Migrer vers le SDK client 5 Migrer vers de nouvelles instances Windows Server Vérifiez la migration Résolution des problèmes Rubriques en relation

Migrez votre fournisseur de stockage de clés (KSP) du SDK AWS CloudHSM client 3 vers le SDK client 5

Cette rubrique explique comment migrer votre fournisseur de stockage de clés (KSP) du SDK AWS CloudHSM client 3 vers le SDK client 5. Pour plus d'informations sur les avantages de la migration, consultezAvantages du SDK AWS CloudHSM client 5.

Dans AWS CloudHSM, vous utilisez le kit de développement logiciel (SDK) AWS CloudHSM client pour effectuer des opérations cryptographiques. Le SDK client 5 est le SDK principal qui reçoit les nouvelles fonctionnalités et les mises à jour de support de la plateforme.

Pour les instructions de migration pour tous les fournisseurs, voirMigration du SDK AWS CloudHSM client 3 vers le SDK client 5.

Migrer vers le SDK client 5

Installez le fournisseur de stockage de clés (KSP) du SDK client (KSP) sur votre instance Windows Server. Pour obtenir des instructions, veuillez consulter Installation du fournisseur de stockage de clés (KSP) pour le SDK AWS CloudHSM client 5.
Configurez votre fournisseur de stockage de clés (KSP) du SDK client (KSP) à l'aide du nouveau format de fichier de configuration et de l'outil de démarrage en ligne de commande. Pour obtenir des instructions, veuillez consulter Amorcez le SDK client.
Le fournisseur de stockage de clés (KSP) pour AWS CloudHSM le SDK client 5 inclut le mode de SDK3 compatibilité pour prendre en charge les fichiers de référence clés générés dans. SDK3 Pour de plus amples informations, veuillez consulter SDK3 mode de compatibilité pour le fournisseur de stockage de clés (KSP) pour AWS CloudHSM.

Note
Vous devez activer le mode de SDK3 compatibilité lorsque vous utilisez les fichiers de référence clés générés par le SDK client 3 avec le SDK client 5.

Migrer vers de nouvelles instances Windows Server

Effectuez toutes les étapes de la section Migrer vers le SDK client 5 sur vos nouvelles instances Windows Server.
Vérifiez les fichiers de référence clés existants

Sur votre instance Windows Server d'origine, recherchez les fichiers de référence clés dansC:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition.
- Si des fichiers de référence clés existent, copiez tout le contenu sous « C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP y GlobalPartition » dans le même chemin de répertoire sur votre nouvelle instance Windows Server. Créez le répertoire s'il n'existe pas.
- Si les fichiers de référence clés n'existent pas, utilisez-les cloudhsm-cli key generate-file --encoding ksp-key-reference sur votre nouvelle instance Windows Server pour les créer. Pour obtenir des instructions, veuillez consulter Génération de références clés KSP (Windows).

Vérifier le certificat racine

Vérifiez votre certificat racine auprès des autorités de certification racine fiables :


PS C:\Users\Administrator\Desktop> certutil -store Root

Root "Trusted Root Certification Authorities"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
 Issuer: CN=MYRootCA
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): cert-hash
No key provider information
Cannot find the certificate and private key for decryption.
CertUtil: -store command completed successfully.

Note

Notez le numéro de série du certificat à utiliser à l'étape suivante.

Exporter le certificat racine

Exportez le certificat racine vers un fichier :
```
certutil -store Root certificate-serial-number root-certificate-name.cer
```

Vérifier le certificat HSM-Backend

Vérifiez votre certificat HSM-backend dans le magasin de certificats personnels :


PS C:\Users\Administrator\Desktop> certutil -store My

my "Personal"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): cert-hash
  Key Container = key-container-name
  Provider = Cavium Key Storage Provider
Private key is NOT exportable
Encryption test passed
CertUtil: -store command completed successfully.

Note

Notez le numéro de série du certificat à utiliser à l'étape suivante.

Exporter le certificat HSM-backend

Exportez le certificat HSM-Backend vers un fichier :
```
certutil -store My certificate-serial-number signed-certificate-name.cer
```
Importer le certificat racine

Sur votre nouvelle instance Windows :
1. Copiez le fichier CA racine sur votre nouvelle instance Windows
2. Importez le certificat :
```
certutil -addstore Root root-certificate-name.cer
```

Vérifier l'installation du certificat racine

Vérifiez que le certificat racine est correctement installé :


PS C:\Users\Administrator\Desktop> certutil -store Root

Root "Trusted Root Certification Authorities"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
 Issuer: CN=MYRootCA
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): cert-hash
No key provider information
Cannot find the certificate and private key for decryption.
CertUtil: -store command completed successfully.

Importer un certificat HSM-Backend

Sur votre nouvelle instance Windows :
1. Copiez le certificat HSM-Backend sur votre nouvelle instance Windows
2. Importez le certificat :
```
certutil -addstore My signed-certificate-name.cer
```

Vérifier l'installation du certificat HSM-backend

Vérifiez que le certificat HSM-Backend est correctement installé :


PS C:\Users\Administrator\Desktop> certutil -store My

my "Personal"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): cert-hash
No key provider information
Cannot find the certificate and private key for decryption.
CertUtil: -store command completed successfully.

Note

Notez le numéro de série du certificat à utiliser dans les étapes suivantes.

Création d'un fichier de référence clé (facultatif)

Effectuez cette étape uniquement si vous devez créer un nouveau fichier de référence clé. Sinon, passez à l'étape suivante.

Note
Cette fonctionnalité n'est disponible que dans les versions 5.16.0 et ultérieures du SDK.
1. Installez OpenSSL et extrayez le module :
```
openssl x509 -in signed-certificate-name.cer -modulus -noout
```
  Note
  La commande OpenSSL affiche le module au format :. Modulus=modulus-value Notez le modulus-value à utiliser dans la commande suivante.
2. Créez un fichier de référence clé avec la CLI CloudHSM, voir : Génération de références clés KSP (Windows)
```
& "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" key generate-file --encoding ksp-key-reference --filter attr.class=private-key attr.modulus=0xmodulus-value
```
  Note
  Les arguments de la commande modulus-value in CloudHSM CLI doivent être 0x préfixés par un préfixe pour indiquer le format hexadécimal.
  Les fichiers de référence clés sont créés dansC:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition.
Création d'une configuration de réparation

Créez un fichier nommé repair.txt avec le contenu suivant:
```
[Properties]
11 = "" ; Add friendly name property
2 = "{text}" ; Add Key Provider Information property
_continue_="Container=key-container-name&"
_continue_="Provider=Cavium Key Storage Provider&"
_continue_="Flags=0&"
_continue_="KeySpec=2"
```
Note
Remplacez key-container-name par le nom de fichier de référence clé deC:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition.
Boutique de certificats de réparation

Exécutez la commande de réparation :
```
certutil -repairstore My certificate-serial-number repair.txt
```
Note
Le numéro de série du certificat est obtenu lors des étapes précédentes lors de la vérification de l'installation du certificat HSM-backend.

Vérifier l'association des certificats

Vérifiez que le certificat est correctement associé :


PS C:\Users\Administrator\Desktop> certutil -store My

my "Personal"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
 NotBefore: 2/5/2020 1:38 PM
 NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): cert-hash
  Key Container = key-container-name
  Provider = Cavium Key Storage Provider
Private key is NOT exportable
ERROR: Could not verify certificate public key against private key
CertUtil: -store command completed successfully.

Vérifiez que le résultat indique :

Le nom correct du conteneur clé
Le fournisseur de stockage de clés Cavium
Le problème ERROR: Could not verify certificate public key against private key est connu, voir Problème : échec de la vérification d'un magasin de certificats

Testez votre application

Avant de terminer la migration :
1. Testez votre application dans votre environnement de développement
2. Mettez à jour votre code pour corriger les modifications importantes
3. Pour des conseils spécifiques à l'application, voir Intégration des applications tierces à AWS CloudHSM

Vérifiez la migration

Une fois les étapes de migration terminées, vérifiez que :

Vos certificats sont correctement installés dans les magasins de certificats appropriés
Les fichiers de référence clés sont présents au bon endroit
Votre application peut effectuer des opérations cryptographiques à l'aide des certificats migrés

Résolution des problèmes

Si vous rencontrez des problèmes lors de la migration, vérifiez :

Tous les certificats sont correctement exportés depuis le système source
Les numéros de série des certificats correspondent entre les systèmes
Les noms des conteneurs clés dans le fichier repair.txt correspondent à vos fichiers de référence clés
SDK3 le mode de compatibilité est activé si vous utilisez des SDK3 fichiers de référence clés générés par

Rubriques en relation

Les meilleures pratiques pour AWS CloudHSM

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Migrer le moteur dynamique OpenSSL

Migration du fournisseur JCE

Migrez votre fournisseur de stockage de clés (KSP) du SDK AWS CloudHSM client 3 vers le SDK client 5

Migrer vers le SDK client 5

Note

Migrer vers de nouvelles instances Windows Server

Vérifiez les fichiers de référence clés existants

Vérifier le certificat racine

Note

Exporter le certificat racine

Vérifier le certificat HSM-Backend

Note

Exporter le certificat HSM-backend

Importer le certificat racine

Vérifier l'installation du certificat racine

Importer un certificat HSM-Backend

Vérifier l'installation du certificat HSM-backend

Note

Création d'un fichier de référence clé (facultatif)

Note

Note

Note

Création d'une configuration de réparation

Note

Boutique de certificats de réparation

Note

Vérifier l'association des certificats

Testez votre application

Vérifiez la migration

Résolution des problèmes

Rubriques en relation