安裝並使用用戶端 SDK 5 的 AWS CloudHSM JCE 提供者 - AWS CloudHSM
安裝 JCE 提供者提供憑證給 JCE 提供者JCE 提供者中的金鑰管理基礎知識

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安裝並使用用戶端 SDK 5 的 AWS CloudHSM JCE 提供者

JCE 提供者與 OpenJDK 8、OpenJDK 11、OpenJDK 17 和 OpenJDK 21 相容。您可以從 OpenJDK 網站下載 OpenJDK 8 和 OpenJDK11。

注意

若要使用用戶端 SDK 5 執行單一 HSM 叢集,您必須先將 disable_key_availability_check 設定為 True 來管理用戶端金鑰持久性。如需詳細資訊,請參閱金鑰同步處理用戶端 SDK 5 設定工具

安裝 JCE 提供者

  1. 使用下列命令下載和安裝 JCE 提供者。

    Amazon Linux 2

    在 x86_64 架構上安裝 Amazon Linux 2 的 JCE 提供商:

    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-jce-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-jce-latest.el7.x86_64.rpm

    在 ARM64 架構上安裝 Amazon Linux 2 的 JCE 提供商:

    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-jce-latest.el7.aarch64.rpm
    $ sudo yum install ./cloudhsm-jce-latest.el7.aarch64.rpm
    Amazon Linux 2023

    在 x86_64 架構上安裝適用於 Amazon 2023 的 JCE 供應商:

    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-jce-latest.amzn2023.x86_64.rpm
    $ sudo yum install ./cloudhsm-jce-latest.amzn2023.x86_64.rpm

    在 ARM64 架構上安裝 Amazon 2023 的 JCE 供應商:

    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-jce-latest.amzn2023.aarch64.rpm
    $ sudo yum install ./cloudhsm-jce-latest.amzn2023.aarch64.rpm
    CentOS 7 (7.8+)

    在 x86_64 架構上安裝 CentOS 7 的 JCE 供應商:

    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-jce-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-jce-latest.el7.x86_64.rpm
    RHEL 7 (7.8+)

    在 x86_64 架構上安裝 RHEL 7 的 JCE 提供者:

    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-jce-latest.el7.x86_64.rpm
    $ sudo yum install ./cloudhsm-jce-latest.el7.x86_64.rpm
    RHEL 8 (8.3+)

    在 x86_64 架構上安裝 RHEL 8 的 JCE 提供者:

    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-jce-latest.el8.x86_64.rpm
    $ sudo yum install ./cloudhsm-jce-latest.el8.x86_64.rpm
    RHEL 9 (9.2+)

    在 x86_64 架構上安裝 RHEL 9 (9.2 以上) 的 JCE 提供者:

    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-jce-latest.el9.x86_64.rpm
    $ sudo yum install ./cloudhsm-jce-latest.el9.x86_64.rpm

    在 ARM64 架構上安裝 RHEL 9 (9.2 以上) 的 JCE 提供者:

    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-jce-latest.el9.aarch64.rpm
    $ sudo yum install ./cloudhsm-jce-latest.el9.aarch64.rpm
    Ubuntu 20.04 LTS

    在 x86_64 架構上安裝 Ubuntu 20.04 LTS 的 JCE 提供程序:

    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Focal/cloudhsm-jce_latest_u20.04_amd64.deb
    $ sudo apt install ./cloudhsm-jce_latest_u20.04_amd64.deb
    Ubuntu 22.04 LTS

    在 64 架構上安裝 Ubuntu 22.04 LTS 的 JCE 提供者:

    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-jce_latest_u22.04_amd64.deb
    $ sudo apt install ./cloudhsm-jce_latest_u22.04_amd64.deb

    在 ARM64 架構上安裝 Ubuntu 22.04 LTS 的 JCE 提供程序:

    $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-jce_latest_u22.04_arm64.deb
    $ sudo apt install ./cloudhsm-jce_latest_u22.04_arm64.deb
    Windows Server 2016

    在 x86_64 架構上安裝適用於 Windows 伺服器 2016 的 JCE 提供者,以系統管理員身分開啟 PowerShell ,然後執行下列命令:

    PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMJCE-latest.msi -Outfile C:\AWSCloudHSMJCE-latest.msi
    PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMJCE-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
    Windows Server 2019

    在 x86_64 架構上安裝適用於 Windows 服務器 2019 的 JCE 提供程序,以管理員身份打開並運行 PowerShell 以下命令:

    PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMJCE-latest.msi -Outfile C:\AWSCloudHSMJCE-latest.msi
    PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMJCE-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait

  2. 引導用戶端 SDK 5。如需有關啟動程序的詳細資訊,請參閱 引導用戶端 SDK

  3. 找出下列 JCE 提供者檔案:

    Linux

    • /opt/cloudhsm/java/cloudhsm-version.jar

    • /opt/cloudhsm/bin/configure-jce

    • /opt/cloudhsm/bin/jce-info

    Windows

    • C:\Program Files\Amazon\CloudHSM\java\cloudhsm-version.jar>

    • C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe

    • C:\Program Files\Amazon\CloudHSM\bin\jce_info.exe

提供憑證給 JCE 提供者

HSM 需要先驗證您的 Java 應用程式,應用程式才能使用 HSM。HSM 會使用明確登入或隱含登入方法,進行驗證。

明確登入:此方法可讓您直接在應用程式中提供 AWS CloudHSM 憑證。它使用 AuthProvider 中的方法,讓您可以在 pin 模式中傳遞 CU 使用者名稱和密碼。如需詳細資訊,請參閱登入 HSM 程式碼範例。

隱含登入:此方法可讓您在新的屬性檔案、系統屬性或環境變數中設定 AWS CloudHSM 憑證。

  • 系統屬性:執行應用程式時,您可以透過系統屬性設定憑證。以下範例示範兩種不同的作法:

    Linux
    $ java -DHSM_USER=<HSM user name> -DHSM_PASSWORD=<password>
    System.setProperty("HSM_USER","<HSM user name>");
System.setProperty("HSM_PASSWORD","<password>");
    Windows
    PS C:\> java -DHSM_USER=<HSM user name> -DHSM_PASSWORD=<password>
    System.setProperty("HSM_USER","<HSM user name>");
System.setProperty("HSM_PASSWORD","<password>");

  • 環境變數:將憑證設定為環境變數。

    Linux
    $ export HSM_USER=<HSM user name>
$ export HSM_PASSWORD=<password>
    Windows
    PS C:\> $Env:HSM_USER="<HSM user name>"
PS C:\> $Env:HSM_PASSWORD="<password>"

如果應用程式未提供登入資料,或者,如果您在 HSM 驗證工作階段之前嘗試操作,就可能無法使用登入資料。在這些情況下,適用於 Java 的 CloudHSM 軟體程式庫會按照以下順序,搜尋登入資料:

  1. 系統屬性

  2. 環境變數

JCE 提供者中的金鑰管理基礎知識

JCE 提供者的金鑰管理基本概念包括匯入金鑰、匯出金鑰、透過控制代碼載入金鑰或刪除金鑰。如需管理金鑰的詳細資訊,請參閱管理金鑰的程式碼範例。

您也可以在 程式碼範例 中尋找更多 JCE 提供者程式碼範例。