用戶端 SDK 5 設定工具 - AWS CloudHSM
語法進階組態範例參數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用戶端 SDK 5 設定工具

使用用戶端 SDK 5 設定工具來更新用戶端組態檔案。

用戶端 SDK 5 中的每個元件都包含一個配置工具,其中包含組態工具檔案名稱中的元件指示器。例如,用戶端 SDK 5 的 PKCS #11 程式庫包含一個名為 Linux 或 Windows configure-pkcs11 configure-pkcs11.exe 上的設定工具。

語法

PKCS #11
configure-pkcs11[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--client-cert-hsm-tls-file <client certificate hsm tls path>]
             [--client-key-hsm-tls-file <client key hsm tls path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-pkcs11.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-pkcs11.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
             [--enable-validate-key-at-init]
                  This is the default for PKCS #11
OpenSSL
configure-dyn[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--client-cert-hsm-tls-file <client certificate hsm tls path>]
             [--client-key-hsm-tls-file <client key hsm tls path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <error>
             [--log-type <file | term>]
                  Default is <term>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for OpenSSL
             [--enable-validate-key-at-init]
JCE
configure-jce[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--client-cert-hsm-tls-file <client certificate hsm tls path>]
             [--client-key-hsm-tls-file <client key hsm tls path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default is </opt/cloudhsm/run/cloudhsm-jce.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-jce.log>
             [--log-type <file | term>]
                  Default is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for JCE
             [--enable-validate-key-at-init]
CloudHSM CLI
configure-cli[ .exe ] 
             -a <ENI IP address>
             [--hsm-ca-cert <customerCA certificate file path>]
             [--cluster-id <cluster ID>]
             [--endpoint <endpoint>]
             [--region <region>] 
             [--server-client-cert-file <client certificate file path>]
             [--server-client-key-file <client key file path>]
             [--client-cert-hsm-tls-file <client certificate hsm tls path>]
             [--client-key-hsm-tls-file <client key hsm tls path>]
             [--log-level <error | warn | info | debug | trace>]
                  Default is <info>
             [--log-rotation <daily | weekly>]
                  Default is <daily>
             [--log-file <file name with path>]
                  Default for Linux is </opt/cloudhsm/run/cloudhsm-cli.log>
                  Default for Windows is <C:\\Program Files\\Amazon\\CloudHSM\\cloudhsm-cli.log>
             [--log-type <file | term>]
                  Default setting is <file>
             [-h | --help]
             [-V | --version]
             [--disable-key-availability-check]
             [--enable-key-availability-check]
             [--disable-validate-key-at-init]
                  This is the default for CloudHSM CLI
             [--enable-validate-key-at-init]

進階組態

如需用戶端 SDK 5 設定工具特定的進階設定清單,請參閱用戶端 SDK 5 設定工具的進階設定。

重要

變更組態後,您需要重新啟動應用程式才能使變更生效。

範例

這些範例說明如何使用用戶端 SDK 5 的設定工具。

此範例使用-a參數來更新用戶端 SDK 5 的HSM資料。若要使用-a參數,您必須擁有叢集中其中一個HSMs的 IP 位址。

PKCS #11 library
若要啟動用戶端 SDK 5 的 Linux EC2 執行個體

  • 使用配置工具指定叢集HSM中的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a <HSM IP addresses>
若要啟動用戶端 SDK 5 的 Windows EC2 執行個體

  • 使用配置工具指定叢集HSM中的 IP 位址。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a <HSM IP addresses>
OpenSSL Dynamic Engine
若要啟動用戶端 SDK 5 的 Linux EC2 執行個體

  • 使用配置工具指定叢集HSM中的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-dyn -a <HSM IP addresses>
JCE provider
若要啟動用戶端 SDK 5 的 Linux EC2 執行個體

  • 使用配置工具指定叢集HSM中的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-jce -a <HSM IP addresses>
若要啟動用戶端 SDK 5 的 Windows EC2 執行個體

  • 使用配置工具指定叢集HSM中的 IP 位址。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a <HSM IP addresses>
CloudHSM CLI
若要啟動用戶端 SDK 5 的 Linux EC2 執行個體

  • 使用設定工具指定叢集中的 IP 位址。HSM

    
$ sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IP addresses of the HSMs>
若要啟動用戶端 SDK 5 的 Windows EC2 執行個體

  • 使用設定工具指定叢集中的 IP 位址。HSM

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a <The ENI IP addresses of the HSMs>
注意

您可以使用 –-cluster-id 參數來代替 -a <HSM_IP_ADDRESSES>。若要查看使用 –-cluster-id 的需求,請參閱 用戶端 SDK 5 設定工具

如需 -a 參數的詳細資訊,請參閱 參數

此範例會使用cluster-id參數,透過DescribeClusters撥打呼叫來啟動用戶端 SDK 5。

PKCS #11 library
若要啟動用戶端 SDK 5 的 Linux EC2 執行個體,請使用 cluster-id

  • 使用叢集 ID cluster-1234567 來指定叢集HSM中的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567
若要啟動用戶端 SDK 5 的 Windows EC2 執行個體 cluster-id

  • 使用叢集 ID cluster-1234567 來指定叢集HSM中的 IP 位址。

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --cluster-id cluster-1234567
OpenSSL Dynamic Engine
若要啟動用戶端 SDK 5 的 Linux EC2 執行個體,請使用 cluster-id

  • 使用叢集 ID cluster-1234567 來指定叢集HSM中的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567
JCE provider
若要啟動用戶端 SDK 5 的 Linux EC2 執行個體,請使用 cluster-id

  • 使用叢集 ID cluster-1234567 來指定叢集HSM中的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567
若要啟動用戶端 SDK 5 的 Windows EC2 執行個體 cluster-id

  • 使用叢集 ID cluster-1234567 來指定叢集HSM中的 IP 位址。

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567
CloudHSM CLI
若要啟動用戶端 SDK 5 的 Linux EC2 執行個體,請使用 cluster-id

  • 使用叢集 ID cluster-1234567 來指定叢集HSM中的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567
若要啟動用戶端 SDK 5 的 Windows EC2 執行個體 cluster-id

  • 使用叢集 ID cluster-1234567 來指定叢集HSM中的 IP 位址。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id cluster-1234567

您可以將 --region--endpoint 參數與 cluster-id 參數結合使用,以指定系統進行 DescribeClusters 呼叫的方式。例如,如果叢集的區域與設定為AWSCLI預設值的區域不同,則應使用該--region參數來使用該區域。此外,您還可以指定要用於呼叫的 AWS CloudHSM API端點,這對於各種網路設定來說可能是必要的,例如使用不使用預設DNS主機名稱的VPC介面端點 AWS CloudHSM。

PKCS #11 library
使用自訂端點和區域啟動 Linux EC2 執行個體

  • 使用配置工具來指定具有自訂區域和端點的叢集HSM中的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
啟動具有端點和區域的 Windows EC2 執行個體

  • 使用配置工具來指定具有自訂區域和端點的叢集HSM中的 IP 位址。

    
C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe --cluster-id cluster-1234567--region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
OpenSSL Dynamic Engine
使用自訂端點和區域啟動 Linux EC2 執行個體

  • 使用配置工具來指定具有自訂區域和端點的叢集HSM中的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
JCE provider
使用自訂端點和區域啟動 Linux EC2 執行個體

  • 使用配置工具來指定具有自訂區域和端點的叢集HSM中的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
啟動具有端點和區域的 Windows EC2 執行個體

  • 使用配置工具來指定具有自訂區域和端點的叢集HSM中的 IP 位址。

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
CloudHSM CLI
使用自訂端點和區域啟動 Linux EC2 執行個體

  • 使用配置工具來指定具有自訂區域和端點的叢集HSM中的 IP 位址。

    
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com
啟動具有端點和區域的 Windows EC2 執行個體

  • 使用配置工具來指定具有自訂區域和端點的叢集HSM中的 IP 位址。

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

如需 --cluster-id--region--endpoint 參數的詳細資訊,請參閱 參數

此範例顯示如何使用--server-client-cert-file--server-client-key-file參數來重新設定,方SSL法是指定自訂金鑰和SSL憑證 AWS CloudHSM

PKCS #11 library
使用自訂憑證和金鑰進行 Linux 上用戶端與用戶端 SDK 5 的用戶端與TLS伺服器相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
$ sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 使用設定工具來指定 ssl-client.crtssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
使用自訂憑證和金鑰與 Windows 上的用戶端 SDK 5 進行用戶端與TLS伺服器之間的相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. 對於 PowerShell 解釋器,使用配置工具來指定ssl-client.crtssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
使用自訂憑證和金鑰進行 Linux 上用戶端與用戶端 SDK 5 的用戶端與TLS伺服器相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 使用設定工具來指定 ssl-client.crtssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-dyn \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
JCE provider
使用自訂憑證和金鑰進行 Linux 上用戶端與用戶端 SDK 5 的用戶端與TLS伺服器相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 使用設定工具來指定 ssl-client.crtssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-jce \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
使用自訂憑證和金鑰與 Windows 上的用戶端 SDK 5 進行用戶端與TLS伺服器之間的相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. 對於 PowerShell 解釋器,使用配置工具來指定ssl-client.crtssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
使用自訂憑證和金鑰進行 Linux 上用戶端與用戶端 SDK 5 的用戶端與TLS伺服器相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    $ sudo cp ssl-client.crt /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 使用設定工具來指定 ssl-client.crtssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-cli \
            --server-client-cert-file /opt/cloudhsm/etc/ssl-client.crt \
            --server-client-key-file /opt/cloudhsm/etc/ssl-client.key
使用自訂憑證和金鑰與 Windows 上的用戶端 SDK 5 進行用戶端與TLS伺服器之間的相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    cp ssl-client.crt C:\ProgramData\Amazon\CloudHSM\ssl-client.crt
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. 對於 PowerShell 解釋器,使用配置工具來指定ssl-client.crtssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
            --server-client-cert-file C:\ProgramData\Amazon\CloudHSM\ssl-client.crt `
            --server-client-key-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

如需 --server-client-cert-file--server-client-key-file 參數的詳細資訊,請參閱 參數

此範例顯示如何使用--client-cert-hsm-tls-file--client-key-hsm-tls-file參數來重新設定,方SSL法是指定自訂金鑰和SSL憑證 AWS CloudHSM

PKCS #11 library
若要在 Linux 上使用自訂憑證和金鑰進行用TLS戶端與用戶端 SDK 5 的HSM相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc
$ sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 使用設定工具來指定 ssl-client.pemssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 \
            --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \
            --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
在 Windows 上使用自訂憑證和金鑰進行用TLS戶端與用戶端 SDK 5 的HSM相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. 對於 PowerShell 解釋器,使用配置工具來指定ssl-client.pemssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
            --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem `
            --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
OpenSSL Dynamic Engine
若要在 Linux 上使用自訂憑證和金鑰進行用TLS戶端與用戶端 SDK 5 的HSM相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 使用設定工具來指定 ssl-client.pemssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-dyn \
            --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \
            --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
JCE provider
若要在 Linux 上使用自訂憑證和金鑰進行用TLS戶端與用戶端 SDK 5 的HSM相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 使用設定工具來指定 ssl-client.pemssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-jce \
            --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \
            --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
在 Windows 上使用自訂憑證和金鑰進行用TLS戶端與用戶端 SDK 5 的HSM相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. 對於 PowerShell 解釋器,使用配置工具來指定ssl-client.pemssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
            --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem `
            --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key
CloudHSM CLI
若要在 Linux 上使用自訂憑證和金鑰進行用TLS戶端與用戶端 SDK 5 的HSM相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    $ sudo cp ssl-client.pem /opt/cloudhsm/etc
sudo cp ssl-client.key /opt/cloudhsm/etc

  2. 使用設定工具來指定 ssl-client.pemssl-client.key

    $ sudo /opt/cloudhsm/bin/configure-cli \
            --client-cert-hsm-tls-file /opt/cloudhsm/etc/ssl-client.pem \
            --client-key-hsm-tls-file /opt/cloudhsm/etc/ssl-client.key
在 Windows 上使用自訂憑證和金鑰進行用TLS戶端與用戶端 SDK 5 的HSM相互驗證

  1. 將您的金鑰和憑證複製到適當的目錄。

    cp ssl-client.pem C:\ProgramData\Amazon\CloudHSM\ssl-client.pem
cp ssl-client.key C:\ProgramData\Amazon\CloudHSM\ssl-client.key

  2. 對於 PowerShell 解釋器,使用配置工具來指定ssl-client.pemssl-client.key

    & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
            --client-cert-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.pem `
            --client-key-hsm-tls-file C:\ProgramData\Amazon\CloudHSM\ssl-client.key

如需 --client-cert-hsm-tls-file--client-key-hsm-tls-file 參數的詳細資訊,請參閱 參數

此範例使用 --disable-key-availability-check 參數來停用用戶端金鑰耐久性設定。若要以單一叢集執行叢集HSM,您必須停用用戶端金鑰耐久性設定。

PKCS #11 library
若要停用 Linux 上用戶端 SDK 5 的用戶端金鑰耐久性

  • 使用設定工具來停用用戶端金鑰耐久性設定。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
在 Windows 上停用用戶端 SDK 5 的用戶端金鑰耐久性

  • 使用設定工具來停用用戶端金鑰耐久性設定。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
若要停用 Linux 上用戶端 SDK 5 的用戶端金鑰耐久性

  • 使用設定工具來停用用戶端金鑰耐久性設定。

    
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
JCE provider
若要停用 Linux 上用戶端 SDK 5 的用戶端金鑰耐久性

  • 使用設定工具來停用用戶端金鑰耐久性設定。

    
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
在 Windows 上停用用戶端 SDK 5 的用戶端金鑰耐久性

  • 使用設定工具來停用用戶端金鑰耐久性設定。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
若要停用 Linux 上用戶端 SDK 5 的用戶端金鑰耐久性

  • 使用設定工具來停用用戶端金鑰耐久性設定。

    
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
在 Windows 上停用用戶端 SDK 5 的用戶端金鑰耐久性

  • 使用設定工具來停用用戶端金鑰耐久性設定。

    
"C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

如需 --disable-key-availability-check 參數的詳細資訊,請參閱 參數

用戶端 SDK 5 會使用log-filelog-levellog-rotation、和log-type參數來管理記錄。

注意

若要針SDK對無伺服器環境 (例如 AWS Fargate 或 AWS Lambda) 進行設定,建議您將 AWS CloudHSM 日誌類型設定為。term用戶端記錄檔將輸出至針對該環境設定的 CloudWatch 記錄檔記錄群組,stderr並將其擷取到該環境中。

PKCS #11 library
預設日誌位置

  • 如果您未指定檔案的位置,系統會將日誌寫入下列預設位置:

    Linux

    /opt/cloudhsm/run/cloudhsm-pkcs11.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
設定日誌層級,並將其他日誌選項設定為預設值
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
設定檔案日誌選項
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file <file name with path> --log-rotation daily --log-level info
設定終端日誌選項
  • $ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
OpenSSL Dynamic Engine
預設日誌位置

  • 如果您未指定檔案的位置,系統會將日誌寫入下列預設位置:

    Linux

    stderr
設定日誌層級,並將其他日誌選項設定為預設值
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-level info
設定檔案日誌選項
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type <file name> --log-file file --log-rotation daily --log-level info
設定終端日誌選項
  • $ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
JCE provider
預設日誌位置

  • 如果您未指定檔案的位置,系統會將日誌寫入下列預設位置:

    Linux

    /opt/cloudhsm/run/cloudhsm-jce.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
設定日誌層級,並將其他日誌選項設定為預設值
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-level info
設定檔案日誌選項
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file <file name> --log-rotation daily --log-level info
設定終端日誌選項
  • $ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
CloudHSM CLI
預設日誌位置

  • 如果您未指定檔案的位置,系統會將日誌寫入下列預設位置:

    Linux

    /opt/cloudhsm/run/cloudhsm-cli.log

    Windows

    C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
設定日誌層級,並將其他日誌選項設定為預設值
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-level info
設定檔案日誌選項
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file <file name> --log-rotation daily --log-level info
設定終端日誌選項
  • $ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info

如需 log-filelog-levellog-rotationlog-type 參數的詳細資訊,請參閱 參數

此範例使用--hsm-ca-cert參數來更新 Client SDK 5 之發行憑證的位置。

PKCS #11 library
若要將用戶端 SDK 5 的核發憑證放置在 Linux 上

  • 使用設定工具指定簽發憑證的位置。

    
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert <customerCA certificate file>
若要在用戶端 SDK 5 的視窗上放置核發憑證

  • 使用設定工具指定簽發憑證的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-pkcs11.exe" --hsm-ca-cert <customerCA certificate file>
OpenSSL Dynamic Engine
若要將用戶端 SDK 5 的核發憑證放置在 Linux 上

  • 使用設定工具指定簽發憑證的位置。

    
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert <customerCA certificate file>
JCE provider
若要將用戶端 SDK 5 的核發憑證放置在 Linux 上

  • 使用設定工具指定簽發憑證的位置。

    
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert <customerCA certificate file>
若要在用戶端 SDK 5 的視窗上放置核發憑證

  • 使用設定工具指定簽發憑證的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-jce.exe" --hsm-ca-cert <customerCA certificate file>
CloudHSM CLI
若要將用戶端 SDK 5 的核發憑證放置在 Linux 上

  • 使用設定工具指定簽發憑證的位置。

    
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert <customerCA certificate file>
若要在用戶端 SDK 5 的視窗上放置核發憑證

  • 使用設定工具指定簽發憑證的位置。

    
"C:\Program Files\Amazon\CloudHSM\configure-cli.exe" --hsm-ca-cert <customerCA certificate file>

如需 --hsm-ca-cert 參數的詳細資訊,請參閱 參數

參數

-a <ENI IP address>

將指定的 IP 位址新增至用戶端 SDK 5 組態檔。輸入叢集HSM中的任何 ENI IP 位址。如需有關如何使用此選項的詳細資訊,請參閱啟動程序用戶端 SDK 5

必要:是

--hsm-ca-cert <customerCA certificate file path>

儲存憑證授權單位 (CA) 憑證的目錄路徑,用來將用EC2戶端執行個體連線至叢集。您可在初始化叢集時建立此檔案。按照預設,系統會在下列位置尋找此檔案:

Linux

/opt/cloudhsm/etc/customerCA.crt

Windows

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

如需有關初始化叢集或放置憑證的詳細資訊,請參閱 在每個 EC2 執行個體上安裝發行憑證初始化叢集

必要:否

-叢集識別碼 <cluster ID>

DescribeClusters呼叫以尋找叢集中與叢集 ID 相關聯的所有 elastic network interface (ENI) IP 位址。HSM系統會將 ENI IP 位址新增至組 AWS CloudHSM 態檔案。

注意

如果您在無法存取公用網際網路VPC的EC2執行個體中使用--cluster-id參數,則必須建立要連線的介面VPC端點 AWS CloudHSM。如需VPC端點的詳細資訊,請參閱AWS CloudHSM 和VPC端點

必要:否

-端點 <endpoint>

指定用於撥DescribeClusters打電話的 AWS CloudHSM API端點。您必須結合 --cluster-id 設定此選項。

必要:否

--region <region>

指您叢集的區域。您必須結合 --cluster-id 設定此選項。

如果您未提供 --region 參數,系統會嘗試讀取 AWS_DEFAULT_REGIONAWS_REGION 環境變數來選擇區域。如果未設定這些變數,則除非您在AWS_CONFIG_FILE環境變數中指定了不同的檔案,否則系統會檢查您設AWS定檔 (通常~/.aws/config) 中與設定檔相關聯的區域。如果未設定上述任何變數,系統會預設為 us-east-1 區域。

必要:否

--server-client-cert-file <client certificate file path>

用於用戶端TLS與伺服器相互驗證的用戶端憑證路徑。

僅當您不希望使用我們包含在 Client SDK 5 中的預設金鑰和SSL/TLS憑證時,才使用此選項。您必須結合 --server-client-key-file 設定此選項。

必要:否

--server-client-key-file <client key file path>

用於用戶端TLS與伺服器相互驗證的用戶端金鑰路徑。

僅當您不希望使用我們包含在 Client SDK 5 中的預設金鑰和SSL/TLS憑證時,才使用此選項。您必須結合 --server-client-cert-file 設定此選項。

必要:否

---client-cert-hsm-tls 文件 <client certificate hsm tls path>

用於用戶端HSM相互驗證的用TLS戶端憑證路徑。

只有在您已向 Cloud 註冊至少一個信任錨點時,才使HSM用此選項HSMCLI。您必須結合 --client-key-hsm-tls-file 設定此選項。

必要:否

---client-key-hsm-tls 文件 <client key hsm tls path>

用於用戶端HSM相互驗證的用TLS戶端金鑰路徑。

只有在您已向 Cloud 註冊至少一個信任錨點時,才使HSM用此選項HSMCLI。您必須結合 --client-cert-hsm-tls-file 設定此選項。

必要:否

--log-level <error | warn | info | debug | trace>

指定系統應寫入日誌檔的最低日誌層級。每個層級包括以前的層級,錯誤作為最低層級,追蹤為最高層級。這表示如果您指定錯誤,系統只會將錯誤寫入日誌。如果您指定追蹤,系統會將錯誤、警告、資訊 (info) 和偵錯訊息寫入日誌檔。如需詳細資訊,請參閱用戶端 SDK 5 記錄

必要:否

-對數旋轉 <daily | weekly>

指系統輪換日誌檔的頻率。如需詳細資訊,請參閱用戶端 SDK 5 記錄

必要:否

-日誌文件 <file name with path>

指系統將寫入日誌檔的位置。如需詳細資訊,請參閱用戶端 SDK 5 記錄

必要:否

-日誌型 <term | file>

指系統是否將日誌寫入檔案或終端。如需詳細資訊,請參閱用戶端 SDK 5 記錄

必要:否

-h | --help

顯示幫助。

必要:否

-v | --version

顯示版本。

必要:否

--disable-key-availability-check

停用金鑰可用性仲裁的旗標。使用此旗標可指示 AWS CloudHSM 應停用金鑰可用性仲裁,而且您可以使用叢集HSM中只有一個金鑰存在的金鑰。如需有關使用此旗標設定金鑰可用性仲裁的詳細資訊,請參閱 管理用戶端金鑰耐久性設定

必要:否

--enable-key-availability-check

啟動金鑰可用性仲裁的旗標。使用此旗標表示 AWS CloudHSM 應該使用金鑰可用性仲裁,而且在叢集HSMs中的兩個金鑰上存在這些金鑰之前,不允許您使用金鑰。如需有關使用此旗標設定金鑰可用性仲裁的詳細資訊,請參閱 管理用戶端金鑰耐久性設定

預設啟用。

必要:否

--初始disable-validate-key-at化

指定您可以跳過初始化呼叫來驗證後續呼叫之金鑰的權限,以此改善效能。請謹慎使用。

背景:PKCS#11 程式庫中的某些機制支援多部分作業,其中初始化呼叫會驗證您是否可以將金鑰用於後續呼叫。這需要對的驗證呼叫HSM,這會增加整體作業的延遲。此選項可讓您停用後續呼叫,並可能改善效能。

必要:否

--初始enable-validate-key-at化

指您應該使用初始化呼叫來驗證後續呼叫的金鑰權限。此為預設選項。使用 disable-validate-key-at-init 暫停這些初始化呼叫後,再使用 enable-validate-key-at-init 恢復這些初始化呼叫。

必要:否

相關主題