驗證叢集在 HSM中的身分和真實性 AWS CloudHSM (選用) - AWS CloudHSM
步驟 1. 從 取得憑證 HSM步驟 2. 取得根憑證步驟 3。驗證憑證鏈步驟 4. 擷取和比較公有金鑰

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

驗證叢集在 HSM中的身分和真實性 AWS CloudHSM (選用)

若要在 中初始化叢集 AWS CloudHSM,您會簽署叢集第一個硬體安全模組 (CSR) 產生的憑證簽署請求 (HSM)。在執行此操作之前,您可能想要驗證 的身分和真實性HSM。

注意

此為選用程序。然而只在叢集初始化之前適用。叢集初始化後,您無法使用此程序取得憑證或驗證 HSMs。

若要驗證叢集第一個 的身分HSM,請完成下列步驟:

  1. 取得憑證 和 CSR - 在此步驟中,您可以從 CSR 取得三個憑證和 HSM。您也可以從HSM硬體製造商取得兩個根憑證,一個來自硬體製造商 AWS CloudHSM ,另一個來自硬體製造商。

  2. 驗證憑證鏈 – 在此步驟中,您會建構兩個憑證鏈,一個是 AWS CloudHSM 根憑證,另一個是製造商根憑證。然後,您可以使用這些HSM憑證鏈來驗證憑證,以判斷 AWS CloudHSM 和硬體製造商都證明 的身分和真實性HSM。

  3. 比較公有金鑰 – 在此步驟中,您可以擷取並比較HSM憑證和叢集 中的公有金鑰CSR,以確保它們是相同的。這應該讓您有信心 CSR 是由真實、信任的 產生HSM。

下圖顯示 CSR、憑證及其彼此之間的關係。後續清單定義每個憑證。

HSM 憑證及其關係。
AWS 根憑證

這是 AWS CloudHSM的根憑證。

製造商根憑證

這是硬體製造商的根憑證。

AWS 硬體憑證

AWS CloudHSM 會在HSM硬體新增至機群時建立此憑證。此憑證會宣告 AWS CloudHSM 擁有硬體的 。

製造商硬體憑證

HSM 硬體製造商在製造HSM硬體時建立此憑證。此憑證聲明製造商建立此硬體。

HSM 憑證

當您在叢集HSM中建立第一個 時, FIPS已驗證的硬體會產生HSM憑證。此憑證會宣告HSM硬體已建立 HSM。

叢集 CSR

第一個 會HSM建立叢集 CSR。當您簽署叢集 CSR時,即可宣告叢集。然後,您可以使用已簽署的 CSR 來初始化叢集

步驟 1. 從 取得憑證 HSM

若要驗證 的身分和真實性HSM,請先取得 CSR和 5 個憑證。您可以從 取得三個憑證HSM,您可以使用 AWS CloudHSM 主控台 AWS Command Line Interface (AWS CLI) 或 進行 AWS CloudHSM API。

Console
若要取得 CSR和 HSM憑證 (主控台)

  1. 開啟家用 AWS CloudHSM 主控台 。 https://console.aws.amazon.com/cloudhsm/

  2. 選取叢集 ID 旁的選項按鈕,其中包含HSM您要驗證的 。

  3. 選取動作。從下拉式功能表中,選擇初始化

  4. 如果您未完成上一個步驟來建立 HSM,請選擇您要建立HSM之 的可用區域 (AZ)。然後選取建立

  5. 當憑證 和 CSR 準備就緒時,您會看到下載它們的連結。

    AWS CloudHSM 主控台中的下載憑證簽署請求頁面。

  6. 選擇每個連結以下載並儲存 CSR 和 憑證。為了簡化後續步驟,請將所有檔案儲存到相同目錄,並使用預設的檔案名稱。

AWS CLI
若要取得 CSR和 HSM 憑證 (AWS CLI

  • 在命令提示中,執行describe-clusters命令四次,每次擷取 CSR和不同的憑證,並將其儲存至檔案。

    1. 發出下列命令以擷取叢集 CSR。Replace (取代) <cluster ID> 您先前建立的叢集 ID。

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr

    2. 發出下列命令以擷取HSM憑證。Replace (取代) <cluster ID> 您先前建立的叢集 ID。

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.HsmCertificate' \
                                   > <cluster ID>_HsmCertificate.crt

    3. 發出下列命令以擷取 AWS 硬體憑證。Replace (取代) <cluster ID> 您先前建立的叢集 ID。

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.AwsHardwareCertificate' \
                                   > <cluster ID>_AwsHardwareCertificate.crt

    4. 發出下列命令來擷取製造商硬體憑證。Replace (取代) <cluster ID> 您先前建立的叢集 ID。

      $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \
                                   > <cluster ID>_ManufacturerHardwareCertificate.crt
AWS CloudHSM API
若要取得 CSR和 HSM 憑證 (AWS CloudHSM API)

  • 傳送 DescribeClusters 請求,然後從回應中擷取並儲存 CSR和 憑證。

步驟 2. 取得根憑證

請依照下列步驟取得 AWS CloudHSM 和 製造商的根憑證。將根憑證檔案儲存至包含 CSR和 HSM憑證檔案的目錄。

若要取得 AWS CloudHSM 和 製造商根憑證

  1. 下載 AWS CloudHSM 根憑證:AWS_C大聲 HSM_Root-G1.zip

  2. 下載適合您HSM類型的製造商根憑證:

    注意

    若要從憑證登陸頁面下載每個憑證,請使用下列連結:

    • hsm1.medium 製造商根憑證的登陸頁面

    • hsm2m.medium 製造商根憑證的登陸頁面

    您可能需要用滑鼠右鍵按一下 Download Certificate (下載憑證) 連結,然後選擇 Save Link As...(另存連結為...) 以儲存憑證檔案。

  3. 下載檔案之後,將其內容解壓縮 (unzip)。

步驟 3。驗證憑證鏈

在此步驟中,您會建構兩個憑證鏈,一個是 AWS CloudHSM 根憑證,另一個是製造商根憑證。然後使用開啟SSL來驗證每個HSM憑證鏈的憑證。

若要建立憑證鏈,請開啟 Linux shell。您需要 Open SSL,此版本可在大多數 Linux Shell 中使用,而且您需要下載的根憑證HSM憑證檔案。不過,您不需要此步驟 AWS CLI 的 ,而且 shell 不需要與 AWS 您的帳戶建立關聯。

使用 AWS CloudHSM 根HSM憑證驗證憑證

  1. 導覽至儲存您下載之根憑證HSM憑證檔案的目錄。以下命令假設所有憑證都在目前的目錄中,且使用預設的檔案名稱。

    使用下列命令,依該順序建立包含 AWS 硬體憑證和 AWS CloudHSM 根憑證的憑證鏈。Replace (取代) <cluster ID> 您先前建立的叢集 ID。

    $ cat <cluster ID>_AwsHardwareCertificate.crt \
      AWS_CloudHSM_Root-G1.crt \
      > <cluster ID>_AWS_chain.crt

  2. 使用下列 OpenSSL 命令,透過HSM憑證 AWS 鏈驗證憑證。Replace (取代) <cluster ID> 您先前建立的叢集 ID。

    $ openssl verify -CAfile <cluster ID>_AWS_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK
使用製造商根HSM憑證驗證憑證

  1. 使用下列命令來建立憑證鏈,其中依序包含製造商硬體憑證和製造商根憑證。Replace (取代) <cluster ID> 您先前建立的叢集 ID。

    $ cat <cluster ID>_ManufacturerHardwareCertificate.crt \
      liquid_security_certificate.crt \
      > <cluster ID>_manufacturer_chain.crt

  2. 使用下列 OpenSSL 命令,透過製造商HSM憑證鏈驗證憑證。Replace (取代) <cluster ID> 您先前建立的叢集 ID。

    $ openssl verify -CAfile <cluster ID>_manufacturer_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK

步驟 4. 擷取和比較公有金鑰

使用開啟SSL來擷取和比較HSM憑證和叢集 中的公有金鑰CSR,以確保它們是相同的。

若要比較公有金鑰,請使用 Linux shell。您需要 Open SSL,其可在大多數 Linux 殼層中使用,但此步驟不需要 AWS CLI 。Shell 不需要與 AWS 您的帳戶建立關聯。

擷取和比較公有金鑰

  1. 使用以下命令從HSM憑證擷取公有金鑰。

    $ openssl x509 -in <cluster ID>_HsmCertificate.crt -pubkey -noout > <cluster ID>_HsmCertificate.pub

  2. 使用下列命令從叢集 擷取公有金鑰CSR。

    $ openssl req -in <cluster ID>_ClusterCsr.csr -pubkey -noout > <cluster ID>_ClusterCsr.pub

  3. 使用下列命令來比較公有金鑰。如果公有金鑰相同,以下命令不會產生任何輸出。

    $ diff <cluster ID>_HsmCertificate.pub <cluster ID>_ClusterCsr.pub

驗證 的身分和真實性後HSM,請繼續 初始化叢集