Verificar los proveedores de KSP y CNG para AWS CloudHSM
Los proveedores de KSP y CNG se instalan con el cliente de AWS CloudHSM para Windows. Puede instalar el cliente siguiendo los pasos que se indican en Instalación del cliente (Windows).
Use las siguientes secciones para verificar la instalación de los proveedores.
Configuración y ejecución del cliente de AWS CloudHSM para Windows
Para iniciar el cliente de CloudHSM para Windows, debe cumplir los Requisitos previos. A continuación, actualice los archivos de configuración que usan los proveedores e inicie el cliente según los pasos que se indican a continuación. Tiene que realizar estos pasos la primera vez que utilice los proveedores de KSP y CNG y después de añadir o quitar HSM del clúster. Esto permite a AWS CloudHSM sincronizar los datos y mantener la coherencia entre todos los HSM del clúster.
Paso 1: detener el cliente de AWS CloudHSM
Antes de actualizar los archivos de configuración que utilizan los proveedores, detenga el cliente de AWS CloudHSM. Si el cliente ya se ha detenido, la ejecución del comando stop no tiene ningún efecto.
Para la versión 1.1.2 y posteriores del cliente de Windows:
C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClientPara la versión 1.1.1 y anteriores de clientes de Windows:
Ejecute Ctrl+C en la ventana de comandos donde inició el cliente de AWS CloudHSM.
Paso 2: actualizar los archivos de configuración de AWS CloudHSM
En este paso se utiliza el parámetro -a de la herramienta de configuración para añadir la dirección IP de la interfaz de red elástica (ENI) de uno de los HSM del clúster al archivo de configuración.
PS C:\>& "C:\Program Files\Amazon\CloudHSM\configure.exe" -a<HSM ENI IP>
Para obtener la dirección IP de la ENI de un HSM del clúster, vaya a la consola de AWS CloudHSM, elija clusters (clústeres) y seleccione el clúster que desee. También puede utilizar la operación DescribeClusters, el comando describe-clusters o el cmdlet Get-HSM2Cluster de PowerShell. Escriba una sola dirección IP de ENI. No importa qué dirección IP de ENI use.
Paso 3: iniciar el cliente de AWS CloudHSM
A continuación, inicie o reinicie el cliente de AWS CloudHSM. Cuando el cliente de AWS CloudHSM se inicia, utiliza la dirección IP de ENI del archivo de configuración para realizar consultas en el clúster. A continuación, añade las direcciones IP de ENI de todos los HSM en el clúster al archivo de información del clúster.
Para la versión 1.1.2 y posteriores del cliente de Windows:
C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClientPara la versión 1.1.1 y anteriores de clientes de Windows:
C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
Comprobación de los proveedores de KSP y CNG
Puede utilizar cualquiera de los siguientes comandos para determinar qué proveedores están instalados en su sistema. Los comandos enumeran los proveedores de KSP y CNG registrados. No es necesario que el cliente de AWS CloudHSM esté en ejecución.
PS C:\>& "C:\Program Files\Amazon\CloudHSM\ksp_config.exe" -enum
PS C:\>& "C:\Program Files\Amazon\CloudHSM\cng_config.exe" -enum
Compruebe que los proveedores de KSP y CNG están instalados en la instancia EC2 de Windows Server. Debería ver las siguientes entradas en la lista:
Cavium CNG Provider Cavium Key Storage Provider
Si falta el proveedor de CNG, ejecute el siguiente comando.
PS C:\>& "C:\Program Files\Amazon\CloudHSM\cng_config.exe" -register
Si falta el proveedor de KSP, ejecute el siguiente comando.
PS C:\>& "C:\Program Files\Amazon\CloudHSM\ksp_config.exe" -register
