本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 JCE 提供程序连接到多个 AWS CloudHSM 集群
此配置允许单个客户端实例与多个 AWS CloudHSM 集群通信。对于某些用例来说,与让单个实例仅与单个集群通信相比,这可能是项节省成本的功能。该`CloudHsmProvider`类是 [Java AWS CloudHSM Security 的 Provider 类的](https://docs.oracle.com/javase/8/docs/api/java/security/Provider.html)实现。此类的每个实例都代表与整个 AWS CloudHSM 集群的连接。您可以实例化该类并将其添加到 Java Security 提供程序的列表中,以便您可以使用标准 JCE 类与之交互。
以下示例实例化该类并将其添加到 Java Security 提供程序的列表中:
```
if (Security.getProvider(CloudHsmProvider.PROVIDER_NAME) == null) {
Security.addProvider(new CloudHsmProvider());
}
```
`CloudHsmProvider` 可以通过下列两种方式进行配置:
1. 使用文件进行配置(默认配置)
1. 使用代码进行配置
以下主题介绍了这些配置以及如何连接到多个集群。
**Topics**
+ [使用文件配置 AWS CloudHSM `CloudHsmProvider` 类(默认配置)](java-lib-configs-default.md)
+ [使用代码配置 AWS CloudHSM `CloudHsmProvider` 类](java-lib-configs-using-code.md)
+ [Connect 连接到多个 AWS CloudHSM 集群](java-lib-connecting-to-multiclusters.md)
# 使用文件配置 AWS CloudHSM `CloudHsmProvider` 类(默认配置)
配置 AWS CloudHSM `CloudHsmProvider`类的默认方法是使用文件。
当您使用默认构造函数实例化 `CloudHsmProvider` 时,默认情况下,它会在 Linux 的 `/opt/cloudhsm/etc/cloudhsm-jce.cfg` 路径中查找配置文件。该配置文件可使用 `configure-jce` 进行配置。
使用默认构造函数创建的对象将使用默认 CloudHSM 提供程序名称 `CloudHSM`。提供程序的名称对于与 JCE 交互非常有用,可以让 JCE 知道要使用哪个提供程序进行各类操作。使用 CloudHSM 提供程序名称进行密码操作的示例如下所示:
```
Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding", "CloudHSM");
```
# 使用代码配置 AWS CloudHSM `CloudHsmProvider` 类
从客户端 SDK 版本 5.8.0 开始,您还可以使用 Java 代码配置该 AWS CloudHSM `CloudHsmProvider`类。做到这一点的方法是使用 `CloudHsmProviderConfig` 类的对象。您可以使用 `CloudHsmProviderConfigBuilder` 构建此对象。
`CloudHsmProvider` 还有另一个接受 `CloudHsmProviderConfig` 对象的构造函数,如以下示例所示。
**Example**
```
CloudHsmProviderConfig config = CloudHsmProviderConfig.builder()
.withCluster(
CloudHsmCluster.builder()
.withHsmCAFilePath(hsmCAFilePath)
.withClusterUniqueIdentifier("CloudHsmCluster1")
.withServer(CloudHsmServer.builder().withHostIP(hostName).build())
.build())
.build();
CloudHsmProvider provider = new CloudHsmProvider(config);
```
在此示例中,JCE 提供程序的名称为 `CloudHsmCluster1`。这是应用程序随后可用于与 JCE 交互的名称:
**Example**
```
Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding", "CloudHsmCluster1");
```
或者应用程序也可以使用上面创建的提供程序对象让 JCE 知道要使用该提供程序进行操作:
```
Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding", provider);
```
如果未在 `withClusterUniqueIdentifier` 方法中指定唯一标识符,则会为您创建一个随机生成的提供程序名称。要获取这个随机生成的标识符,应用程序可以调用 `provider.getName()` 获取该标识符。
# Connect 连接到多个 AWS CloudHSM 集群
每个都`CloudHsmProvider`代表与您的集 AWS CloudHSM 群的连接。如果您想与来自同一应用程序的另一个集群通信,则可以使用另一个集群的配置创建另一个 `CloudHsmProvider` 对象,也可以使用提供程序对象或提供程序名称与另一个集群进行交互,如以下示例所示。
**Example**
```
CloudHsmProviderConfig config = CloudHsmProviderConfig.builder()
.withCluster(
CloudHsmCluster.builder()
.withHsmCAFilePath(hsmCAFilePath)
.withClusterUniqueIdentifier("CloudHsmCluster1")
.withServer(CloudHsmServer.builder().withHostIP(hostName).build())
.build())
.build();
CloudHsmProvider provider1 = new CloudHsmProvider(config);
if (Security.getProvider(provider1.getName()) == null) {
Security.addProvider(provider1);
}
CloudHsmProviderConfig config2 = CloudHsmProviderConfig.builder()
.withCluster(
CloudHsmCluster.builder()
.withHsmCAFilePath(hsmCAFilePath2)
.withClusterUniqueIdentifier("CloudHsmCluster2")
.withServer(CloudHsmServer.builder().withHostIP(hostName2).build())
.build())
.build();
CloudHsmProvider provider2 = new CloudHsmProvider(config2);
if (Security.getProvider(provider2.getName()) == null) {
Security.addProvider(provider2);
}
```
配置了上面的两个提供程序(均为集群)后,就可以使用提供程序对象或提供程序名称与它们进行交互。
在此演示如何与之交谈的示例的基础上`cluster1`,您可以使用以下示例进行AES/GCM/NoPadding操作:
```
Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding", provider1);
```
在同一个应用程序中,要使用提供程序名称在第二个集群上生成“AES”密钥,也可以使用以下示例:
```
Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding", provider2.getName());
```