用戶端 SDK 3 設定工具 - AWS CloudHSM
語法範例參數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用戶端 SDK 3 設定工具

使用 Client SDK 3 設定工具啟動用戶端精靈並設定「雲端HSM管理公用程式」。

語法

configure -h | --help
          -a <ENI IP address>
          -m [-i <daemon_id>]
          --ssl --pkey <private key file> --cert <certificate file>
          --cmu <ENI IP address>

範例

這些範例會示範如何使用 configure 工具。

範例 :更新用 AWS CloudHSM 戶端和金鑰的HSM資料

此範例使用的-a參數configure來更新用 AWS CloudHSM 戶端和 key_mgmt_util 的HSM資料。若要使用-a參數,您必須擁有叢集中其中一個HSMs的 IP 位址。使用主控台或AWSCLI取得 IP 位址。

取得 HSM (主控台) 的 IP 位址

  1. 請在https://console.aws.amazon.com/cloudhsm/家中開啟 AWS CloudHSM 主機。

  2. 若要變更「AWS地區」,請使用頁面右上角的「地區」選取器。

  3. 若要開啟叢集詳細資訊頁面,請在叢集表格中選擇叢集 ID。

  4. 若要取得 IP 位址,請在HSMs索引標籤上,選擇 IP 位址下列出的其中一個 ENIIP 位址

若要取得 HSM (AWS CLI) 的 IP 位址

  • 使用來自的describe-clusters命令取得的 IP 位址 AWS CLI。HSM在命令的輸出中,的 IP 位址HSMs是的值EniIp

    $  aws cloudhsmv2 describe-clusters
	

{
    "Clusters": [
        { ... }
            "Hsms": [
                {
...
                    "EniIp": "10.0.0.9",
...
                },
                {
...
                    "EniIp": "10.0.1.6",
...
若要更新資HSM料

  1. 更新-a參數之前,請停止用 AWS CloudHSM 戶端。這可防止在 configure 編輯用戶端的組態檔案時可能發生的衝突。如果用戶端已停止,而此命令不會帶來任何影響,因此您可以在指令碼中使用它。

    Amazon Linux
    $ sudo stop cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client stop
    CentOS 7
    $ sudo service cloudhsm-client stop
    CentOS 8
    $ sudo service cloudhsm-client stop
    RHEL 7
    $ sudo service cloudhsm-client stop
    RHEL 8
    $ sudo service cloudhsm-client stop
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client stop
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client stop
    Windows

    • 用於 Windows 用戶端 1.1.2+:

      C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient

    • 用於 Windows 用戶端 1.1.1 和更早版本:

      在您啟動用 AWS CloudHSM 戶端的命令視窗中使用 Ctrl + C

  2. 此步驟會使用的-a參數configure10.0.0.9 ENI IP 位址新增至組態檔案。

    Amazon Linux
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Amazon Linux 2
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    CentOS 7
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    CentOS 8
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    RHEL 7
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    RHEL 8
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Ubuntu 16.04 LTS
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Ubuntu 18.04 LTS
    $ sudo /opt/cloudhsm/bin/configure -a 10.0.0.9
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -a 10.0.0.9

  3. 接下來,重新啟動 AWS CloudHSM 用戶端。用戶端啟動時,會使用其組態檔案中的 ENI IP 位址來查詢叢集。然後,它會將叢集HSMs中所有項目的 ENI IP 位址寫入cluster.info檔案。

    Amazon Linux
    $ sudo start cloudhsm-client
    Amazon Linux 2
    $ sudo service cloudhsm-client start
    CentOS 7
    $ sudo service cloudhsm-client start
    CentOS 8
    $ sudo service cloudhsm-client start
    RHEL 7
    $ sudo service cloudhsm-client start
    RHEL 8
    $ sudo service cloudhsm-client start
    Ubuntu 16.04 LTS
    $ sudo service cloudhsm-client start
    Ubuntu 18.04 LTS
    $ sudo service cloudhsm-client start
    Windows

    • 用於 Windows 用戶端 1.1.2+:

      C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient

    • 用於 Windows 用戶端 1.1.1 和更早版本:

      C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

    當命令完成時, AWS CloudHSM 用戶端和 key_mgmt_util 所使用的HSM資料是完整且正確的。

範例 :更新用戶端 SDK 3.2.1 及更早版本的HSM資料 CMU

此範例會使用指-mconfigure令,將更新的HSM資料從cluster.info檔案複製到 cloudhsm_mgmt_util 所使用的cloudhsm_mgmt_util.cfg檔案。與客戶端 SDK 3.2.1 及更早版本CMU一起使用此功能。

  • 執行之前-m,請停止用 AWS CloudHSM 戶端、執行-a命令,然後重新啟動 AWS CloudHSM 用戶端,如前面的範例所示。這可確保從 cluster.info 檔案複製到 cloudhsm_mgmt_util.cfg 檔案的資料既完整且準確。

    Linux
    $ sudo /opt/cloudhsm/bin/configure -m
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe -m
範例 :CMU從用戶端 SDK 3.3.0 及更新版本更新的HSM資料

此範例使用configure指令的--cmu參數來更新HSM資料CMU。使用CMU它與客戶端 SDK 3.3.0 及更高版本一起提供。如需有關使用的詳細資訊CMU,請參閱使用雲端HSM管理公用程式 (CMU) 管理使用者CMU搭配用戶端 SDK 3.2.1 和更早版本搭配使用。

  • 使用--cmu參數傳遞叢集HSM中的 IP 位址。

    Linux
    $ sudo /opt/cloudhsm/bin/configure --cmu <IP address>
    Windows
    C:\Program Files\Amazon\CloudHSM\bin\ configure.exe --cmu <IP address>

參數

-h | --help

顯示命令的語法。

必要:是

-a <ENI IP address>

將指定的 HSM elastic network interface (ENI) IP 位址新增至 AWS CloudHSM 組態檔。輸入叢集中任何一個HSMs的 ENI IP 位址。選擇哪一個都可以。

若要取得叢集HSMs中的 ENI IP 位址,請使用DescribeClusters作業、描述叢集命令或 AWS CLI 指令程式。Get-HSM2Cluster PowerShell

注意

執行 -aconfigure命令之前,請先停止用 AWS CloudHSM 戶端。然後,當-a命令完成時,重新啟動用 AWS CloudHSM 戶端。如需詳細資訊,請參閱範例

此參數會編輯以下組態檔案:

當用 AWS CloudHSM 戶端啟動時,它會使用其組態檔案中的 ENI IP 位址來查詢叢集,並使用叢集HSMs中所有項目的正確 ENI IP 位址更新cluster.info檔案 (/opt/cloudhsm/daemon/1/cluster.info)。

必要:是

-m

更新使CMU用的組態檔中的 HSM ENI IP 位址。

注意

-m參數適用於用戶端 SDK 3.2.1 及更早版本的用戶端。CMU對於CMU客戶端 SDK 3.3.0 及更高版本,請--cmu參閱參數,該參數簡化了更新HSM. CMU

當您更新的-a參數configure並啟動用戶端時, AWS CloudHSM 用戶端精靈會查詢叢集,並使用叢集HSMs中所有項目的正確 HSM IP 位址更新cluster.info檔案。執行命-mconfigure令會將 HSM IP 位址從複製到 cloudhsm_mgmt_util cluster.info 使用的cloudhsm_mgmt_util.cfg組態檔,以完成更新。

執行-aconfigure命令之前,請務必執行命令並重新啟動 AWS CloudHSM 用戶端。-m這可確保從 cluster.info 複製到 cloudhsm_mgmt_util.cfg 檔案的資料既完整且準確。

必要:是

-i

指定替代的用戶端常駐程式。預設值代表 AWS CloudHSM 用戶端。

預設:1

必要:否

--ssl

以指定的私SSL密金鑰和憑證取代叢集的金鑰和憑證。使用此參數時,需要 --pkey--cert 參數。

必要:否

--pkey

指定新的私有金鑰。輸入包含私有金鑰之檔案的路徑和名稱。

必要:如果指定的是 -ssl,則為是。否則不應使用此項目。

--cert

指定新的憑證。輸入包含憑證之檔案的路徑和名稱。此憑證應會鏈結至 customerCA.crt 憑證,即用於初始化叢集的自簽憑證。如需詳細資訊,請參閱初始化叢集

必要:如果指定的是 -ssl,則為是。否則不應使用此項目。

-CMU <ENI IP address>

-a-m 參數合併為一個參數。將指定的 elastic HSM network interface (ENI) IP 位址新增至 AWS CloudHSM 組態檔,然後更新CMU組態檔案。輸入叢集HSM中任何一個 IP 位址。對於用戶端 SDK 3.2.1 及更早版本,請參閱CMU與用戶端 SDK 3.2.1 及更早版本搭配使用。

必要:是

相關主題