Initialisieren Sie den Cluster in AWS CloudHSM - AWS CloudHSM
-ÜbersichtSchritt 1. Anfordern der Cluster-CSRSchritt 2. Erstellen Sie einen privaten Schlüssel für Ihre Root-CASchritt 3. Signieren der CSRSchritt 4. Initialisieren des Clusters

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Initialisieren Sie den Cluster in AWS CloudHSM

Nachdem Sie Ihren Cluster erstellt und Ihr Hardware-Sicherheitsmodul (HSM) hinzugefügt haben AWS CloudHSM, können Sie den Cluster initialisieren. Führen Sie die Schritte in der folgenden Themen durch, um Ihr -Cluster zu initialisieren.

Anmerkung

Bevor Sie den Cluster initialisieren, überprüfen Sie den Prozess, mit dem Sie die Identität und Authentizität des Clusters überprüfen können. HSMs Dieser Prozess ist optional und funktioniert nur, bis ein Cluster initialisiert wird. Nach der Initialisierung des Clusters können Sie diesen Prozess nicht verwenden, um Ihre Zertifikate abzurufen oder zu überprüfen. HSMs

-Übersicht

Der Cluster-Initialisierungsprozess legt fest, dass Sie Eigentümer und Kontrolle über den Cluster haben, und zwar HSMs über ein zertifikatsbasiertes Authentifizierungssystem. Dieser Prozess beweist kryptografisch, dass Sie der alleinige Eigentümer des HSMs Clusters sind, und schafft die Vertrauensbasis, die für alle future Verbindungen zu Ihrem erforderlich ist. HSMs

Auf dieser Seite erfahren Sie, wie Sie Folgendes tun können:

  • Rufen Sie die Zertifikatsignieranforderung (CSR) Ihres Clusters ab.

  • Generieren und verwenden Sie die privaten Schlüssel, um ein selbstsigniertes Stammzertifikat oder eine Zertifikatskette zu erstellen.

  • Signieren Sie die CSR Ihres Clusters, um ein signiertes HSM-Zertifikat zu erstellen.

  • Initialisieren Sie Ihren Cluster mithilfe des signierten HSM-Zertifikats und des selbstsignierten Zertifikats oder der Zertifikatskette.

Wenn Sie bereit sind, sehen Sie sich Schritt 1. Anfordern der Cluster-CSR an.

Schritt 1. Anfordern der Cluster-CSR

Bevor Sie den Cluster initialisieren, müssen Sie eine Zertifikatsignieranforderung (CSR, Certificate Signing Request) herunterladen und signieren, die vom ersten HSM des Clusters erstellt wurde. Wenn Sie die Schritte ausgeführt haben, um die Identität des HSM Ihres Clusters zu überprüfen, befinden Sie sich bereits im Besitz der CSR und können sie signieren. Andernfalls rufen Sie die CSR jetzt mithilfe der AWS CloudHSM Konsole, der AWS Command Line Interface (AWS CLI) oder der API ab. AWS CloudHSM

Console
Die CSR laden (Konsole)

  1. Öffne die AWS CloudHSM Konsole zu https://console.aws.amazon.com/cloudhsm/Hause.

  2. Wählen Sie die Optionsschaltfläche neben der Cluster-ID mit dem HSM, das Sie überprüfen möchten.

  3. Wählen Sie Aktionen aus. Wählen Sie aus dem Drop-down-Menü die Option Initialisieren.

  4. Wenn Sie den vorherigen Schritt zur Erstellung eines HSM nicht abgeschlossen haben, wählen Sie eine Availability Zone (AZ) für das HSM, das Sie erstellen. Wählen Sie dann Erstellen aus.

  5. Wenn der CSR bereit ist, sehen Sie einen Link, über den Sie sie herunterladen können.

    Laden Sie die Seite mit der Anforderung zur Zertifikatsignierung in der AWS CloudHSM Konsole herunter.

  6. Wählen Sie Cluster-CSR, um die CSR herunterzuladen und zu speichern.

AWS CLI
Abrufen der CSR (AWS CLI)

  • Führen Sie an der Eingabeaufforderung den folgenden describe-clusters-Befehl aus, der die CSR extrahiert und in einer Datei speichert. <cluster ID>Ersetzen Sie es durch die ID des Clusters, den Sie zuvor erstellt haben. 

    $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr
AWS CloudHSM API
Um die CSR (AWS CloudHSM API) zu erhalten

  1. Senden Sie eine DescribeClusters-Anforderung.

  2. Extrahieren und speichern Sie die CSR aus der Antwort.

Schritt 2. Erstellen Sie einen privaten Schlüssel für Ihre Root-CA

Anmerkung

Für einen Produktionscluster sollte der Schlüssel, den Sie erstellen wollen, auf sichere Weise mit einer vertrauenswürdigen Zufallsquelle erstellt werden. Wir empfehlen, dass Sie ein sicheres standortexternes und Offline-HSM oder etwas Äquivalentes verwenden. Speichern Sie den Schlüssel sicher. Der Schlüssel legt die Identität des Clusters und Ihre alleinige Kontrolle über die HSMs darin enthaltenen Elemente fest.

Für die Entwicklung und für Tests können Sie ein beliebiges Tool (z. B. OpenSSL) verwenden, um das Cluster-Zertifikat zu erstellen und zu signieren. Im folgenden Beispiel wird gezeigt, wie Sie einen Schlüssel erstellen. Nachdem Sie den Schlüssel verwendet haben, um ein selbstsigniertes Zertifikat zu erstellen (siehe unten), sollten Sie ihn sicher speichern. Um sich bei Ihrer AWS CloudHSM Instance anzumelden, muss das Zertifikat vorhanden sein, der private Schlüssel jedoch nicht.

In der folgenden Tabelle sind die unterstützten Algorithmen, Schlüsselgrößen und Kurven für die Zertifikatsgenerierung aufgeführt.

Algorithmen Größe/Kurven

RSA 5. PKCSv1

2048, 3072, 4096

RSA-PSS

2048, 3072, 4096

ECDSA

 prime256v1, secp384r1, secp521r1

Digest

SHA-224, SHA-256, SHA-384 und SHA-512

Verwenden Sie den folgenden Beispielbefehl, um einen privaten Schlüssel für Ihre selbstsignierte Root-CA zu erstellen.

$ openssl genrsa -aes256 -out customerRootCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerRootCA.key:
Verifying - Enter pass phrase for customerRootCA.key:

Schritt 3. Signieren der CSR

In den vorherigen Schritten haben Sie die CSR Ihres Clusters abgerufen und einen privaten Schlüssel für Ihre Stammzertifizierungsstelle erstellt. In diesem Schritt verwenden Sie Ihren privaten Schlüssel, um ein Signaturzertifikat zu generieren, mit dem Sie die CSR Ihres Clusters signieren können. Die folgenden Themen führen Sie durch den Prozess der Erstellung eines einzelnen selbstsignierten Zertifikats oder einer Zertifikatskette mit OpenSSL. Sie benötigen das AWS CLI für diesen Schritt nicht, und die Shell muss nicht mit Ihrem AWS Konto verknüpft werden.

Wichtig

Um Ihren Cluster zu initialisieren, muss Ihr Trust Anchor RFC 5280 entsprechen und die folgenden Anforderungen erfüllen:

  • Wenn Sie X509v3-Erweiterungen verwenden, muss die X509v3-Erweiterung Basic Constraints vorhanden sein.

  • Der Trust Anchor muss ein selbstsigniertes Zertifikat sein.

  • Erweiterungswerte dürfen nicht miteinander in Konflikt stehen.

Wählen Sie eine der folgenden Methoden, um die CSR Ihres Clusters zu signieren:

Wählen Sie Ihren Zertifikatsansatz

Sie müssen einen der folgenden beiden Ansätze wählen. Schließen Sie nicht beide Ansätze ab.

Option A: Einzelnes selbstsigniertes Zertifikat

Erstellen Sie ein einzelnes selbstsigniertes Stammzertifikat, um die CSR Ihres Clusters zu signieren. Dies ist die einfachste und direkteste Methode, um Vertrauen aufzubauen.

Empfohlen für:

  • Umgebungen, in denen keine externe PKI erforderlich ist

  • Test- und Entwicklungsumgebungen, in denen Einfachheit bevorzugt wird

Gehe zu: Erstellen Sie ein einzelnes selbstsigniertes Zertifikat

Option B: Zertifikatskette mit zwischengeschalteter CA

Erstellen Sie eine Zertifikatskette mithilfe einer Zwischenzertifizierungsstelle. Eine Zwischenzertifikatskette bietet mehr Sicherheit, Skalierbarkeit und Flexibilität, da Stammzertifizierungsstellen (CAs) offline bleiben können, während die Zertifikatsausstellung an eine Zwischenzertifizierungsstelle delegiert wird CAs, wodurch das Risiko einer Beeinträchtigung der Stammzertifizierungsstelle verringert wird.

Empfohlen für:

  • Umgebungen, in denen eine externe PKI erforderlich ist

  • Integration mit AWS Private Certificate Authority (PCA)

Beispiel für eine AWS PCA-Integration: Sie können AWS Private Certificate Authority verwenden, um Ihre CA-Zwischenzertifikate zu erstellen und zu verwalten. Dies ermöglicht ein automatisiertes Lebenszyklusmanagement von Zertifikaten, einschließlich Verlängerung und Widerruf, und bietet gleichzeitig die Sicherheitsvorteile, die sich aus dem Offline-Betrieb Ihrer Stammzertifizierungsstelle ergeben. Weitere Informationen zu AWS PCA finden Sie im AWS Private Certificate Authority User Guide.

Gehen Sie zu: Erstellen Sie eine ICA-Kette (Intermediate Certificate Authority)

Erstellen Sie ein einzelnes selbstsigniertes Zertifikat

Die vertrauenswürdige Hardware, die Sie verwenden, um den privaten Schlüssel für Ihre Produktions-Cluster zu erstellen, sollte auch ein Software-Tool bereitstellen, um unter Verwendung dieses Schlüssels ein selbstsigniertes Zertifikat zu generieren. Das folgende Beispiel verwendet OpenSSL und den privaten Schlüssel, den Sie im vorherigen Schritt erstellt haben, um ein selbstsigniertes Root-CA-Signaturzertifikat zu erstellen. Das Zertifikat gilt für 10 Jahre (3652 Tage). Lesen Sie die Anweisungen auf dem Bildschirm und befolgen Sie die Eingabeaufforderungen. 

$ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt
Enter pass phrase for customerRootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Mit diesem Befehl wird ein Zertifikat mit dem Namen customerRootCA.crt erstellt. Legen Sie dieses Zertifikat auf jedem Host ab, von dem aus Sie eine Verbindung zu Ihrem AWS CloudHSM Cluster herstellen möchten. Wenn Sie der Datei einen anderen Namen geben oder unter einem anderen Pfad als dem Root-Verzeichnis speichern, müssen Sie Ihre Client-Konfigurationsdatei entsprechend anpassen. Verwenden Sie das Zertifikat und den privaten Schlüssel, die Sie gerade erstellt haben, um die Cluster-Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) im nächsten Schritt zu signieren.

Signieren Sie die Cluster-CSR mit Ihrer selbstsignierten Root-CA

Die vertrauenswürdige Hardware, die Sie verwenden, um Ihren privaten Schlüssel für Ihre Produktions-Cluster zu erstellen, sollte auch ein Tool bereitstellen, um die CSR mit diesem Schlüssel zu signieren. In dem folgenden Beispiel wird OpenSSL zum Signieren der Cluster-CSR verwendet. Der folgende Beispielbefehl signiert die CSR mit der selbstsignierten customerRootCA.crt

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
		-CA <customerRootCA>.crt \
		-CAkey <customerRootCA>.key \
		-CAcreateserial \
		-out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for <customerRootCA>.key:

Mit diesem Befehl wird eine Datei mit dem Namen <cluster ID>_CustomerHsmCertificate.crt erstellt. Verwenden Sie diese Datei als signiertes Zertifikat, wenn Sie den Cluster initialisieren.

Überprüfen Sie das signierte Zertifikat anhand der Stammzertifizierungsstelle (optional):

$ openssl verify -purpose sslserver -CAfile customerRootCA.crt <cluster ID>_CustomerHsmCertificate.crt
<cluster ID>_CustomerHsmCertificate.crt: OK

Nachdem Sie das signierte HSM-Zertifikat mit Ihrer selbstsignierten Root-CA erstellt haben, gehen Sie zu. Schritt 4. Initialisieren des Clusters

Erstellen Sie eine ICA-Kette (Intermediate Certificate Authority)

Die folgenden Beispiele führen Sie durch die Erstellung einer Zertifikatskette der Länge 2, bestehend aus einer Stammzertifizierungsstelle (CA) und einer Zwischenzertifizierungsstelle. Sie erstellen zunächst ein selbstsigniertes Stammzertifizierungsstellenzertifikat und dann eine Zwischenzertifizierungsstelle, die von der Stammzertifizierungsstelle signiert ist. Schließlich verwenden Sie die Zwischenzertifizierungsstelle, um die CSR Ihres Clusters zu signieren und so eine vollständige Vertrauenskette von Ihrem HSM-Zertifikat zurück zur Stammzertifizierungsstelle zu erstellen. Dieser Ansatz bietet mehr Sicherheit, da die Stammzertifizierungsstelle offline bleibt, während die Zwischenzertifizierungsstelle für day-to-day Zertifikatsoperationen verwendet wird.

Wichtig

Um Ihren Cluster mit einer Zertifikatskette zu initialisieren, muss Ihre Kette die folgenden Anforderungen erfüllen:

  • Die Kette muss geordnet werden, beginnend mit der Zwischenzertifizierungsstelle, die die Cluster-CSR signiert. In dieser Reihenfolge sollte die erste ICA einen Emittenten haben, der dem Betreff der nächsten ICA in der Kette entspricht, usw.

  • Nur die Stammzertifizierungsstelle sollte selbstsigniert sein, was bedeutet, dass Emittent und Betreff identisch sein sollten.

  • Die Kette darf aus nicht mehr als 4 Zertifikaten bestehen (einschließlich der Root-CA am Ende), und die Gesamtgröße der Kette darf 16 KB (Kilobyte) nicht überschreiten.

  • Alle Zertifizierungsstellen (CAs) sollten den RFC 5280-Richtlinien entsprechen.

Dieser Abschnitt enthält Beispiele für die Erstellung einer zwischengeschalteten Zertifizierungsstellenkette mit zwei verschiedenen Ansätzen: OpenSSL für die lokale Zertifikatsgenerierung und AWS Private Certificate Authority (PCA) für verwaltete Zertifikatsdienste. Wählen Sie den Ansatz, der am besten zu Ihrer Umgebung und Ihren Sicherheitsanforderungen passt.

Anmerkung

Die folgenden Beispiele sind allgemeine Anwendungsfälle und sind beide vereinfacht, wobei die einfachste Konfiguration verwendet wird. Sehen Sie sich für Produktionsumgebungen die zusätzlichen Konfigurationsoptionen und Sicherheitsanforderungen an, die für Ihren Anwendungsfall spezifisch sind.

OpenSSL

Erstellen Sie eine OpenSSL-Konfigurationsdatei mit gängigen v3-Erweiterungen für CA:

$ cat > ca-extensions.conf <<EOF
[req]
distinguished_name = req_distinguished_name
[req_distinguished_name]
C = Country Name (2 letter code)
ST = State or Province Name (full name)
L = Locality Name (eg, city)
O = Organization Name (eg, company)
OU = Organizational Unit Name (eg, section)
CN = Common Name (e.g. server FQDN or YOUR name)
[v3_ca]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical,CA:true
keyUsage = critical, keyCertSign, cRLSign, digitalSignature
EOF

Generieren Sie eine selbstsignierte Root-CA mit OpenSSL:

$ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt -extensions v3_ca -config ca-extensions.conf
Enter pass phrase for customerRootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Generieren Sie einen zwischenzeitlichen CA-Schlüssel:

$ openssl genrsa -aes256 -out intermediateCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for intermediateCA.key:
Verifying - Enter pass phrase for intermediateCA.key:

Erstellen Sie die Intermediate CA Certificate Signing Request (CSR):

$ openssl req -new -key intermediateCA.key -out intermediateCA.csr
Enter pass phrase for intermediateCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Erstellen Sie mit der selbstsignierten Root-CA das Intermediate-CA-Zertifikat:

$ openssl x509 -req -in intermediateCA.csr \
		-CA customerRootCA.crt \
		-CAkey customerRootCA.key \
		-CAcreateserial \
		-days 3652 \
		-extensions v3_ca \
		-extfile ca-extensions.conf \
		-out intermediateCA.crt

Certificate request self-signature ok
subject=C= , ST= , L= , O= , OU=

Kombinieren Sie die Zertifikate zu einer Kettendatei:

$ cat intermediateCA.crt customerRootCA.crt > chainCA.crt

-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----

Signieren Sie die Cluster-CSR mit Ihrer Zwischen-CA:

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
			-CA intermediateCA.crt \
			-CAkey intermediateCA.key \
			-CAcreateserial \
			-out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for intermediateCA.key:
AWS PCA

Erstellen und aktivieren Sie eine Root-CA mit AWS Private Certificate Authority:

$ # 1. Create Root CA
aws acm-pca create-certificate-authority \
    --certificate-authority-configuration \
        "KeyAlgorithm=RSA_4096,
        SigningAlgorithm=SHA256WITHRSA,
        Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=RootCA}" \
    --certificate-authority-type ROOT

# Store the Root CA Authority ARN from the previous output
ROOT_CA_AUTHORITY_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<ca-authority-id>"

# 2. Generate Root CA CSR
aws acm-pca get-certificate-authority-csr \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --output text > customerRootCA.csr

# 3. Self-sign Root CA Certificate
aws acm-pca issue-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --csr fileb://customerRootCA.csr \
    --signing-algorithm SHA256WITHRSA \
	--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
    --validity Value=3652,Type=DAYS

# Store the Root CA certificate ARN from the previous output
ROOT_CA_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<ca-authority-id>/certificate/<cert-id>"

# 4. Retrieve the Root CA certificate
aws acm-pca get-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --certificate-arn $ROOT_CA_ARN \
    --output text > customerRootCA.crt

# 5. Import the Root CA Certificate
aws acm-pca import-certificate-authority-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --certificate fileb://customerRootCA.crt

Erstellen und aktivieren Sie eine untergeordnete Zertifizierungsstelle (auch als Zwischenzertifizierungsstelle bezeichnet):

$ # 6. Create Subordinate CA
aws acm-pca create-certificate-authority \
    --certificate-authority-configuration \
        "KeyAlgorithm=RSA_4096,
        SigningAlgorithm=SHA256WITHRSA,
        Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=SubordinateCA}" \
    --certificate-authority-type SUBORDINATE

# Store the Subordinate CA Authority ARN from the previous output
SUB_CA_AUTHORITY_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<sub-ca-authority-id>"

# 7. Generate Subordinate CA CSR
aws acm-pca get-certificate-authority-csr \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --output text > intermediateCA.csr

# 8. Issue Subordinate CA Certificate using Root CA
aws acm-pca issue-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --csr fileb://intermediateCA.csr \
    --signing-algorithm SHA256WITHRSA \
    --template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 \
    --validity Value=3651,Type=DAYS

# Store the Subordinate CA certificate ARN from the previous output
SUB_CA_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<sub-ca-authority-id>"

# 9. Retrieve Subordinate CA Certificate
aws acm-pca get-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --certificate-arn $SUB_CA_ARN \
    --query 'Certificate' \
    --output text > intermediateCA.crt

# 10. Import the Subordinate CA Certificate
aws acm-pca import-certificate-authority-certificate \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --certificate fileb://intermediateCA.crt \
    --certificate-chain fileb://customerRootCA.crt

Kombinieren Sie die Zertifikate zu einer Kettendatei:

$ cat intermediateCA.crt customerRootCA.crt > chainCA.crt

-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----

Signieren Sie die Cluster-CSR mit AWS PCA:

$ aws acm-pca issue-certificate \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --csr fileb://<cluster ID>_ClusterCsr.csr \
    --signing-algorithm SHA256WITHRSA \
    --template-arn arn:aws:acm-pca:::template/EndEntityCertificate/V1 \
    --validity Value=3650,Type=DAYS

# Store your cluster's cert ARN from the previous output
CLUSTER_CERT_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<cluster-cert-arn>"

Laden Sie das signierte Cluster-Zertifikat herunter:

$ aws acm-pca get-certificate \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --certificate-arn $CLUSTER_CERT_ARN \
    --output text --query Certificate > <cluster ID>_CustomerHsmCertificate.crt

Mit diesem Befehl wird eine Datei mit dem Namen <cluster ID>_CustomerHsmCertificate.crt erstellt. Verwenden Sie diese Datei als signiertes Zertifikat, wenn Sie den Cluster initialisieren.

Überprüfen Sie das signierte Zertifikat anhand der Zertifikatskette (optional):

$ openssl verify -purpose sslserver -CAfile chainCA.crt <cluster ID>_CustomerHsmCertificate.crt
<cluster ID>_CustomerHsmCertificate.crt: OK

Nachdem Sie das signierte HSM-Zertifikat mit Ihrer Zwischenzertifizierungsstelle erstellt haben, gehen Sie zuSchritt 4. Initialisieren des Clusters.

Schritt 4. Initialisieren des Clusters

Verwenden Sie das signierte HSM-Zertifikat und Ihr Signaturzertifikat, um den Cluster zu initialisieren. Sie können die AWS CloudHSM Konsole AWS CLI, die oder die AWS CloudHSM API verwenden.

Console
Initialisieren eines Clusters (Konsole)

  1. Öffnen Sie die AWS CloudHSM Konsole zu https://console.aws.amazon.com/cloudhsm/Hause.

  2. Wählen Sie die Optionsschaltfläche neben der Cluster-ID mit dem HSM, das Sie überprüfen möchten.

  3. Wählen Sie Aktionen aus. Wählen Sie aus dem Drop-down-Menü die Option Initialisieren.

  4. Wenn Sie den vorherigen Schritt zur Erstellung eines HSM nicht abgeschlossen haben, wählen Sie eine Availability Zone (AZ) für das HSM, das Sie erstellen. Wählen Sie dann Erstellen aus.

  5. Wählen Sie auf der Seite Herunterladen der Zertifikat-Signierungsanforderung Weiter aus. Wenn die Schaltfläche Weiter nicht verfügbar ist, wählen Sie zuerst einen der CSR- oder Zertifikat-Links. Wählen Sie anschließend Weiter.

  6. Wählen Sie auf der Seite Zertifikatsignierungsanforderung (CSR) signieren Weiter.

  7. Gehen Sie auf der Seite Die Zertifikate hochladen wie folgt vor:

    1. Wählen Sie neben Cluster-Zertifikat Datei hochladen. Suchen Sie anschließend das HSM-Zertifikat, das Sie zuvor signiert haben, und wählen Sie es aus. Wenn Sie die Schritte im vorigen Abschnitt ausgeführt haben, wählen Sie die Datei <cluster ID>_CustomerHsmCertificate.crt.

    2. Wählen Sie neben Zertifikat ausstellen Datei hochladen. Wählen Sie dann Ihr Signaturzertifikat auf der Grundlage des von Ihnen gewählten Ansatzes aus:

      • Wenn Sie Option A (einzelnes selbstsigniertes Zertifikat) gewählt haben: Wählen Sie die Datei mit dem Namen <customerRootCA>.crt

      • Wenn Sie Option B (Zertifikatskette) gewählt haben: Wählen Sie die Datei mit dem Namen aus <chainCA>.crt

    3. Wählen Sie Hochladen und initialisieren.

AWS CLI
So initialisieren Sie einen Cluster (AWS CLI)

  • Führen Sie über die Eingabeaufforderung den folgenden initialize-cluster-Befehl aus. Stellen Sie Folgendes bereit:

    • Die ID des Clusters, den Sie zuvor erstellt haben.

    • Das HSM-Zertifikat, das Sie zuvor signiert haben. Wenn Sie die Schritte im vorigen Abschnitt ausgeführt haben, wurde es in der Datei <cluster ID>_CustomerHsmCertificate.crt gespeichert.

    • Ihr Signaturzertifikat basiert auf dem von Ihnen gewählten Ansatz:

      • Wenn Sie Option A (einzelnes selbstsigniertes Zertifikat) gewählt haben: Verwenden Sie die Datei mit dem Namen <customerRootCA>.crt

      • Wenn Sie Option B (Zertifikatskette) gewählt haben: Verwenden Sie die Datei mit dem Namen <chainCA>.crt

    $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                    --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                    --trust-anchor file://<customerRootCA.crt OR chainCA.crt>
{
    "State": "INITIALIZE_IN_PROGRESS",
    "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
}
AWS CloudHSM API
Um einen Cluster (AWS CloudHSM API) zu initialisieren

  • Senden Sie eine InitializeCluster-Anforderung mit folgendem Inhalt:

    • Die ID des Clusters, den Sie zuvor erstellt haben.

    • Das HSM-Zertifikat, das Sie zuvor signiert haben. Wenn Sie die Schritte im vorigen Abschnitt ausgeführt haben, wurde es in der Datei <cluster ID>_CustomerHsmCertificate.crt gespeichert.

    • Ihr Signaturzertifikat basiert auf dem von Ihnen gewählten Ansatz:

      • Wenn Sie Option A (einzelnes selbstsigniertes Zertifikat) gewählt haben: Verwenden Sie die Datei mit dem Namen <customerRootCA>.crt

      • Wenn Sie Option B (Zertifikatskette) gewählt haben: Verwenden Sie die Datei mit dem Namen <chainCA>.crt