Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# OpenSSL Dynamic Engine für AWS CloudHSM Client SDK 5
<a name="openssl-library"></a>

Mit der AWS CloudHSM OpenSSL Dynamic Engine können Sie kryptografische Operationen über die OpenSSL-API auf Ihren CloudHSM-Cluster auslagern.

AWS CloudHSM stellt eine OpenSSL Dynamic Engine bereit, über die Sie in [AWS CloudHSM SSL/TLS-Offload unter Linux mit Tomcat mit JSSE](third-offload-linux-jsse.md) oder [AWS CloudHSM SSL/TLS-Offload unter Linux mit NGINX oder Apache mit OpenSSL](third-offload-linux-openssl.md) nachlesen können. Ein Beispiel zur Verwendung AWS CloudHSM mit OpenSSL finden Sie in [diesem AWS-Sicherheitsblog](https://aws.amazon.com/blogs/security/automate-the-deployment-of-an-nginx-web-service-using-amazon-ecs-with-tls-offload-in-cloudhsm/). Informationen zur Plattformunterstützung für finden Sie SDKs unter[AWS CloudHSM Client SDK 5 unterstützte Plattformen](client-supported-platforms.md). Informationen zur Problembehandlung finden Sie unter[Bekannte Probleme mit der OpenSSL Dynamic Engine für AWS CloudHSM](ki-openssl-sdk.md).

Verwenden Sie die folgenden Abschnitte, um die AWS CloudHSM dynamische Engine für OpenSSL mithilfe des Client SDK 5 zu installieren und zu konfigurieren.

Informationen zur Verwendung von Client-SDK 3 finden Sie unter [Verwenden der vorherigen SDK-Version zum Arbeiten mit AWS CloudHSM](choose-client-sdk.md).

**Topics**
+ [Installieren Sie die OpenSSL Dynamic Engine für AWS CloudHSM Client SDK 5](openssl5-install.md)
+ [Unterstützte Schlüsseltypen für OpenSSL Dynamic Engine for AWS CloudHSM Client SDK 5](openssl-key-types.md)
+ [Unterstützte Mechanismen für OpenSSL Dynamic Engine für AWS CloudHSM Client SDK 5](openssl-mechanisms.md)
+ [Erweiterte Konfigurationen für OpenSSL für AWS CloudHSM](openssl-library-configs.md)

# Installieren Sie die OpenSSL Dynamic Engine für AWS CloudHSM Client SDK 5
<a name="openssl5-install"></a>

Verwenden Sie die folgenden Abschnitte, um die OpenSSL Dynamic Engine for AWS CloudHSM Client SDK 5 zu installieren.

**Anmerkung**  
Um einen einzelnen HSM-Cluster mit Client-SDK 5 auszuführen, müssen Sie zunächst die Einstellungen für die Haltbarkeit von Client-Schlüsseln verwalten, indem Sie die Einstellung `disable_key_availability_check` auf `True` festlegen. Weitere Informationen finden Sie unter [Schlüsselsynchronisierung](manage-key-sync.md) und [Client-SDK-5-Configure-Tool](configure-sdk-5.md).

**Zum Installieren und Konfigurieren von OpenSSL Dynamic Engine**

1. Verwenden Sie die folgenden Befehle zum Herunterladen und Installieren der OpenSSL-Engine.

------
#### [ Amazon Linux 2023 ]

   Installieren Sie die OpenSSL Dynamic Engine für Amazon Linux 2023 auf einer x86\$164-Architektur:

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-dyn-latest.amzn2023.x86_64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-dyn-latest.amzn2023.x86_64.rpm
   ```

   Installieren Sie die OpenSSL Dynamic Engine für Amazon Linux 2023 auf der ARM64 Architektur:

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-dyn-latest.amzn2023.aarch64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-dyn-latest.amzn2023.aarch64.rpm
   ```

------
#### [ Amazon Linux 2 ]

   Installieren Sie die OpenSSL Dynamic Engine für Amazon Linux 2 auf einer x86\$164-Architektur:

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-dyn-latest.el7.x86_64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-dyn-latest.el7.x86_64.rpm
   ```

   Installieren Sie die OpenSSL Dynamic Engine für Amazon Linux 2 auf der ARM64 Architektur:

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-dyn-latest.el7.aarch64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-dyn-latest.el7.aarch64.rpm
   ```

------
#### [ RHEL 9 (9.2\$1) ]

   Installieren Sie die OpenSSL Dynamic Engine für RHEL 9 auf einer x86\$164-Architektur:

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-dyn-latest.el9.x86_64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-dyn-latest.el9.x86_64.rpm
   ```

   Installieren Sie die OpenSSL Dynamic Engine für RHEL 9 auf der ARM64 Architektur:

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-dyn-latest.el9.aarch64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-dyn-latest.el9.aarch64.rpm
   ```

------
#### [ RHEL 8 (8.3\$1) ]

   Installieren Sie die OpenSSL Dynamic Engine für RHEL 8 auf einer x86\$164-Architektur:

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-dyn-latest.el8.x86_64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-dyn-latest.el8.x86_64.rpm
   ```

   Installieren Sie die OpenSSL Dynamic Engine für RHEL 8 auf der ARM64 Architektur:

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-dyn-latest.el8.aarch64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-dyn-latest.el8.aarch64.rpm
   ```

------
#### [ Ubuntu 24.04 LTS ]

   Installieren Sie die OpenSSL Dynamic Engine für Ubuntu 24.04 LTS auf der x86\$164-Architektur:

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-dyn_latest_u24.04_amd64.deb
   ```

   ```
   $ sudo apt install ./cloudhsm-dyn_latest_u24.04_amd64.deb
   ```

   Installieren Sie die OpenSSL Dynamic Engine für Ubuntu 24.04 LTS auf der Architektur: ARM64 

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-dyn_latest_u24.04_arm64.deb
   ```

   ```
   $ sudo apt install ./cloudhsm-dyn_latest_u24.04_arm64.deb
   ```

------
#### [ Ubuntu 22.04 LTS ]

   Installieren Sie die OpenSSL Dynamic Engine für Ubuntu 22.04 LTS auf der x86\$164-Architektur:

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-dyn_latest_u22.04_amd64.deb
   ```

   ```
   $ sudo apt install ./cloudhsm-dyn_latest_u22.04_amd64.deb
   ```

   Installieren Sie die OpenSSL Dynamic Engine für Ubuntu 22.04 LTS auf der Architektur: ARM64 

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-dyn_latest_u22.04_arm64.deb
   ```

   ```
   $ sudo apt install ./cloudhsm-dyn_latest_u22.04_arm64.deb
   ```

------

   Sie haben die gemeinsam genutzte Bibliothek für die Dynamic Engine unter `/opt/cloudhsm/lib/libcloudhsm_openssl_engine.so` installiert.

1. Bootstrap für Client-SDK 5 Weitere Informationen zu Bootstrapping finden Sie unter [Bootstrap für das Client-SDK](cluster-connect.md#connect-how-to).

1. Legen Sie eine Umgebungsvariable mit den Anmeldeinformationen eines Crypto-Benutzers (CU) fest. Hinweise zum Erstellen CUs finden Sie unter. [Einen AWS CloudHSM Benutzer mit CloudHSM CLI erstellen](cloudhsm_cli-user-create.md)

   ```
   $ export CLOUDHSM_PIN=<HSM user name>:<password>
   ```
**Anmerkung**  
Das Client-SDK 5 führt die `CLOUDHSM_PIN`-Umgebungsvariable zum Speichern der Anmeldeinformationen der CU ein. Im Client-SDK 3 speichern Sie die CU-Anmeldeinformationen in der `n3fips_password`-Umgebungsvariable. Client-SDK 5 unterstützt beide Umgebungsvariablen, wir empfehlen jedoch, `CLOUDHSM_PIN` zu verwenden.  
Beim Setzen von `CLOUDHSM_PIN` Umgebungsvariablen müssen Sie alle Sonderzeichen maskieren, die von Ihrer Shell interpretiert werden könnten.

1. Verbinden Sie Ihre Installation von OpenSSL Dynamic Engine mit dem Cluster. Weitere Informationen finden Sie unter [Verbinden mit dem Cluster](cluster-connect.md).

1. Bootstrap für das Client-SDK 5. Weitere Informationen finden Sie unter [Bootstrap für das Client-SDK](cluster-connect.md#connect-how-to).

## Überprüfen Sie die OpenSSL Dynamic Engine für Client-SDK 5
<a name="verify-dyn-5"></a>

Verwenden Sie den folgenden Befehl, um Ihre Installation der OpenSSL Dynamic Engine zu überprüfen.

```
$ openssl engine -t cloudhsm
```

Die folgende Ausgabe verifiziert Ihre Konfiguration:

```
(cloudhsm) CloudHSM OpenSSL Engine
     [ available ]
```

# Unterstützte Schlüsseltypen für OpenSSL Dynamic Engine for AWS CloudHSM Client SDK 5
<a name="openssl-key-types"></a>

Die AWS CloudHSM OpenSSL Dynamic Engine unterstützt die folgenden Schlüsseltypen mit Client SDK 5.


****  

| Schlüsseltyp | Description | 
| --- | --- | 
| EC | ECDSA sign/verify für die Schlüsseltypen P-256, P-384 und secp256k1. Informationen zum Generieren von EC-Schlüsseln, die mit der OpenSSL-Engine kompatibel sind, finden Sie unter [Exportieren Sie einen asymmetrischen Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-file.md). | 
| RSA | Generierung von RSA-Schlüsseln für 2048-, 3072- und 4096-Bit-Schlüssel. RSA-Signieren/Verifizieren. Die Überprüfung wird auf die OpenSSL-Software übertragen. | 

# Unterstützte Mechanismen für OpenSSL Dynamic Engine für AWS CloudHSM Client SDK 5
<a name="openssl-mechanisms"></a>

Die AWS CloudHSM OpenSSL Dynamic Engine unterstützt die folgenden Mechanismen für Sign- und Verify-Funktionen mit Client SDK 5.

## Funktionen zum Signieren und Überprüfen
<a name="openssl-mechanisms-sign-verify"></a>

Mit Client-SDK 5 werden die Daten lokal in der Software gehasht. Das bedeutet, dass die Größe der Daten, die gehasht werden können, unbegrenzt ist.

RSA-Signaturtypen
+ SHA1withRSA
+ SHA224withRSA
+ SHA256withRSA
+ SHA384withRSA
+ SHA512withRSA

ECDSA-Signaturtypen
+ SHA1withECDSA
+ SHA224withECDSA
+ SHA256withECDSA
+ SHA384withECDSA
+ SHA512withECDSA

# Erweiterte Konfigurationen für OpenSSL für AWS CloudHSM
<a name="openssl-library-configs"></a>

Der AWS CloudHSM OpenSSL-Anbieter beinhaltet die folgende erweiterte Konfiguration, die nicht Teil der allgemeinen Konfigurationen ist, die die meisten Kunden verwenden. Diese Konfigurationen bieten zusätzliche Funktionen.
+ [Wiederholungsbefehle für OpenSSL](openssl-library-configs-retry.md)

# Befehle für OpenSSL wiederholen für AWS CloudHSM
<a name="openssl-library-configs-retry"></a>

AWS CloudHSM Das Client-SDK 5.8.0 und höher verfügen über eine integrierte automatische Wiederholungsstrategie, mit der HSM-gedrosselte Operationen von der Clientseite aus wiederholt werden. Wenn ein HSM Operationen drosselt, weil es mit der Ausführung früherer Operationen zu beschäftigt ist und keine weiteren Anfragen annehmen kann, versucht der Client, gedrosselte Operationen bis zu dreimal zu wiederholen, während er SDKs sich exponentiell zurückzieht. Diese automatische Wiederholungsstrategie kann auf einen von zwei Modi eingestellt werden: **aus** und **Standard**.
+ **aus**: Das Client-SDK führt bei gedrosselten Vorgängen durch das HSM keine Wiederholungsstrategie durch.
+ **Standard**: Dies ist der Standardmodus für das Client-SDK 5.8.0 und höher. In diesem Modus wiederholt der Client automatisch gedrosselte Operationen, indem er SDKs sich exponentiell zurückzieht.

Weitere Informationen finden Sie unter [HSM-Drosselung](troubleshoot-hsm-throttling.md).

## Stellen Sie den Modus für Wiederholungsbefehle auf Aus
<a name="w2aac25c21c19c19b7b9"></a>

Sie können den folgenden Befehl verwenden, um Wiederholungsbefehle in den **off**-Modus zu setzen:

```
$ sudo /opt/cloudhsm/bin/configure-dyn --default-retry-mode off
```