在 中初始化叢集 AWS CloudHSM - AWS CloudHSM
步驟 1. 取得叢集 CSR步驟 2. 簽署 CSR步驟 3。初始化叢集

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 中初始化叢集 AWS CloudHSM

建立叢集並在 中新增硬體安全模組 (HSM) 之後 AWS CloudHSM,您可以初始化叢集。完成下列主題中的步驟來初始化 叢集。

注意

初始化叢集之前,請檢閱您可以驗證 身分和真實性HSMs的程序。此程序為選擇性,且只能在叢集初始化前使用。叢集初始化後,您無法使用此程序來取得憑證或驗證 HSMs。

步驟 1. 取得叢集 CSR

在初始化叢集之前,您必須下載並簽署叢集第一個 所產生的憑證簽署請求 (CSR)HSM。如果您遵循步驟來驗證叢集 的身分HSM,表示您已擁有 CSR,而且可以簽署它。否則,請使用 AWS CloudHSM 主控台AWS Command Line Interface (AWS CLI) 或 CSR 立即取得 AWS CloudHSM API。

重要

若要初始化叢集,您的信任錨點必須符合 RFC 5280 並符合下列要求:

  • 如使用 X509v3 延伸功能,則必須存在 X509v3 基本限制條件延伸。

  • 信任錨點必須是自我簽署的憑證。

  • 延伸值不得相互衝突。

Console
取得 CSR(主控台)

  1. https://console.aws.amazon.com/cloudhsm/在家中開啟 AWS CloudHSM 主控台。

  2. 選取叢集 ID 旁的選項按鈕,其中包含HSM您要驗證的 。

  3. 選取動作。從下拉式功能表中,選擇初始化

  4. 如果您未完成上一個步驟來建立 HSM,請選擇您要建立HSM之 的可用區域 (AZ)。然後選取建立

  5. 當 CSR 準備就緒時,您會看到下載連結。

    在 AWS CloudHSM 主控台中下載憑證簽署請求頁面。

  6. 選擇叢集CSR以下載並儲存 CSR。

AWS CLI
若要取得 CSR(AWS CLI)

  • 在命令提示中,執行下列describe-clusters命令,這會擷取 CSR 並將其儲存至 檔案。<cluster ID> 將 取代為您先前建立的叢集 ID。

    $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr
AWS CloudHSM API
若要取得 CSR(AWS CloudHSM API)

  1. 傳送 DescribeClusters 請求。

  2. CSR 從回應中解壓縮並儲存 。

步驟 2. 簽署 CSR

目前,您必須建立自我簽署的簽署憑證,並使用它為您的CSR叢集簽署 。此步驟不需要 AWS CLI ,而且 shell 不需要與 AWS 您的帳戶建立關聯。若要簽署 CSR,您必須執行下列動作:

  1. 完成上一節 (請參閱 步驟 1. 取得叢集 CSR)。

  2. 建立私有金鑰。

  3. 使用私有金鑰來建立簽署憑證。

  4. 簽署您的叢集 CSR。

建立私有金鑰。

注意

針對生產叢集,應使用信任的隨機來源以安全的方式建立您想建立的金鑰。我們建議您使用安全的異地和離線HSM或同等項目。安全地存放金鑰。金鑰會建立叢集的身分,以及您對其HSMs包含的 的唯一控制權。

對於開發和測試,您可以使用任何方便的工具 (例如 OpenSSL) 來建立和簽署叢集憑證。下列範例說明如何建立金鑰。在使用該金鑰建立自我簽署憑證 (請見以下) 後,您應該妥善存放它。若要登入 AWS CloudHSM 執行個體,憑證必須存在,但私有金鑰不會存在。

使用下列命令來建立私有金鑰。初始化 AWS CloudHSM 叢集時,您必須使用 RSA 2048 憑證或 RSA 4096 憑證。

$ openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerCA.key:
Verifying - Enter pass phrase for customerCA.key:

使用私有金鑰來建立自我簽署憑證。

您用來建立生產叢集私有金鑰的信任硬體,也應該提供軟體工具來產生使用該金鑰的自我簽署憑證。下列範例使用 OpenSSL 和您在上一個步驟中建立的私有金鑰來建立簽署憑證。憑證有效期限是 10 年 (3652 天)。請閱讀畫面上的指示,並依照提示操作。

$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

此命令會建立名為 customerCA.crt 的憑證檔案。將此憑證放在您要連線至 AWS CloudHSM 叢集的每個主機上。如果您替檔案取了其他名稱,或將其存放在主機根目錄以外的路徑,請據此編輯您的用戶端組態檔案。在下一個步驟中使用您剛建立的憑證和私有金鑰來簽署叢集憑證簽署請求 (CSR)。

簽署叢集 CSR

您用來為生產叢集建立私有金鑰的信任硬體,也應該提供工具來CSR使用該金鑰簽署 。下列範例使用 OpenSSL 來簽署叢集的 CSR。範例會使用您的私有金鑰和以及在先前步驟中建立的自我簽署憑證。

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
                              -CA customerCA.crt \
                              -CAkey customerCA.key \
                              -CAcreateserial \
                              -out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for customerCA.key:

此命令會建立名為 <cluster ID>_CustomerHsmCertificate.crt 的檔案。初始化叢集時,使用這個檔案做為已簽署的憑證。

步驟 3。初始化叢集

使用您的簽章HSM憑證和簽章憑證來初始化叢集。您可以使用 AWS CloudHSM 主控台AWS CLI、 或 AWS CloudHSM API。

Console
初始化叢集 (主控台)

  1. https://console.aws.amazon.com/cloudhsm/在家中開啟 AWS CloudHSM 主控台。

  2. 選取叢集 ID 旁的選項按鈕,其中包含HSM您要驗證的 。

  3. 選取動作。從下拉式功能表中,選擇初始化

  4. 如果您未完成上一個步驟來建立 HSM,請選擇您要建立HSM之 的可用區域 (AZ)。然後選取建立

  5. Download certificate signing request (下載憑證簽署請求) 頁面上,選擇 Next (下一步)。如果無法使用下一步,請先選擇其中一個 CSR或 憑證連結。然後選擇下一步

  6. 簽署憑證簽署請求 (CSR) 頁面上,選擇下一步

  7. Upload the certificates (上傳憑證) 頁面上,執行下列動作:

    1. 選擇 Cluster certificate (叢集憑證) 旁的 Upload file (上傳檔案)。然後尋找並選取您先前簽署的HSM憑證。如果您已完成先前區段的步驟,請選取 <cluster ID>_CustomerHsmCertificate.crt 檔案。

    2. 選擇 Issuing certificate (發行憑證) 旁的 Upload file (上傳檔案)。然後選擇您的簽署憑證。如果您已完成先前區段的步驟,請選取 customerCA.crt 檔案。

    3. 選擇 Upload and initialize (上傳並初始化)

AWS CLI
初始化叢集 (AWS CLI)

  • 在命令提示中,執行 initialize-cluster 命令。提供下列資訊:

    • 您先前建立之叢集的 ID。

    • 您先前簽署的HSM憑證。如果您已完成先前區段的步驟,它會儲存在名為 <cluster ID>_CustomerHsmCertificate.crt 的檔案中。

    • 您的簽署憑證。如果您已完成先前區段的步驟,簽署憑證會儲存在名為 customerCA.crt 的檔案中。

    $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                    --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                    --trust-anchor file://customerCA.crt
{
    "State": "INITIALIZE_IN_PROGRESS",
    "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
}
AWS CloudHSM API
初始化叢集 (AWS CloudHSM API)

  • 在 &HSM; API 中傳送 InitializeCluster 請求,並包含:

    • 您先前建立之叢集的 ID。

    • 您先前簽署的HSM憑證。

    • 您的簽署憑證。