本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 1:设置先决条件
要在 Linux 上使用 Tomcat Web 服务器和 SSL/TLS AWS CloudHSM 卸载,请遵循以下先决条件。要使用客户端软件开发工具包 5 和 Tomcat Web 服务器设置 Web 服务器的 SSL/TLS 分载,则必须满足这些先决条件。
注意
不同的平台需要不同的先决条件。请始终按照适用于您的平台的正确安装步骤进行操作。
先决条件
-
运行安装了 tomcat Web 服务器的 Linux 操作系统的 Amazon EC2 实例。
-
一个加密用户(CU),该用户拥有和管理 HSM 上的 Web 服务器的私有密钥。
-
具有至少两个硬件安全模块 (HSM) 的活动 AWS CloudHSM 集群,且安装并配置了 JCE for Client SDK 5。
注意
您可以使用单个 HSM 集群,但您必须首先禁用客户端密钥持久性。有关更多信息,请参阅管理客户端密钥持久性设置和客户端软件开发工具包 5 配置工具。
如何满足先决条件
-
在至少有两个硬件安全模块 (HSM) 的活动 AWS CloudHSM 集群 AWS CloudHSM 上安装和配置 JCE。有关安装的更多信息,请参阅适用于客户端软件开发工具包 5 的 JCE。
-
在可以访问您的 AWS CloudHSM 集群的 EC2 Linux 实例上,按照 Apache Tomcat 的说明
下载并安装 Tomcat Web 服务器。 -
使用 CloudHSM CLI 创建加密用户(CU)。有关管理 HSM 用户的更多信息,请参阅使用 CloudHSM CLI 管理 HSM 用户。
提示
跟踪 CU 用户名和密码。您稍后为 Web 服务器生成或导入 HTTPS 私有密钥和证书时需要它们。
要使用 Java Keytool 设置 JCE,请按照 使用客户端软件开发工具包 5 与 Java Keytool 和 Jarsigner 集成 中的说明进行操作。
完成这些步骤后,请转到 步骤 2:生成或导入私有密钥和 SSL/TLS 证书。
注意
-
要使用安全增强型 Linux (SELinux) 和 Web 服务器,必须允许端口 2223 上的出站 TCP 连接,这是客户端软件开发工具包 5 用于与 HSM 通信的端口。
-
要创建和激活集群并授予 EC2 实例访问该集群的权限,请完成入门 AWS CloudHSM的步骤。本节提供 step-by-step 有关创建包含一个 HSM 和一个 Amazon EC2 客户端实例的活动集群的说明。您可使用此客户端实例作为您的 Web 服务器。
-
为避免禁用客户端密钥持久性,请向集群添加多个 HSM。有关更多信息,请参阅 添加 HSM。
-
要连接到客户端实例,可以使用 SSH 或 PuTTY。有关更多信息,请参阅 Amazon EC2 文档中的使用 SSH 连接到您的 Linux 实例或使用 PuTTY 从 Windows 连接到您的 Linux 实例。