HSM 或等效对象。安全地存储密钥。
对于开发和测试,您可以使用任何方便的工具(例如 OpenSSL)来创建密钥并对根证书进行自签名。您需要密钥和根证书才能在启用 mTLS 中签署客户端证书。 AWS CloudHSM
以下示例演示如何使用 OpenSSL
例 - 使用 OpenSSL 创建私有密钥
使用以下命令创建已使用 AES-256 算法加密的 4096 位 RSA 密钥。要使用此示例,请<mtls_ca_root_1.key>替换为要存储密钥的文件的名称。
$openssl genrsa -out<mtls_ca_root_1.key>-aes256 4096Generating RSA private key, 4096 bit long modulus .....................................+++ .+++ e is 65537 (0x10001) Enter pass phrase for mtls_ca_root_1.key: Verifying - Enter pass phrase for mtls_ca_root_1.key:
例 – 使用 OpenSSL 创建自签名根证书
使用以下命令从刚刚创建的私有密钥创建名为 mtls_ca_root_1.crt 的自签名根证书。该证书的有效期为 25 年(9130 天)。阅读屏幕上的说明,并按照提示操作。
$openssl req -new -x509 -days 9130 -key mtls_ca_root_1.key -out mtls_ca_root_1.crtEnter pass phrase for mtls_ca_root_1.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []:
在 HSM 上注册信任锚
创建自签名根证书后,管理员必须将其注册为 AWS CloudHSM 集群的信任锚点。
向 HSM 注册信任锚
-
使用以下命令启动 CloudHSM CLI。
-
使用 CloudHSM CLI,以管理员身份登录。
aws-cloudhsm >login --username admin --role adminEnter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } } -
使用 使用 CloudHSM CLI 注册信任锚 命令注册信任锚。有关更多信息,请参阅以下示例或使用 help cluster mtls register-trust-anchor 命令。
例 — 向集 AWS CloudHSM 群注册信任锚点
以下示例演示如何使用 CloudHSM CLI 中的 cluster mtls register-trust-anchor 命令向 HSM 注册信任锚。要使用此命令,管理员必须登录 HSM。将这些值替换为您自己的值:
aws-cloudhsm >cluster mtls register-trust-anchor --path</path/mtls_ca_root_1.crt>{ "error_code": 0, "data": { "trust_anchor": { "certificate-reference": "0x01", "certificate": "<PEM Encoded Certificate>", "cluster-coverage": "full" } } }
注意
AWS CloudHSM 支持将中间证书注册为信任锚点。在这种情况下,需要将整个 PEM 编码的证书链文件注册到 HSM 上,并以分层顺序排列证书。
AWS CloudHSM 支持 6980 字节的证书链。
成功注册信任锚后,您可以运行 cluster mtls list-trust-anchors 命令来检查当前注册的信任锚,如下所示:
aws-cloudhsm >cluster mtls list-trust-anchors{ "error_code": 0, "data": { "trust_anchors": [ { "certificate-reference": "0x01", "certificate": "<PEM Encoded Certificate>", "cluster-coverage": "full" } ] } }
注意
最多可以在 hsm2m.medium 上注册两个(2)个信任锚。
第 2 步:启用 mTLS AWS CloudHSM
要启用 mTLS AWS CloudHSM,您需要创建私钥和由我们在创建中生成的根证书签名的客户端证书,并在 HSM 上注册信任锚点,然后使用任何 Client SDK 5 配置工具来设置私钥路径和客户端证书链路径。
创建私有密钥和客户端证书链
例 - 使用 OpenSSL 创建私有密钥
使用以下命令创建 4096 位 RSA 密钥。要使用此示例,请<ssl-client.key>替换为要存储密钥的文件的名称。
$openssl genrsa -out<ssl-client.key>4096Generating RSA private key, 4096 bit long modulus .....................................+++ .+++ e is 65537 (0x10001)
例 – 使用 OpenSSL 生成证书签名请求(CSR)
使用以下命令从您刚刚创建的私有密钥生成证书签名请求(CSR)。阅读屏幕上的说明,并按照提示操作。
$openssl req -new -key<ssl-client.key>-out<ssl-client.csr>You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []: Email Address []:
例 – 使用根证书签署 CSR
使用以下命令通过我们在创建信任锚并将其注册到 HSM 上中创建和注册的根证书对 CSR 进行签名,并创建名为 ssl-client.crt 的客户端证书。该证书的有效期为 5 年(1826 天)。
$openssl x509 -req -days 1826 -in<ssl-client.csr>-CA<mtls_ca_root_1.crt>-CAkey<mtls_ca_root_1.key>-CAcreateserial -out<ssl-client.crt>
例 – 创建客户端证书链
使用以下命令将我们在创建信任锚并将其注册到 HSM 上中创建并注册的客户端证书和根证书结合起来,创建一个名为 ssl-client.pem 的客户端证书链,该证书链将在下一步的配置中使用。
$cat<ssl-client.crt><mtls_ca_root_1.crt>><ssl-client.pem>
注意
如果您将创建信任锚并将其注册到 HSM 上中的中间证书注册为信任锚,请确保将客户端证书与整个证书链相结合以创建客户端证书链。
为 Client SDK 5 配置 mTLS
使用任何 Client SDK 5 configure 工具通过提供正确的客户端密钥路径和客户端证书链路径启用双向 TLS。有关 Client SDK 5 的 configure 工具的更多信息,请参阅 AWS CloudHSM 客户端 SDK 5 配置工具。
第 3 步:为 AWS CloudHSM设置 mTLS 强制执行
使用任何客户端 SDK 5 配置工具进行配置后,客户端与 AWS CloudHSM 集群中的双向 TLS 连接。但是,从配置文件中删除私有密钥路径和客户端证书链路径将使连接再次转变为常规 TLS。您可以使用 CloudHSM CLI 通过完成以下步骤在集群中设置 mtls 强制执行:
-
使用以下命令启动 CloudHSM CLI。
-
使用 CloudHSM CLI,以管理员身份登录。
aws-cloudhsm >login --username admin --role adminEnter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } }注意
1. 确保您已配置 CloudHSM CLI 并在 mTLS 连接下启动 CloudHSM CLI。
2. 在设置 mTLS 强制执行之前,您必须以默认管理员用户身份登录,用户名为管理员。
-
使用 使用 CloudHSM CLI 设置 mTLS 的强制执行级别 命令来设置强制执行。有关更多信息,请参阅以下示例或使用 help cluster mtls set-enforcement 命令。
例 — 使用集群设置 mTLS AWS CloudHSM 强制执行
以下示例演示如何使用 CloudHSM CLI 中的 cluster mtls set-enforcement 命令为 HSM 设置 mTLS 强制执行。要使用此命令,用户名为 admin 的管理员必须登录到 HSM。
aws-cloudhsm >cluster mtls set-enforcement --level cluster{ "error_code": 0, "data": { "message": "Mtls enforcement level set to Cluster successfully" } }警告
在集群中强制执行 mTLS 使用后,所有现有非 mTLS 连接都将被丢弃,并且您只能使用 mTLS 证书连接到集群。
