Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Fournisseur AWS CloudHSM OpenSSL pour le SDK client 5
<a name="openssl-provider-library"></a>

Le fournisseur AWS CloudHSM OpenSSL vous permet de décharger les opérations cryptographiques TLS vers votre cluster CloudHSM via l'API du fournisseur OpenSSL. L'interface Provider est l'approche recommandée pour les nouveaux déploiements utilisant OpenSSL 3.2 et versions ultérieures.

Utilisez les sections suivantes pour installer et configurer le fournisseur AWS CloudHSM OpenSSL à l'aide du SDK client 5.

**Avertissement**  
 L'intégration avec la CLI OpenSSL n'est actuellement pas prise en charge AWS CloudHSM par le fournisseur OpenSSL. Consultez [AWS CloudHSM Déchargement SSL/TLS sous Linux à l'aide de NGINX ou du fournisseur OpenSSL HAProxy](third-offload-linux-openssl-provider.md) les intégrations prises en charge. 

## Plateformes prises en charge
<a name="openssl-provider-supported-platforms"></a>

Le fournisseur OpenSSL nécessite OpenSSL 3.2 ou version ultérieure, disponible sur \$1, Ubuntu 24.04\$1 et Amazon EL9 Linux 2023\$1.

Vérifiez la compatibilité : `openssl version`

**Topics**
+ [Plateformes prises en charge](#openssl-provider-supported-platforms)
+ [Installation du fournisseur AWS CloudHSM OpenSSL pour le SDK client 5](openssl-provider-install.md)
+ [Types de clés pris en charge pour le fournisseur AWS CloudHSM OpenSSL pour le client SDK 5](openssl-provider-key-types.md)
+ [Mécanismes pris en charge par le fournisseur OpenSSL](openssl-provider-mechanisms.md)
+ [Configuration avancée du fournisseur OpenSSL](openssl-provider-advanced-config.md)

# Installation du fournisseur AWS CloudHSM OpenSSL pour le SDK client 5
<a name="openssl-provider-install"></a>

Utilisez les sections suivantes pour installer le fournisseur OpenSSL pour le SDK client AWS CloudHSM 5.

**Note**  
Pour exécuter un seul cluster HSM avec le SDK client 5, vous devez d'abord gérer les paramètres de durabilité des clés client en définissant `disable_key_availability_check` sur `True`. Pour plus d'informations, veuillez consulter les sections [Synchronisation des clés](working-client-sync.md#client-sync-sdk8) et [outil de configuration du SDK client 5](configure-sdk-5.md).

## Exigences
<a name="openssl-provider-cluster-requirements"></a>

Le fournisseur OpenSSL **nécessite** des types de clusters hsm2m.medium et une version minimale du SDK client CloudHSM version 5.17.0 ou ultérieure.

## Installation du fournisseur OpenSSL
<a name="openssl-provider-install-steps"></a>

**Pour installer le fournisseur OpenSSL**

1. Utilisez les commandes suivantes pour télécharger et installer le fournisseur OpenSSL.

------
#### [ Amazon Linux 2023 ]

   Installez le fournisseur OpenSSL pour Amazon Linux 2023 sur une architecture x86\$164 :

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-openssl-provider-latest.amzn2023.x86_64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-openssl-provider-latest.amzn2023.x86_64.rpm
   ```

   Installez le fournisseur OpenSSL pour Amazon Linux 2023 sur l'architecture : ARM64 

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-openssl-provider-latest.amzn2023.aarch64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-openssl-provider-latest.amzn2023.aarch64.rpm
   ```

------
#### [ RHEL 9 (9.2\$1) ]

   Installez le fournisseur OpenSSL pour RHEL 9 sur une architecture x86\$164 :

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-openssl-provider-latest.el9.x86_64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-openssl-provider-latest.el9.x86_64.rpm
   ```

   Installez le fournisseur OpenSSL pour RHEL 9 sur l'architecture : ARM64 

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-openssl-provider-latest.el9.aarch64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-openssl-provider-latest.el9.aarch64.rpm
   ```

------
#### [ RHEL 10 (10.0\$1) ]

   Installez le fournisseur OpenSSL pour RHEL 10 sur une architecture x86\$164 :

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-openssl-provider-latest.el10.x86_64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-openssl-provider-latest.el10.x86_64.rpm
   ```

   Installez le fournisseur OpenSSL pour RHEL 10 sur l'architecture : ARM64 

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-openssl-provider-latest.el10.aarch64.rpm
   ```

   ```
   $ sudo yum install ./cloudhsm-openssl-provider-latest.el10.aarch64.rpm
   ```

------
#### [ Ubuntu 24.04 ]

   Installez le fournisseur OpenSSL pour Ubuntu 24.04 sur une architecture x86\$164 :

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-openssl-provider_latest_u24.04_amd64.deb
   ```

   ```
   $ sudo dpkg -i ./cloudhsm-openssl-provider_latest_u24.04_amd64.deb
   ```

   Installez le fournisseur OpenSSL pour Ubuntu 24.04 sur l'architecture : ARM64 

   ```
   $ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-openssl-provider_latest_u24.04_arm64.deb
   ```

   ```
   $ sudo dpkg -i ./cloudhsm-openssl-provider_latest_u24.04_arm64.deb
   ```

------

   Vous avez installé la bibliothèque partagée pour le fournisseur OpenSSL à l'adresse. `/opt/cloudhsm/lib/licloudhsm_openssl_provider.so` 

1. Démarrez le SDK client 5. Pour plus d'informations sur le démarrage, consultez [Amorcez le SDK client](cluster-connect.md#connect-how-to).

1. Définissez la variable d'`CLOUDHSM_PIN`environnement avec vos informations d'identification d'utilisateur cryptographique (CU) :

   ```
   $ export CLOUDHSM_PIN=<username>:<password>
   ```

1. Connectez votre installation d'OpenSSL Provider au cluster. Pour plus d’informations, consultez [Connexion à un Cluster](cluster-connect.md).

## Vérifier l'installation
<a name="openssl-provider-verify-installation"></a>

Vérifiez que le fournisseur OpenSSL est correctement installé :

```
$ CLOUDHSM_PIN=<username>:<password> openssl list -providers -provider cloudhsm
```

Vous devriez voir une sortie similaire à :

```
Providers:
  cloudhsm
    name: AWS CloudHSM OpenSSL Provider
    version: 5.17.0
    status: active
  default
    name: OpenSSL Default Provider
    version: 3.2.2
    status: active
```

# Types de clés pris en charge pour le fournisseur AWS CloudHSM OpenSSL pour le client SDK 5
<a name="openssl-provider-key-types"></a>

Le fournisseur AWS CloudHSM OpenSSL prend en charge les types de clés suivants avec le SDK client 5.


****  

| Type de clé | Description | 
| --- | --- | 
| RSA | RSA sign/verify et opérations de chiffrement asymétrique. La vérification est déchargée vers le logiciel OpenSSL. Pour générer des clés RSA interopérables avec le fournisseur OpenSSL, consultez. [Exporter une clé asymétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-file.md) | 
| EC | ECDSA sign/verify pour les courbes P-256, P-384 et P-521. La vérification est déchargée vers le logiciel OpenSSL. Pour générer des clés EC interopérables avec le fournisseur OpenSSL, consultez. [Exporter une clé asymétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-file.md) | 

# Mécanismes pris en charge par le fournisseur OpenSSL
<a name="openssl-provider-mechanisms"></a>

Le SDK AWS CloudHSM OpenSSL Provider prend en charge un ensemble complet de mécanismes cryptographiques pour diverses opérations, notamment les signatures numériques, le chiffrement asymétrique, le chiffrement symétrique, l'échange de clés, etc.

## Types de signature RSA
<a name="openssl-provider-rsa-signatures"></a>

Le fournisseur OpenSSL prend en charge les signatures numériques RSA avec plusieurs algorithmes de hachage et schémas de remplissage :

SHA1withRSA  
Signatures RSA avec algorithme de hachage SHA-1  
+ Rembourrage PKCS \$11 v1.5
+ Rembourrage PSS (Probabilistic Signature Scheme)

SHA224withRSA  
Signatures RSA avec algorithme de hachage SHA-224  
+ Rembourrage PKCS \$11 v1.5
+ Rembourrage en PSS

SHA256withRSA  
Signatures RSA avec algorithme de hachage SHA-256  
+ Rembourrage PKCS \$11 v1.5
+ Rembourrage en PSS

SHA384withRSA  
Signatures RSA avec algorithme de hachage SHA-384  
+ Rembourrage PKCS \$11 v1.5
+ Rembourrage en PSS

SHA512withRSA  
Signatures RSA avec algorithme de hachage SHA-512  
+ Rembourrage PKCS \$11 v1.5
+ Rembourrage en PSS

## Types de signature ECDSA
<a name="openssl-provider-ecdsa-signatures"></a>

Le fournisseur OpenSSL prend en charge les signatures numériques ECDSA avec plusieurs algorithmes de hachage :

SHA1withECDSA  
Signatures ECDSA avec algorithme de hachage SHA-1

SHA224withECDSA  
Signatures ECDSA avec algorithme de hachage SHA-224

SHA256withECDSA  
Signatures ECDSA avec algorithme de hachage SHA-256

SHA384withECDSA  
Signatures ECDSA avec algorithme de hachage SHA-384

SHA512withECDSA  
Signatures ECDSA avec algorithme de hachage SHA-512

# Configuration avancée du fournisseur OpenSSL
<a name="openssl-provider-advanced-config"></a>

Le SDK AWS CloudHSM OpenSSL Provider fournit des options de configuration avancées pour personnaliser son comportement en fonction de différents cas d'utilisation et environnements. Utilisez l'outil de configuration pour définir ces options.
+ [Réessayer la configuration pour le fournisseur OpenSSL](openssl-provider-configs-retry.md)

# Commandes de nouvelle tentative pour le fournisseur OpenSSL pour AWS CloudHSM
<a name="openssl-provider-configs-retry"></a>

AWS CloudHSM Le SDK client 5.8.0 et versions ultérieures disposent d'une stratégie de réessai automatique intégrée qui permet de réessayer les opérations limitées par HSM du côté client. Lorsqu'un HSM limite les opérations parce qu'il est trop occupé à effectuer les opérations précédentes et qu'il ne peut pas prendre plus de demandes, le client SDKs tente de réessayer les opérations limitées jusqu'à 3 fois tout en reculant de façon exponentielle. Cette stratégie de nouvelle tentative automatique peut être réglée sur l'un des deux modes suivants : **désactivé** et **standard**.
+ **désactivé** : le SDK client n'exécutera aucune stratégie de nouvelle tentative pour les opérations limitées effectuées par le HSM.
+ **standard** : il s'agit du mode par défaut pour le SDK client 5.8.0 et versions ultérieures. Dans ce mode, le client SDKs réessaiera automatiquement les opérations limitées en reculant de manière exponentielle.

Pour de plus amples informations, veuillez consulter [Limitation du HSM](troubleshoot-hsm-throttling.md).

## Définir des commandes de nouvelle tentative sur le mode désactivé
<a name="w2aac25c21c21c19b7b9"></a>

------
#### [ Linux ]

**Pour définir les commandes de nouvelle tentative sur **off** pour le SDK client 5 sous Linux**
+ Vous pouvez utiliser la commande suivante pour définir une nouvelle tentative de configuration sur le mode**off** :

  ```
  $ sudo /opt/cloudhsm/bin/configure-openssl-provider --default-retry-mode off
  ```

------