Migrieren Sie Ihren Key Storage Provider (KSP) von AWS CloudHSM Client SDK 3 auf Client SDK 5 - AWS CloudHSM
Migrieren Sie zum Client SDK 5Migrieren Sie zu neuen Windows Server-InstanzenÜberprüfen Sie die MigrationFehlerbehebungVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Migrieren Sie Ihren Key Storage Provider (KSP) von AWS CloudHSM Client SDK 3 auf Client SDK 5

In diesem Thema wird erklärt, wie Sie Ihren Key Storage Provider (KSP) von AWS CloudHSM Client SDK 3 auf Client SDK 5 migrieren. Informationen zu den Vorteilen der Migration finden Sie unterVorteile von AWS CloudHSM Client SDK 5.

In AWS CloudHSM verwenden Sie das AWS CloudHSM Client Software Development Kit (SDK), um kryptografische Operationen durchzuführen. Das Client SDK 5 ist das primäre SDK, das neue Funktionen und Updates zur Plattformunterstützung erhält.

Anweisungen zur Migration für alle Anbieter finden Sie unterMigration von AWS CloudHSM Client SDK 3 zu Client SDK 5.

Migrieren Sie zum Client SDK 5

  1. Installieren Sie den Client SDK 5 Key Storage Provider (KSP) auf Ihrer Windows Server-Instanz. Detaillierte Anweisungen finden Sie unter Installieren Sie den Key Storage Provider (KSP) für AWS CloudHSM Client SDK 5.

  2. Konfigurieren Sie Ihren Client SDK 5 Key Storage Provider (KSP) mithilfe des neuen Konfigurationsdateiformats und des Befehlszeilen-Bootstrappingtools. Detaillierte Anweisungen finden Sie unter Bootstrap für das Client-SDK.

  3. Der Key Storage Provider (KSP) für AWS CloudHSM Client SDK 5 umfasst einen SDK3 Kompatibilitätsmodus zur Unterstützung der wichtigsten Referenzdateien, die in generiert wurden. SDK3 Weitere Informationen finden Sie unter SDK3 Kompatibilitätsmodus für Key Storage Provider (KSP) für AWS CloudHSM.

    Anmerkung

    Sie müssen den SDK3 Kompatibilitätsmodus aktivieren, wenn Sie vom Client SDK 3 generierte Schlüsselreferenzdateien mit Client SDK 5 verwenden.

Migrieren Sie zu neuen Windows Server-Instanzen

  1. Führen Sie alle Schritte unter Migration zu Client SDK 5 auf Ihren neuen Windows Server-Instanzen durch.

  2. Suchen Sie nach vorhandenen wichtigen Referenzdateien

    Suchen Sie auf Ihrer ursprünglichen Windows Server-Instanz nach wichtigen Referenzdateien inC:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition.

    • Wenn wichtige Referenzdateien vorhanden sind, kopieren Sie den gesamten Inhalt unter C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP including GlobalPartition in denselben Verzeichnispfad auf Ihrer neuen Windows Server-Instanz. Erstellen Sie das Verzeichnis, falls es nicht existiert.

    • Wenn wichtige Referenzdateien nicht existieren, verwenden Sie sie cloudhsm-cli key generate-file --encoding ksp-key-reference auf Ihrer neuen Windows Server-Instanz, um sie zu erstellen. Detaillierte Anweisungen finden Sie unter Generieren von KSP-Schlüsselreferenzen (Windows).

  3. Überprüfen Sie das Stammzertifikat

    Überprüfen Sie Ihr Stammzertifikat bei den vertrauenswürdigen Stammzertifizierungsstellen:

    PS C:\Users\Administrator\Desktop> certutil -store Root

Root "Trusted Root Certification Authorities"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
 Issuer: CN=MYRootCA
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): cert-hash
No key provider information
Cannot find the certificate and private key for decryption.
CertUtil: -store command completed successfully.
    Anmerkung

    Notieren Sie sich die Seriennummer des Zertifikats zur Verwendung im nächsten Schritt.

  4. Exportieren Sie das Stammzertifikat

    Exportieren Sie das Stammzertifikat in eine Datei:

    certutil -store Root certificate-serial-number root-certificate-name.cer
  5. Überprüfen Sie das HSM-Backend-Zertifikat

    Überprüfen Sie Ihr HSM-Backend-Zertifikat im Personal Certificate Store:

    PS C:\Users\Administrator\Desktop> certutil -store My

my "Personal"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): cert-hash
  Key Container = key-container-name
  Provider = Cavium Key Storage Provider
Private key is NOT exportable
Encryption test passed
CertUtil: -store command completed successfully.
    Anmerkung

    Notieren Sie sich die Seriennummer des Zertifikats zur Verwendung im nächsten Schritt.

  6. Exportieren Sie das HSM-Backend-Zertifikat

    Exportieren Sie das HSM-Backend-Zertifikat in eine Datei:

    certutil -store My certificate-serial-number signed-certificate-name.cer
  7. Stammzertifikat importieren

    Auf Ihrer neuen Windows-Instanz:

    1. Kopieren Sie die Root-CA-Datei auf Ihre neue Windows-Instanz

    2. Importieren Sie das Zertifikat:

      certutil -addstore Root root-certificate-name.cer
  8. Überprüfen Sie die Installation des Stammzertifikats

    Stellen Sie sicher, dass das Stammzertifikat ordnungsgemäß installiert ist:

    PS C:\Users\Administrator\Desktop> certutil -store Root

Root "Trusted Root Certification Authorities"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
 Issuer: CN=MYRootCA
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): cert-hash
No key provider information
Cannot find the certificate and private key for decryption.
CertUtil: -store command completed successfully.
  9. HSM-Backend-Zertifikat importieren

    Auf Ihrer neuen Windows-Instanz:

    1. Kopieren Sie das HSM-Backend-Zertifikat auf Ihre neue Windows-Instanz

    2. Importieren Sie das Zertifikat:

      certutil -addstore My signed-certificate-name.cer
  10. Überprüfen Sie die Installation des HSM-Backend-Zertifikats

    Stellen Sie sicher, dass das HSM-Backend-Zertifikat ordnungsgemäß installiert ist:

    PS C:\Users\Administrator\Desktop> certutil -store My

my "Personal"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): cert-hash
No key provider information
Cannot find the certificate and private key for decryption.
CertUtil: -store command completed successfully.
    Anmerkung

    Notieren Sie sich die Seriennummer des Zertifikats zur Verwendung in den nachfolgenden Schritten.

  11. Erstellen Sie eine Schlüsselreferenzdatei (optional)

    Führen Sie diesen Schritt nur aus, wenn Sie eine neue Schlüsselreferenzdatei erstellen müssen. Andernfalls fahren Sie mit dem nächsten Schritt fort.

    Anmerkung

    Diese Funktion ist nur in SDK-Version 5.16.0 und höher verfügbar.

    1. Installiere OpenSSL und entpacke den Modulus:

      openssl x509 -in signed-certificate-name.cer -modulus -noout
      Anmerkung

      Der OpenSSL-Befehl gibt den Modulus im folgenden Format aus:. Modulus=modulus-value Beachten Sie das modulus-value zur Verwendung im nächsten Befehl.

    2. Erstellen Sie eine Schlüsselreferenzdatei mit der CloudHSM-CLI, siehe: Generieren von KSP-Schlüsselreferenzen (Windows)

      & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" key generate-file --encoding ksp-key-reference --filter attr.class=private-key attr.modulus=0xmodulus-value
      Anmerkung

      Den Befehlsargumenten modulus-value in CloudHSM CLI muss ein Präfix vorangestellt werden, 0x um das Hexadezimalformat anzugeben.

      Wichtige Referenzdateien werden in erstellt. C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition

  12. Reparaturkonfiguration erstellen

    Erstellen Sie eine Datei mit dem Namen repair.txt und dem folgenden Inhalt:

    [Properties]
11 = "" ; Add friendly name property
2 = "{text}" ; Add Key Provider Information property
_continue_="Container=key-container-name&"
_continue_="Provider=Cavium Key Storage Provider&"
_continue_="Flags=0&"
_continue_="KeySpec=2"
    Anmerkung

    key-container-nameErsetzen Sie es durch den Schlüsselreferenzdateinamen vonC:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition.

  13. Reparieren Sie den Zertifikatsspeicher

    Führen Sie den Reparaturbefehl aus:

    certutil -repairstore My certificate-serial-number repair.txt
    Anmerkung

    Die Seriennummer des Zertifikats wurde anhand der vorherigen Schritte bei der Überprüfung der Installation des HSM-Backend-Zertifikats abgerufen.

  14. Überprüfen Sie die Zertifikatszuweisung

    Stellen Sie sicher, dass das Zertifikat ordnungsgemäß verknüpft ist:

    PS C:\Users\Administrator\Desktop> certutil -store My

my "Personal"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): cert-hash
  Key Container = key-container-name
  Provider = Cavium Key Storage Provider
Private key is NOT exportable
ERROR: Could not verify certificate public key against private key
CertUtil: -store command completed successfully.

    Stellen Sie sicher, dass die Ausgabe Folgendes anzeigt:

  15. Testen Sie Ihre Anwendung

    Bevor Sie die Migration abschließen:

    1. Testen Sie Ihre Anwendung in Ihrer Entwicklungsumgebung

    2. Aktualisieren Sie Ihren Code, um alle wichtigen Änderungen zu beheben

    3. Anwendungsspezifische Anleitungen finden Sie unter Integrieren von Drittanbieter-Anwendungen mit AWS CloudHSM

Überprüfen Sie die Migration

Stellen Sie nach Abschluss der Migrationsschritte sicher, dass:

  • Ihre Zertifikate sind ordnungsgemäß in den richtigen Zertifikatsspeichern installiert

  • Wichtige Referenzdateien befinden sich am richtigen Speicherort

  • Ihre Anwendung kann mithilfe der migrierten Zertifikate kryptografische Operationen ausführen

Fehlerbehebung

Wenn bei der Migration Probleme auftreten, überprüfen Sie Folgendes:

  • Alle Zertifikate werden ordnungsgemäß aus dem Quellsystem exportiert

  • Die Seriennummern der Zertifikate stimmen zwischen den Systemen überein

  • Die Namen der Schlüsselcontainer in der Datei repair.txt stimmen mit Ihren wichtigsten Referenzdateien überein

  • SDK3 Der Kompatibilitätsmodus ist aktiviert, wenn mit SDK3 -generierte Schlüsselreferenzdateien verwendet werden

Verwandte Themen