Migración a Client SDK 5 Migre a nuevas instancias de Windows Server Verifique la migración Solución de problemas Temas relacionados de

Migre su proveedor de almacenamiento de claves (KSP) del SDK de AWS CloudHSM cliente 3 al SDK de cliente 5

En este tema se explica cómo migrar su proveedor de almacenamiento de claves (KSP) del SDK de AWS CloudHSM cliente 3 al SDK de cliente 5. Para obtener información sobre las ventajas de la migración, consulteVentajas del SDK 5 para AWS CloudHSM clientes.

En AWS CloudHSM, se utiliza el kit de desarrollo de software de AWS CloudHSM cliente (SDK) para realizar operaciones criptográficas. El SDK 5 de cliente es el SDK principal que recibe nuevas funciones y actualizaciones de compatibilidad con la plataforma.

Para obtener instrucciones de migración para todos los proveedores, consulteMigración del SDK de AWS CloudHSM cliente 3 al SDK de cliente 5.

Migración a Client SDK 5

Instale el proveedor de almacenamiento de claves (KSP) del SDK 5 del Client en su instancia de Windows Server. Para obtener instrucciones, consulte Instale el proveedor de almacenamiento de claves (KSP) para AWS CloudHSM Client SDK 5.
Configure su proveedor de almacenamiento de claves (KSP) del SDK 5 del cliente mediante el nuevo formato de archivo de configuración y la herramienta de arranque de la línea de comandos. Para obtener instrucciones, consulte Proceso de arranque del SDK de cliente.
El proveedor de almacenamiento de claves (KSP) para AWS CloudHSM Client SDK 5 incluye un modo de SDK3 compatibilidad para admitir los archivos de referencia clave generados en él. SDK3 Para obtener más información, consulte SDK3 modo de compatibilidad para el proveedor de almacenamiento de claves (KSP) para AWS CloudHSM.

nota
Debe habilitar el modo de SDK3 compatibilidad cuando utilice los archivos de referencia clave generados por el SDK de cliente 3 con el SDK de cliente 5.

Migre a nuevas instancias de Windows Server

Complete todos los pasos que se indican en la migración al Client SDK 5 en las nuevas instancias de Windows Server.
Compruebe si hay archivos de referencia clave existentes

En la instancia original de Windows Server, compruebe si hay archivos de referencia clave enC:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition.
- Si existen archivos de referencia clave, copia todo el contenido de la sección C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP GlobalPartition Inclusive en la misma ruta de directorio de la nueva instancia de Windows Server. Crea el directorio si no existe.
- Si los archivos de referencia clave no existen, cloudhsm-cli key generate-file --encoding ksp-key-reference utilícelos en la nueva instancia de Windows Server para crearlos. Para obtener instrucciones, consulte Generación de referencias clave de KSP (Windows).

Verifica el certificado raíz

Compruebe su certificado raíz en las entidades emisoras de certificados raíz de confianza:


PS C:\Users\Administrator\Desktop> certutil -store Root

Root "Trusted Root Certification Authorities"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
 Issuer: CN=MYRootCA
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): cert-hash
No key provider information
Cannot find the certificate and private key for decryption.
CertUtil: -store command completed successfully.

nota

Anote el número de serie del certificado para usarlo en el siguiente paso.

Exporte el certificado raíz

Exporte el certificado raíz a un archivo:


certutil -store Root certificate-serial-number root-certificate-name.cer

Verifique el certificado de backend de HSM

Compruebe su certificado de backend de HSM en el almacén de certificados personales:


PS C:\Users\Administrator\Desktop> certutil -store My

my "Personal"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): cert-hash
  Key Container = key-container-name
  Provider = Cavium Key Storage Provider
Private key is NOT exportable
Encryption test passed
CertUtil: -store command completed successfully.

nota

Anote el número de serie del certificado para usarlo en el siguiente paso.

Exporte el certificado de back-end de HSM

Exporte el certificado de backend de HSM a un archivo:
```
certutil -store My certificate-serial-number signed-certificate-name.cer
```
Importar el certificado raíz

En tu nueva instancia de Windows:
1. Copia el archivo CA raíz a tu nueva instancia de Windows
2. Importa el certificado:
```
certutil -addstore Root root-certificate-name.cer
```

Compruebe la instalación del certificado raíz

Confirme que el certificado raíz esté instalado correctamente:


PS C:\Users\Administrator\Desktop> certutil -store Root

Root "Trusted Root Certification Authorities"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
 Issuer: CN=MYRootCA
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): cert-hash
No key provider information
Cannot find the certificate and private key for decryption.
CertUtil: -store command completed successfully.

Importe el certificado de backend de HSM

En tu nueva instancia de Windows:
1. Copia el certificado de HSM-Backend en tu nueva instancia de Windows
2. Importa el certificado:
```
certutil -addstore My signed-certificate-name.cer
```

Compruebe la instalación del certificado de back-end de HSM

Confirme que el certificado de backend de HSM esté instalado correctamente:


PS C:\Users\Administrator\Desktop> certutil -store My

my "Personal"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): cert-hash
No key provider information
Cannot find the certificate and private key for decryption.
CertUtil: -store command completed successfully.

nota

Anote el número de serie del certificado para usarlo en los pasos siguientes.

Cree un archivo de referencia clave (opcional)

Complete este paso solo si necesita crear un nuevo archivo de referencia clave. De lo contrario, continúe con el próximo paso.

nota
Esta función solo está disponible en la versión 5.16.0 y versiones posteriores del SDK.
1. Instale OpenSSL y extraiga el módulo:
```
openssl x509 -in signed-certificate-name.cer -modulus -noout
```
  nota
  El comando OpenSSL genera el módulo en el formato:. Modulus=modulus-value Anote lo que modulus-value debe usarse en el siguiente comando.
2. Cree un archivo de referencia clave con la CLI de CloudHSM, consulte: Generación de referencias clave de KSP (Windows)
```
& "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" key generate-file --encoding ksp-key-reference --filter attr.class=private-key attr.modulus=0xmodulus-value
```
  nota
  Los modulus-value argumentos del comando CLI de CloudHSM deben ir precedidos de un 0x prefijo para indicar el formato hexadecimal.
  Los archivos de referencia clave se crean en. C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition
Cree una configuración de reparación

Cree un archivo denominado repair.txt con el siguiente contenido:
```
[Properties]
11 = "" ; Add friendly name property
2 = "{text}" ; Add Key Provider Information property
_continue_="Container=key-container-name&"
_continue_="Provider=Cavium Key Storage Provider&"
_continue_="Flags=0&"
_continue_="KeySpec=2"
```
nota
key-container-nameSustitúyalo por el nombre de archivo de referencia clave deC:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition.
Reparar el almacén de certificados

Ejecute el comando de reparación:
```
certutil -repairstore My certificate-serial-number repair.txt
```
nota
El número de serie del certificado se obtiene de los pasos anteriores al verificar la instalación del certificado de backend de HSM.

Compruebe la asociación del certificado

Confirme que el certificado esté asociado correctamente:


PS C:\Users\Administrator\Desktop> certutil -store My

my "Personal"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): cert-hash
  Key Container = key-container-name
  Provider = Cavium Key Storage Provider
Private key is NOT exportable
ERROR: Could not verify certificate public key against private key
CertUtil: -store command completed successfully.

Compruebe que el resultado muestre lo siguiente:

El nombre correcto del contenedor de claves
El proveedor de almacenamiento de claves de Cavium
ERROR: Could not verify certificate public key against private keySe trata de un problema conocido, consulte Problema: se produce un error al comprobar un almacén de certificados

Prueba de la aplicación

Antes de completar la migración:
1. Pruebe la aplicación en su entorno de desarrollo
2. Actualice su código para resolver cualquier cambio importante
3. Para obtener orientación específica para cada aplicación, consulte Integración de las aplicaciones de terceros con AWS CloudHSM

Verifique la migración

Tras completar los pasos de migración, compruebe que:

Sus certificados estén instalados correctamente en los almacenes de certificados correctos
Los archivos de referencia clave están presentes en la ubicación correcta
Su aplicación puede realizar operaciones criptográficas mediante los certificados migrados

Solución de problemas

Si tiene problemas durante la migración, compruebe lo siguiente:

Todos los certificados se exportan correctamente desde el sistema de origen
Los números de serie de los certificados coinciden entre los sistemas
Los nombres de los contenedores de claves del archivo repair.txt coinciden con los archivos de referencia clave
SDK3 el modo de compatibilidad está activado si se utilizan archivos SDK3 de referencia clave generados por ellos

Temas relacionados de

Mejores prácticas para AWS CloudHSM

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Migrar el motor dinámico de OpenSSL

Migrar el proveedor de JCE

Migre su proveedor de almacenamiento de claves (KSP) del SDK de AWS CloudHSM cliente 3 al SDK de cliente 5

Migración a Client SDK 5

nota

Migre a nuevas instancias de Windows Server

Compruebe si hay archivos de referencia clave existentes

Verifica el certificado raíz

nota

Exporte el certificado raíz

Verifique el certificado de backend de HSM

nota

Exporte el certificado de back-end de HSM

Importar el certificado raíz

Compruebe la instalación del certificado raíz

Importe el certificado de backend de HSM

Compruebe la instalación del certificado de back-end de HSM

nota

Cree un archivo de referencia clave (opcional)

nota

nota

nota

Cree una configuración de reparación

nota

Reparar el almacén de certificados

nota

Compruebe la asociación del certificado

Prueba de la aplicación

Verifique la migración

Solución de problemas

Temas relacionados de