CloudHSM CLI でトラストアンカーを登録する
CloudHSM CLI の cluster mtls register-trust-anchor コマンドを使用して、クライアントと AWS CloudHSM の間の相互 TLS のトラストアンカーを登録します。
ユーザータイプ
このコマンドは、次のユーザーが実行できます。
-
管理者
要件
AWS CloudHSM は、次のキータイプを持つトラストアンカーを受け入れます。
| キータイプ | 説明 |
|---|---|
| EC | secp256r1 (P-256)、secp384r1 (P-384)、および secp521r1 (P-521) 曲線。 |
| RSA | 2048 ビット、3072 ビット、および 4096 ビットの RSA キー。 |
Syntax
aws-cloudhsm >help cluster mtls register-trust-anchorRegister a trust anchor for mtls Usage: cluster mtls register-trust-anchor [OPTIONS] --path [<PATH>...] Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --path<PATH>Filepath of the trust anchor to register --approval<APPROVAL>Filepath of signed quorum token file to approve operation -h, --help Print help
例
次の例では、このコマンドはトラストアンカーを HSM に登録します。登録できるトラストアンカーの最大数は 2 個です。
aws-cloudhsm >cluster mtls register-trust-anchor --path /home/rootCA{ "error_code": 0, "data": { "trust_anchor": { "certificate-reference": "0x01", "certificate": "<PEM Encoded Certificate>", "cluster-coverage": "full" } } }
その後、次のように list-trust-anchors コマンドを実行して、トラストアンカーが AWS CloudHSM に登録されたことを確認できます。
aws-cloudhsm >cluster mtls list-trust-anchors{ "error_code": 0, "data": { "trust_anchors": [ { "certificate-reference": "0x01", "certificate": "<PEM Encoded Certificate>", "cluster-coverage": "full" } ] } }
引数
<CLUSTER_ID>-
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが設定されている場合。
-
<PATH> -
登録するトラストアンカーのファイルパス。
必須: はい
注記
AWS CloudHSM では、中間証明書をトラストアンカーとして登録できます。このような場合は、PEM でエンコードされた証明書チェーンファイル全体を、証明書を階層順にして、HSM に登録する必要があります。
AWS CloudHSM は、6980 バイトの証明書チェーンをサポートします。
-
<APPROVAL> -
オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。クォーラムクラスターサービスのクォーラム値が 1 より大きい場合にのみ必要です。
関連トピック
