Connect 用戶端 SDK 連線至 AWS CloudHSM 叢集 - AWS CloudHSM
在每個 EC2 執行個體上安裝發行憑證指定憑證的位置。引導用戶端 SDK

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Connect 用戶端 SDK 連線至 AWS CloudHSM 叢集

如要使用用戶端 SDK 5 或用戶端 SDK 3 連接至叢集,您必須先執行兩項操作:

  • 在 EC2 執行個體上擁有發行憑證

  • 將用戶端 SDK 引導至叢集

在每個 EC2 執行個體上安裝發行憑證

您可以在初始化叢集時建立發行憑證。將發行憑證複製到連接至叢集每個 EC2 執行個體平台的預設位置。

Linux
/opt/cloudhsm/etc/customerCA.crt
Windows
C:\ProgramData\Amazon\CloudHSM\customerCA.crt

指定憑證的位置。

如果是用戶端 SDK 5,您可使用設定工具指定簽發憑證的位置。

PKCS #11 library
將用戶端 SDK 5 的簽發憑證安裝於 Linux 上

  • 使用設定工具指定簽發憑證的位置。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
將用戶端 SDK 5 的簽發憑證安裝於 Windows 上

  • 使用設定工具指定簽發憑證的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
將用戶端 SDK 5 的簽發憑證安裝於 Linux 上

  • 使用設定工具指定簽發憑證的位置。

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
將用戶端 SDK 5 的簽發憑證安裝於 Linux 上

  • 使用設定工具指定簽發憑證的位置。

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
將用戶端 SDK 5 的簽發憑證安裝於 Windows 上

  • 使用設定工具指定簽發憑證的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
將用戶端 SDK 5 的簽發憑證安裝於 Linux 上

  • 使用設定工具指定簽發憑證的位置。

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
將用戶端 SDK 5 的簽發憑證安裝於 Windows 上

  • 使用設定工具指定簽發憑證的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

如需詳細資訊,請參閱設定工具

如需有關初始化叢集或建立和簽署憑證的詳細資訊,請參閱初始化叢集

引導用戶端 SDK

用戶端 SDK 版本不同,啟動程序也不一樣,但您必須擁有叢集中其中一個硬體安全性模組 (HSM) 的 IP 地址。您可以使用任何連接至叢集的 HSM 的 IP 地址。用戶端 SDK 連接之後,會擷取其他任何 HSM 的 IP 地址,並執行負載平衡和用戶端金鑰同步處理操作。

取得 HSM (主控台) 的 IP 位址

  1. 請在以下位置開啟 AWS CloudHSM 主控台。 https://console.aws.amazon.com/cloudhsm/home

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。

  3. 若要開啟叢集詳細資訊頁面,請在叢集表格中選擇叢集 ID。

  4. 若要取得 IP 地址,請在 HSM 索引標籤上,選擇 ENI IP 地址下列出的其中一個 IP 地址。

若要取得 HSM 的 IP 位址 ()AWS CLI

  • 使用 AWS CLI中的 describe-clusters 命令取得 HSM 的 IP 地址。在命令輸出中,HSM 的 IP 地址是 EniIp 的值。

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...

如需有關啟動程序的詳細資訊,請參閱設定工具

PKCS #11 library
為用戶端 SDK 5 引導 Linux EC2 執行個體

  • 使用設定工具指定叢集中 HSM 的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
為用戶端 SDK 5 引導 Windows EC2 執行個體

  • 使用設定工具指定叢集中 HSM 的 IP 位址。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
為用戶端 SDK 5 引導 Linux EC2 執行個體

  • 使用設定工具指定叢集中 HSM 的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
為用戶端 SDK 5 引導 Linux EC2 執行個體

  • 使用設定工具指定叢集中 HSM 的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
為用戶端 SDK 5 引導 Windows EC2 執行個體

  • 使用設定工具指定叢集中 HSM 的 IP 位址。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
為用戶端 SDK 5 引導 Linux EC2 執行個體

  • 使用設定工具指定叢集中 HSM 的 IP 地址。

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
為用戶端 SDK 5 引導 Windows EC2 執行個體

  • 使用設定工具指定叢集中 HSM 的 IP 地址。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
注意

您可以使用 –-cluster-id 參數來代替 -a <HSM_IP_ADDRESSES>。若要查看使用 –-cluster-id 的需求,請參閱 用戶端 SDK 5 設定工具

為用戶端 SDK 3 引導 Linux EC2 執行個體

  • configure於指定叢集中 HSM 的 IP 位址。

    sudo /opt/cloudhsm/bin/configure -a <IP address>
為用戶端 SDK 3 引導 Windows EC2 執行個體

  • configure於指定叢集中 HSM 的 IP 位址。

    C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe -a <HSM IP address>

如需設定的詳細資訊,請參閱 設定工具