Inisialisasi cluster di AWS CloudHSM - AWS CloudHSM
IkhtisarLangkah 1. Dapatkan CSR clusterLangkah 2. Buat kunci pribadi untuk Root CA AndaLangkah 3. Tanda tangani CSRLangkah 4. Inisialisasi cluster

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Inisialisasi cluster di AWS CloudHSM

Setelah Anda membuat cluster dan menambahkan modul keamanan perangkat keras (HSM) Anda AWS CloudHSM, Anda dapat menginisialisasi cluster. Selesaikan langkah-langkah dalam topik berikut untuk menginisialisasi klaster .

catatan

Sebelum Anda menginisialisasi cluster, tinjau proses di mana Anda dapat memverifikasi identitas dan keaslian klaster. HSMs Proses ini opsional dan bekerja hanya sampai klaster diinisialisasi. Setelah cluster diinisialisasi, Anda tidak dapat menggunakan proses ini untuk mendapatkan sertifikat atau memverifikasi. HSMs

Ikhtisar

Proses inisialisasi cluster menetapkan kepemilikan dan kontrol Anda atas cluster dan Anda HSMs melalui sistem otentikasi berbasis sertifikat. Proses ini secara kriptografis membuktikan bahwa Anda adalah pemilik tunggal HSMs di cluster Anda dan menciptakan fondasi kepercayaan yang akan diperlukan untuk semua koneksi masa depan ke Anda. HSMs

Halaman ini akan menunjukkan kepada Anda bagaimana melakukan hal berikut:

  • Ambil permintaan penandatanganan sertifikat (CSR) klaster Anda.

  • Buat dan gunakan kunci pribadi untuk membuat sertifikat root yang ditandatangani sendiri atau rantai sertifikat.

  • Tanda tangani CSR klaster Anda untuk menghasilkan sertifikat HSM yang ditandatangani.

  • Inisialisasi klaster Anda menggunakan sertifikat HSM yang ditandatangani dan sertifikat yang ditandatangani sendiri atau rantai sertifikat.

Saat Anda siap memulai, buka Langkah 1. Dapatkan CSR cluster.

Langkah 1. Dapatkan CSR cluster

Sebelum Anda dapat menginisialisasi klaster, Anda harus mengunduh dan menandatangani permintaan penandatanganan sertifikat (CSR) yang dihasilkan oleh klaster pertama HSM. Jika Anda mengikuti langkah-langkah untuk memverifikasi identitas klaster HSM Anda, Anda sudah memiliki CSR dan Anda dapat menandatanganinya. Jika tidak, dapatkan CSR sekarang dengan menggunakan AWS CloudHSM konsol, AWS Command Line Interface (AWS CLI), atau AWS CloudHSM API.

Console
Untuk mendapatkan CSR (konsol)

  1. Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/rumah.

  2. Pilih tombol radio di sebelah ID cluster dengan HSM yang ingin Anda verifikasi.

  3. Pilih Tindakan. Dari menu tarik-turun, pilih Inisialisasi.

  4. Jika Anda tidak menyelesaikan langkah sebelumnya untuk membuat HSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih Buat.

  5. Saat CSR sudah siap, Anda akan melihat tautan untuk mengunduhnya.

    Unduh halaman permintaan penandatanganan sertifikat di AWS CloudHSM konsol.

  6. Pilih CSR Klaster untuk mengunduh dan menyimpan CSR.

AWS CLI
Untuk mendapatkan CSR (AWS CLI)

  • Pada prompt perintah, jalankan perintah describe-clusters, yang mengekstraksi CSR dan menyimpannya ke file. Ganti <cluster ID> dengan ID cluster yang Anda buat sebelumnya. 

    $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr
AWS CloudHSM API
Untuk mendapatkan CSR (AWS CloudHSM API)

  1. Kirim permintaan DescribeClusters.

  2. Ekstrak dan simpan CSR dari respons.

Langkah 2. Buat kunci pribadi untuk Root CA Anda

catatan

Untuk kluster produksi, kunci yang akan Anda buat harus dibuat dengan cara yang aman menggunakan sumber keacakan tepercaya. Kami menyarankan Anda menggunakan HSM offsite dan offline yang aman atau setara. Simpan kunci dengan aman. Kunci menetapkan identitas cluster dan satu-satunya kendali Anda atas yang HSMs dikandungnya.

Untuk pengembangan dan pengujian, Anda dapat menggunakan alat apa pun yang nyaman (seperti OpenSSL) untuk membuat dan menandatangani sertifikat cluster. Contoh berikut menunjukkan kepada Anda cara membuat kunci. Setelah Anda menggunakan kunci untuk membuat sertifikat yang ditandatangani sendiri (lihat di bawah), Anda harus menyimpannya dengan cara yang aman. Untuk masuk ke AWS CloudHSM instans Anda, sertifikat harus ada, tetapi kunci pribadi tidak.

Tabel di bawah ini menguraikan algoritme, ukuran kunci, dan kurva yang didukung untuk pembuatan sertifikat.

Algoritma Ukuran/Kurva

RSA PKCSv1 .5

2048, 3072, 4096

RSA-PSS

2048, 3072, 4096

ECDSA

 prime256v1, secp384r1, secp521r1

Intisari

SHA-224, SHA-256, SHA-384, dan SHA-512

Gunakan perintah contoh berikut untuk membuat kunci pribadi untuk Root CA yang ditandatangani sendiri.

$ openssl genrsa -aes256 -out customerRootCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerRootCA.key:
Verifying - Enter pass phrase for customerRootCA.key:

Langkah 3. Tanda tangani CSR

Pada langkah sebelumnya, Anda mengambil CSR klaster Anda dan membuat kunci pribadi untuk CA root Anda. Pada langkah ini, Anda akan menggunakan kunci pribadi Anda untuk menghasilkan sertifikat penandatanganan untuk menandatangani CSR klaster Anda. Topik di bawah ini akan memandu Anda melalui proses pembuatan sertifikat tunggal yang ditandatangani sendiri, atau rantai sertifikat, menggunakan OpenSSL. Anda tidak perlu AWS CLI untuk langkah ini, dan shell tidak perlu dikaitkan dengan AWS akun Anda.

penting

Untuk menginisialisasi klaster Anda, jangkar kepercayaan Anda harus mematuhi RFC 5280 dan memenuhi persyaratan berikut:

  • Jika menggunakan ekstensi X509v3, ekstensi X509v3 Basic Constraints harus ada.

  • Jangkar kepercayaan harus berupa sertifikat yang ditandatangani sendiri.

  • Nilai ekstensi tidak boleh bertentangan satu sama lain.

Pilih salah satu pendekatan berikut untuk menandatangani CSR klaster Anda:

Pilih pendekatan sertifikat Anda

Anda harus memilih salah satu dari dua pendekatan berikut. Jangan menyelesaikan kedua pendekatan tersebut.

Opsi A: Sertifikat tunggal yang ditandatangani sendiri

Buat satu sertifikat root yang ditandatangani sendiri untuk menandatangani CSR klaster Anda. Ini adalah metode langsung yang paling sederhana untuk membangun kepercayaan.

Direkomendasikan untuk:

  • Lingkungan di mana PKI eksternal tidak diperlukan

  • Lingkungan pengujian dan pengembangan di mana kesederhanaan lebih disukai

Pergi ke: Buat satu sertifikat yang ditandatangani sendiri

Opsi B: Rantai sertifikat dengan CA menengah

Buat rantai sertifikat menggunakan otoritas sertifikat perantara. Rantai sertifikat perantara memberikan peningkatan keamanan, skalabilitas, dan fleksibilitas dengan memungkinkan root Certificate Authority (CAs) untuk tetap offline saat mendelegasikan penerbitan sertifikat ke perantara CAs, sehingga mengurangi risiko membahayakan root CA.

Direkomendasikan untuk:

  • Lingkungan di mana PKI eksternal diperlukan

  • Integrasi dengan AWS Private Certificate Authority (PCA)

Contoh Integrasi AWS PCA: Anda dapat menggunakan AWS Private Certificate Authority untuk membuat dan mengelola sertifikat CA perantara Anda. Ini menyediakan manajemen siklus hidup sertifikat otomatis, termasuk pembaruan dan pencabutan, sambil mempertahankan manfaat keamanan menjaga root CA Anda tetap offline. Untuk informasi selengkapnya tentang AWS PCA, lihat Panduan Pengguna AWS Private Certificate Authority.

Pergi ke: Buat rantai otoritas sertifikat menengah (ICA)

Buat satu sertifikat yang ditandatangani sendiri

Perangkat keras tepercaya yang Anda gunakan untuk membuat kunci privat untuk klaster produksi Anda juga harus menyediakan perangkat lunak untuk menghasilkan sertifikat yang ditandatangani sendiri menggunakan kunci tersebut. Contoh berikut menggunakan OpenSSL dan kunci pribadi yang Anda buat pada langkah sebelumnya untuk membuat sertifikat penandatanganan CA root yang ditandatangani sendiri. Sertifikat ini berlaku selama 10 tahun (3652 hari). Baca petunjuk di layar dan ikuti prompt-nya. 

$ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt
Enter pass phrase for customerRootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Perintah ini membuat file sertifikat bernama customerRootCA.crt. Letakkan sertifikat ini di setiap host tempat Anda akan terhubung ke AWS CloudHSM cluster Anda. Jika Anda memberikan file nama yang berbeda atau menyimpannya di jalan selain root host Anda, Anda harus mengedit file konfigurasi klien Anda agar sesuai. Gunakan sertifikat dan kunci privat yang baru saja Anda buat untuk menandatangani permintaan penandatanganan sertifikat klaster (CSR) di langkah berikutnya.

Tanda tangani CSR klaster dengan Root CA yang ditandatangani sendiri

Perangkat keras tepercaya yang Anda gunakan untuk membuat kunci privat Anda untuk klaster produksi Anda juga harus menyediakan alat untuk menandatangani CSR menggunakan kunci tersebut. Contoh berikut menggunakan OpenSSL untuk menandatangani CSR klaster. Contoh perintah di bawah ini menandatangani CSR dengan tanda tangan sendiri customerRootCA.crt

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
		-CA <customerRootCA>.crt \
		-CAkey <customerRootCA>.key \
		-CAcreateserial \
		-out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for <customerRootCA>.key:

Perintah ini membuat file sertifikat bernama <cluster ID>_CustomerHsmCertificate.crt. Gunakan file ini sebagai sertifikat yang ditandatangani ketika Anda menginisialisasi klaster.

Verifikasi sertifikat yang ditandatangani terhadap root CA (opsional):

$ openssl verify -purpose sslserver -CAfile customerRootCA.crt <cluster ID>_CustomerHsmCertificate.crt
<cluster ID>_CustomerHsmCertificate.crt: OK

Setelah memproduksi sertifikat HSM yang ditandatangani dengan Root CA yang ditandatangani sendiri, buka. Langkah 4. Inisialisasi cluster

Buat rantai otoritas sertifikat menengah (ICA)

Contoh berikut akan memandu Anda melalui pembuatan rantai sertifikat panjang 2, yang terdiri dari root Certificate Authority (CA) dan CA perantara. Pertama-tama Anda akan membuat sertifikat CA root yang ditandatangani sendiri, lalu menghasilkan CA perantara yang ditandatangani oleh root CA. Terakhir, Anda akan menggunakan CA perantara untuk menandatangani CSR klaster Anda, membuat rantai kepercayaan lengkap dari sertifikat HSM Anda kembali ke root CA. Pendekatan ini memberikan keamanan yang ditingkatkan dengan menjaga root CA tetap offline saat menggunakan CA perantara untuk operasi day-to-day sertifikat.

penting

Untuk menginisialisasi klaster Anda dengan rantai sertifikat, rantai Anda harus memenuhi persyaratan berikut:

  • Rantai harus diurutkan, dimulai dengan CA Menengah yang menandatangani CSR cluster. Dalam urutan ini, ICA pertama harus memiliki penerbit yang cocok dengan subjek ICA berikutnya dalam rantai, dan seterusnya.

  • Hanya Root CA yang harus ditandatangani sendiri, artinya penerbit dan subjeknya harus identik.

  • Rantai harus terdiri dari tidak lebih dari 4 sertifikat (termasuk Root CA di akhir), dan ukuran total rantai tidak boleh melebihi 16 kb (kilobyte).

  • Semua Otoritas Sertifikat (CAs) harus sesuai dengan pedoman RFC 5280.

Bagian ini memberikan contoh untuk membuat rantai otoritas sertifikat perantara menggunakan dua pendekatan berbeda: OpenSSL untuk pembuatan sertifikat lokal, dan AWS Private Certificate Authority (PCA) untuk layanan sertifikat terkelola. Pilih pendekatan yang paling sesuai dengan lingkungan dan persyaratan keamanan Anda.

catatan

Contoh berikut adalah kasus penggunaan umum dan keduanya disederhanakan, menggunakan konfigurasi paling dasar. Untuk lingkungan produksi, tinjau opsi konfigurasi tambahan dan persyaratan keamanan khusus untuk kasus penggunaan Anda.

OpenSSL

Buat file konfigurasi OpenSSL dengan ekstensi v3 umum untuk CA:

$ cat > ca-extensions.conf <<EOF
[req]
distinguished_name = req_distinguished_name
[req_distinguished_name]
C = Country Name (2 letter code)
ST = State or Province Name (full name)
L = Locality Name (eg, city)
O = Organization Name (eg, company)
OU = Organizational Unit Name (eg, section)
CN = Common Name (e.g. server FQDN or YOUR name)
[v3_ca]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical,CA:true
keyUsage = critical, keyCertSign, cRLSign, digitalSignature
EOF

Hasilkan Root CA yang ditandatangani sendiri menggunakan OpenSSL:

$ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt -extensions v3_ca -config ca-extensions.conf
Enter pass phrase for customerRootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Hasilkan kunci CA Menengah:

$ openssl genrsa -aes256 -out intermediateCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for intermediateCA.key:
Verifying - Enter pass phrase for intermediateCA.key:

Buat permintaan penandatanganan sertifikat CA Menengah (CSR):

$ openssl req -new -key intermediateCA.key -out intermediateCA.csr
Enter pass phrase for intermediateCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Menggunakan Root CA yang ditandatangani sendiri, buat sertifikat CA Menengah:

$ openssl x509 -req -in intermediateCA.csr \
		-CA customerRootCA.crt \
		-CAkey customerRootCA.key \
		-CAcreateserial \
		-days 3652 \
		-extensions v3_ca \
		-extfile ca-extensions.conf \
		-out intermediateCA.crt

Certificate request self-signature ok
subject=C= , ST= , L= , O= , OU=

Gabungkan sertifikat ke dalam file rantai:

$ cat intermediateCA.crt customerRootCA.crt > chainCA.crt

-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----

Tanda tangani CSR klaster dengan CA perantara Anda:

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
			-CA intermediateCA.crt \
			-CAkey intermediateCA.key \
			-CAcreateserial \
			-out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for intermediateCA.key:
AWS PCA

Membuat dan mengaktifkan Root CA menggunakan AWS Private Certificate Authority:

$ # 1. Create Root CA
aws acm-pca create-certificate-authority \
    --certificate-authority-configuration \
        "KeyAlgorithm=RSA_4096,
        SigningAlgorithm=SHA256WITHRSA,
        Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=RootCA}" \
    --certificate-authority-type ROOT

# Store the Root CA Authority ARN from the previous output
ROOT_CA_AUTHORITY_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<ca-authority-id>"

# 2. Generate Root CA CSR
aws acm-pca get-certificate-authority-csr \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --output text > customerRootCA.csr

# 3. Self-sign Root CA Certificate
aws acm-pca issue-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --csr fileb://customerRootCA.csr \
    --signing-algorithm SHA256WITHRSA \
	--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
    --validity Value=3652,Type=DAYS

# Store the Root CA certificate ARN from the previous output
ROOT_CA_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<ca-authority-id>/certificate/<cert-id>"

# 4. Retrieve the Root CA certificate
aws acm-pca get-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --certificate-arn $ROOT_CA_ARN \
    --output text > customerRootCA.crt

# 5. Import the Root CA Certificate
aws acm-pca import-certificate-authority-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --certificate fileb://customerRootCA.crt

Buat dan aktifkan CA bawahan (juga dikenal sebagai CA perantara):

$ # 6. Create Subordinate CA
aws acm-pca create-certificate-authority \
    --certificate-authority-configuration \
        "KeyAlgorithm=RSA_4096,
        SigningAlgorithm=SHA256WITHRSA,
        Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=SubordinateCA}" \
    --certificate-authority-type SUBORDINATE

# Store the Subordinate CA Authority ARN from the previous output
SUB_CA_AUTHORITY_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<sub-ca-authority-id>"

# 7. Generate Subordinate CA CSR
aws acm-pca get-certificate-authority-csr \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --output text > intermediateCA.csr

# 8. Issue Subordinate CA Certificate using Root CA
aws acm-pca issue-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --csr fileb://intermediateCA.csr \
    --signing-algorithm SHA256WITHRSA \
    --template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 \
    --validity Value=3651,Type=DAYS

# Store the Subordinate CA certificate ARN from the previous output
SUB_CA_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<sub-ca-authority-id>"

# 9. Retrieve Subordinate CA Certificate
aws acm-pca get-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --certificate-arn $SUB_CA_ARN \
    --query 'Certificate' \
    --output text > intermediateCA.crt

# 10. Import the Subordinate CA Certificate
aws acm-pca import-certificate-authority-certificate \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --certificate fileb://intermediateCA.crt \
    --certificate-chain fileb://customerRootCA.crt

Gabungkan sertifikat ke dalam file rantai:

$ cat intermediateCA.crt customerRootCA.crt > chainCA.crt

-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----

Tanda tangani CSR cluster menggunakan AWS PCA:

$ aws acm-pca issue-certificate \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --csr fileb://<cluster ID>_ClusterCsr.csr \
    --signing-algorithm SHA256WITHRSA \
    --template-arn arn:aws:acm-pca:::template/EndEntityCertificate/V1 \
    --validity Value=3650,Type=DAYS

# Store your cluster's cert ARN from the previous output
CLUSTER_CERT_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<cluster-cert-arn>"

Unduh sertifikat cluster yang ditandatangani:

$ aws acm-pca get-certificate \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --certificate-arn $CLUSTER_CERT_ARN \
    --output text --query Certificate > <cluster ID>_CustomerHsmCertificate.crt

Perintah ini membuat file sertifikat bernama <cluster ID>_CustomerHsmCertificate.crt. Gunakan file ini sebagai sertifikat yang ditandatangani ketika Anda menginisialisasi klaster.

Verifikasi sertifikat yang ditandatangani terhadap rantai sertifikat (opsional):

$ openssl verify -purpose sslserver -CAfile chainCA.crt <cluster ID>_CustomerHsmCertificate.crt
<cluster ID>_CustomerHsmCertificate.crt: OK

Setelah memproduksi sertifikat HSM yang ditandatangani dengan CA perantara Anda, buka. Langkah 4. Inisialisasi cluster

Langkah 4. Inisialisasi cluster

Gunakan sertifikat HSM yang ditandatangani dan sertifikat penandatanganan Anda untuk menginisialisasi klaster Anda. Anda dapat menggunakan AWS CloudHSM konsol, the AWS CLI, atau AWS CloudHSM API.

Console
Untuk menginisialisasi klaster (konsol)

  1. Buka AWS CloudHSM konsol di https://console.aws.amazon.com/cloudhsm/rumah.

  2. Pilih tombol radio di sebelah ID cluster dengan HSM yang ingin Anda verifikasi.

  3. Pilih Tindakan. Dari menu tarik-turun, pilih Inisialisasi.

  4. Jika Anda tidak menyelesaikan langkah sebelumnya untuk membuat HSM, pilih Availability Zone (AZ) untuk HSM yang Anda buat. Kemudian pilih Buat.

  5. Pada Unduh permintaan penandatanganan sertifikat, pilih Selanjutnya. Jika Selanjutnya tidak tersedia, pertama-tama pilih salah satu tautan CSR atau sertifikat. Lalu, pilih Selanjutnya.

  6. Pada halaman Tanda tangani permintaan penandatanganan sertifikat (CSR), pilih Berikutnya.

  7. Pada halaman Unggah sertifikat, lakukan hal berikut:

    1. Di samping Sertifikat klaster, pilih Unggah file. Kemudia, cari dan pilih sertifikat HSM yang Anda tanda tangani sebelumnya. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, pilih file bernama <cluster ID>_CustomerHsmCertificate.crt.

    2. Di samping Menerbitkan sertifikat, pilih Unggah file. Kemudian pilih sertifikat penandatanganan Anda berdasarkan pendekatan yang Anda pilih:

      • Jika Anda memilih Opsi A (sertifikat tunggal yang ditandatangani sendiri): Pilih file bernama <customerRootCA>.crt

      • Jika Anda memilih Opsi B (rantai sertifikat): Pilih file bernama <chainCA>.crt

    3. Pilih Unggah dan inisialisasi.

AWS CLI
Untuk menginisialisasi sebuah klaster (AWS CLI)

  • Pada prompt perintah, jalankan perintah initialize-cluster. Berikan yang berikut ini:

    • ID klaster yang Anda buat sebelumnya.

    • Sertifikat HSM yang Anda tandatangani sebelumnya. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, file tersimpan dengan nama <cluster ID>_CustomerHsmCertificate.crt.

    • Sertifikat penandatanganan Anda berdasarkan pendekatan yang Anda pilih:

      • Jika Anda memilih Opsi A (sertifikat tunggal yang ditandatangani sendiri): Gunakan file bernama <customerRootCA>.crt

      • Jika Anda memilih Opsi B (rantai sertifikat): Gunakan file bernama <chainCA>.crt

    $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                    --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                    --trust-anchor file://<customerRootCA.crt OR chainCA.crt>
{
    "State": "INITIALIZE_IN_PROGRESS",
    "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
}
AWS CloudHSM API
Untuk menginisialisasi cluster (AWS CloudHSM API)

  • Kirim permintaan InitializeCluster dengan yang berikut ini:

    • ID klaster yang Anda buat sebelumnya.

    • Sertifikat HSM yang Anda tandatangani sebelumnya. Jika Anda menyelesaikan langkah-langkah di bagian sebelumnya, file tersimpan dengan nama <cluster ID>_CustomerHsmCertificate.crt.

    • Sertifikat penandatanganan Anda berdasarkan pendekatan yang Anda pilih:

      • Jika Anda memilih Opsi A (sertifikat tunggal yang ditandatangani sendiri): Gunakan file bernama <customerRootCA>.crt

      • Jika Anda memilih Opsi B (rantai sertifikat): Gunakan file bernama <chainCA>.crt