本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 1:設定先決條件
請遵循這些先決條件,在 Linux 上使用具有 SSL/TLS 卸載 AWS CloudHSM 的 Tomcat 網頁伺服器。您必須符合這些先決條件,才能透過用戶端 SDK 5 和 Tomcat Web 伺服器來設定 Web 伺服器 SSL/TLS 卸載。
注意
不同平台需要不同的先決條件。請務必遵循適用於平台的正確安裝步驟。
必要條件
-
執行 Linux 作業系統且安裝了 Tomcat Web 伺服器的 Amazon EC2 執行個體。
-
加密使用者 (CU),擁有及管理 HSM 上 Web 伺服器的私有金鑰。
-
具有至少兩個硬體安全性模組 (HSM) 的作用中 AWS CloudHSM 叢集,這些模組已安裝並設定用戶端 SDK 5 的 JCE。
注意
您可以使用單一 HSM 叢集,但必須先停用用戶端金鑰耐久性。如需詳細資訊,請參閱管理用戶端金鑰耐久性設定和用戶端 SDK 5 設定工具。
如何滿足先決條件
-
在至少具有兩個硬體安全性模組 (HSM) 的作用中 AWS CloudHSM 叢集 AWS CloudHSM 上安裝和設定 JCE。如需關於安裝的詳細資訊,請參閱用戶端 SDK 5 的 JCE。
-
在可以存取 AWS CloudHSM 叢集的 EC2 Linux 執行個體上,依照 Apache Tomcat 指示
下載並安裝 Tomcat 網頁伺服器。 -
使用 CloudHSM CLI 建立加密使用者 (CU)。如需關於管理 HSM 使用者的詳細資訊,請參閱使用 CloudHSM CLI 管理 HSM 使用者。
提示
保持追蹤 CU 使用者名稱和密碼。之後在為您的 Web 伺服器產生或匯入 HTTPS 私有金鑰和憑證時,您將會需要該資訊。
要使用 Java Keytool 設置 JCE,請按照 使用用戶端 SDK 5 與 Java Keytool 和 Jarsigner 整合 中的說明進行操作。
完成這些步驟之後,請移至 步驟 2:產生或匯入私有金鑰和 SSL/TLS 憑證。
備註
-
若要使用 Security-Enhanced Linux (SELinux) 和 Web 伺服器,您必須在連接埠 2223 上允許傳出 TCP 連線,也就是用戶端 SDK 5 用來與 HSM 通訊的連接埠。
-
若要建立和啟用叢集並授予 EC2 執行個體存取叢集的權限,請完成AWS CloudHSM入門中的步驟。本節提供使用一個 HSM 和一個 Amazon EC2 用戶端執行個體建立作用中叢集的 step-by-step 說明。可以使用此用戶端執行個體做為 Web 伺服器。
-
若要避免停用用戶端金鑰耐久性,請在叢集中新增多個 HSM。如需詳細資訊,請參閱 新增 HSM。
-
要連接到用戶端執行個體,可以使用 SSH 或 PuTTY。如需詳細資訊,請參閱 Amazon EC2 文件中的使用 SSH 連接至您的 Linux 執行個體或使用 PuTTY 從 Windows 連接至您的 Linux 執行個體。