將用戶端 SDK 連接至 AWS CloudHSM 叢集 - AWS CloudHSM
在每個 EC2 執行個體上安裝發行憑證指定憑證的位置。引導用戶端 SDK

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將用戶端 SDK 連接至 AWS CloudHSM 叢集

如要使用用戶端 SDK 5 或用戶端 SDK 3 連接至叢集,您必須先執行兩項操作:

  • 在 EC2 執行個體上擁有發行憑證

  • 將用戶端 SDK 引導至叢集

在每個 EC2 執行個體上安裝發行憑證

您可以在初始化叢集時建立發行憑證。將發行憑證複製到連接至叢集每個 EC2 執行個體平台的預設位置。

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

指定憑證的位置。

如果是用戶端 SDK 5,您可使用設定工具指定簽發憑證的位置。

PKCS #11 library
將用戶端 SDK 5 的簽發憑證安裝於 Linux 上

  • 使用設定工具指定簽發憑證的位置。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
將用戶端 SDK 5 的簽發憑證安裝於 Windows 上

  • 使用設定工具指定簽發憑證的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
將用戶端 SDK 5 的簽發憑證安裝於 Linux 上

  • 使用設定工具指定簽發憑證的位置。

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
Key Storage Provider (KSP)
將用戶端 SDK 5 的簽發憑證安裝於 Windows 上

  • 使用設定工具指定簽發憑證的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-ksp.exe" --hsm-ca-cert <customerCA certificate file>
JCE provider
將用戶端 SDK 5 的簽發憑證安裝於 Linux 上

  • 使用設定工具指定簽發憑證的位置。

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
將用戶端 SDK 5 的簽發憑證安裝於 Windows 上

  • 使用設定工具指定簽發憑證的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
將用戶端 SDK 5 的簽發憑證安裝於 Linux 上

  • 使用設定工具指定簽發憑證的位置。

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
將用戶端 SDK 5 的簽發憑證安裝於 Windows 上

  • 使用設定工具指定簽發憑證的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

如需詳細資訊,請參閱設定工具

如需有關初始化叢集或建立和簽署憑證的詳細資訊,請參閱初始化叢集

引導用戶端 SDK

用戶端 SDK 版本不同,啟動程序也不一樣,但您必須擁有叢集中其中一個硬體安全性模組 (HSM) 的 IP 地址。您可以使用任何連接至叢集的 HSM 的 IP 地址。用戶端 SDK 連接之後,會擷取其他任何 HSM 的 IP 地址,並執行負載平衡和用戶端金鑰同步處理操作。

取得 HSM 的 IP 地址 (主控台)

  1. 在 https://https://console.aws.amazon.com/cloudhsm/home 開啟 AWS CloudHSM 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。

  3. 若要開啟叢集詳細資訊頁面,請在叢集表格中選擇叢集 ID。

  4. 若要取得 IP 地址,請前往 HSMs索引標籤。對於 IPv4 叢集,選擇 ENI IPv4 地址下列出的地址。對於雙堆疊叢集,請使用 ENI IPv4 或 ENI IPv6 地址

取得 HSM 的 IP 地址 (AWS CLI)

  • 使用 AWS CLI中的 describe-clusters 命令取得 HSM 的 IP 地址。在 命令的輸出中,HSMs 的 IP 地址是 EniIp和 的值 EniIpV6(如果是雙堆疊叢集)。

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
                    "EniIpV6": "2600:113f:404:be09:310e:ed34:3412:f733",
...

如需有關啟動程序的詳細資訊,請參閱設定工具

PKCS #11 library
為用戶端 SDK 5 引導 Linux EC2 執行個體

  • 使用 設定工具來指定叢集中 HSM 的 IP 地址。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
為用戶端 SDK 5 引導 Windows EC2 執行個體

  • 使用 設定工具來指定叢集中 HSM 的 IP 地址。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
為用戶端 SDK 5 引導 Linux EC2 執行個體

  • 使用 設定工具來指定叢集中 HSM 的 IP 地址。

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
Key Storage Provider (KSP)
為用戶端 SDK 5 引導 Windows EC2 執行個體

  • 使用 設定工具來指定叢集中 HSM 的 IP 地址。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" -a <HSM IP addresses>
JCE provider
為用戶端 SDK 5 引導 Linux EC2 執行個體

  • 使用 設定工具來指定叢集中 HSM 的 IP 地址。

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
為用戶端 SDK 5 引導 Windows EC2 執行個體

  • 使用 設定工具來指定叢集中 HSM 的 IP 地址。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
為用戶端 SDK 5 引導 Linux EC2 執行個體

  • 使用設定工具指定叢集中 HSM 的 IP 地址。

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IPv4 / IPv6 addresses of the HSMs>
為用戶端 SDK 5 引導 Windows EC2 執行個體

  • 使用設定工具指定叢集中 HSM 的 IP 地址。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IPv4 / IPv6 addresses of the HSMs>
注意

您可以使用 –-cluster-id 參數來代替 -a <HSM_IP_ADDRESSES>。若要查看使用 –-cluster-id 的需求,請參閱 AWS CloudHSM 用戶端 SDK 5 設定工具

為用戶端 SDK 3 引導 Linux EC2 執行個體

  • 使用 configure指定叢集中 HSM 的 IP 地址。

    sudo /opt/cloudhsm/bin/configure -a <IP address>
為用戶端 SDK 3 引導 Windows EC2 執行個體

  • 使用 configure指定叢集中 HSM 的 IP 地址。

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

如需設定的詳細資訊,請參閱 AWS CloudHSM 設定工具