AWS CloudHSM NGINX または Apache with OpenSSL を使用した Linux での SSL/TLS オフロード

このトピックでは、Linux ウェブサーバー上の AWS CloudHSM を使用して SSL/TLS オフロードを設定する手順を説明します。

トピック

概要:
ステップ 1: 前提条件の設定
ステップ 2: プライベートキーと SSL/TLS 証明書を生成する
ステップ 3: ウェブサーバーを設定する
ステップ 4: HTTPS トラフィックを有効にして証明書を検証する

概要:

Linux では、NGINX と Apache HTTP サーバーのウェブサーバーソフトウェアは OpenSSL とネイティブに統合して HTTPS をサポートします。OpenSSL 用AWS CloudHSM 動的エンジンには、暗号化オフロードとキーストレージ用に、ウェブサーバーソフトウェアがクラスターの HSM を使用することを許可するインターフェイスが用意されています。OpenSSL エンジンは、ウェブサーバーと AWS CloudHSM クラスターの橋渡しをします。

このチュートリアルを完了するには、まず、Linux 上で NGINX と Apache のどちらのウェブサーバーを使用するかを選択する必要があります。選択したら、チュートリアルに以下の方法が表示されます。

Amazon EC2 インスタンスに、ウェブサーバーソフトウェアをインストールします。
AWS CloudHSM クラスターに保存されている秘密キーで、HTTPS をサポートするようにウェブサーバソフトウェアを設定します。
(オプション）Amazon EC2 を使用して 2 台目のウェブサーバーインスタンスを作成し、Elastic Load Balancing を使用してロードバランサーを作成します。ロードバランサーを使用すると、複数のサーバーに負荷を分散することでパフォーマンスを向上させることができます。また、1 つ以上のサーバーに障害が発生した場合、冗長性と高可用性を提供します。

始める準備ができたら、「ステップ 1: 前提条件の設定」を参照してください。

ステップ 1: 前提条件の設定

プラットフォームごとに、異なる前提条件が必要です。以下の前提条件セクションのうち、お使いのプラットフォームに合ったものをご利用ください。

クライアント SDK 5 の前提条件

クライアント SDK 5でウェブサーバー SSL/TLS オフロードを設定するには、以下が必要です。

少なくとも 2 つのハードウェアセキュリティモジュール (HSM) を持つアクティブな AWS CloudHSM クラスター

注記
HSM クラスターは1つでも使用できますが、まずクライアントキーの耐久性を無効にする必要があります。詳細については、クライアントキーの耐久性設定の管理そしてクライアント SDK 5 設定ツールを参照してください。
Amazon EC2 インスタンスが Linux オペレーティングシステムを実行します。インスタンスに次のソフトウェアがインストールされていることを確認します。
- ウェブサーバー (NGINX または Apache)
- クライアント SDK 5 の OpenSSL 動的エンジン
HSM でこのウェブサーバーのプライベートキーを所有および管理する Crypto User (CU)。

Linux ウェブサーバーインスタンスをセットアップし、HSM で CU を作成するには

OpenSSL Dynamic Engine をインストールして設定します AWS CloudHSM。OpenSSL ダイナミックエンジンのインストールの詳細については、クライアント SDK 5 の OpenSSL 動的エンジンを参照してください。
クラスターにアクセスできる EC2 Linux インスタンスで、NGINX または Apache ウェブサーバーをインストールします。
Amazon Linux 2
Amazon Linux 2 で最新バージョンの NGINX をダウンロードする方法については、NGINX のウェブサイトを参照してください。

Amazon Linux 2 で入手可能な NGINX の最新バージョンは、システムバージョンの OpenSSL よりも新しいバージョンの OpenSSL を使用しています。NGINX をインストールしたら、 AWS CloudHSM OpenSSL Dynamic Engine ライブラリから、このバージョンの OpenSSL が想定する場所へのシンボリックリンクを作成する必要があります。

$ sudo ln -sf /opt/cloudhsm/lib/libcloudhsm_openssl_engine.so /usr/lib64/engines-1.1/cloudhsm.so

Apache

$ sudo yum install httpd mod_ssl
Amazon Linux 2023
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
Red Hat 8
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
Red Hat 9
NGINX

$ sudo yum install nginx

Apache

$ sudo yum install httpd mod_ssl
Ubuntu 22.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
Ubuntu 24.04
NGINX

$ sudo apt install nginx

Apache

$ sudo apt install apache2
CloudHSM CLI を使用して Crypto User を作成します。HSM ユーザーの管理の詳細については、CloudHSM CLI を使用した HSM ユーザー管理についてを参照してください。

ヒント
CU のユーザー名とパスワードを書き留めます。後に、ウェブサーバーの HTTPS プライベートキーや証明書を生成またはインポートするときに必要になります。

以上のステップが完了したら、「ステップ 2: プライベートキーと SSL/TLS 証明書を生成する」に進みます。

注意事項

セキュリティ強化 Linux (SELinux) および Web サーバーを使用するには、クライアント SDK 5 が HSM と通信するために使用するポート 2223 でアウトバウンド TCP 接続を許可する必要があります。
クラスターを作成してアクティブ化し、EC2 インスタンスにクラスターへのアクセス権を付与するには、AWS CloudHSMの使用開始の手順を実行します。「はじめに」では、1 つの HSM と Amazon EC2 クライアントインスタンスを含むアクティブなクラスターを作成するための段階的な手順が説明されています。このクライアントインスタンスをウェブサーバーとして使用することができます。
クライアントキーの耐久性を無効化しないようにするには、クラスターに複数の HSM を追加します。詳細については、「AWS CloudHSM クラスターへの HSM の追加」を参照してください。
クライアントインスタンスに接続するには、SSH または PuTTY を使用することができます。詳細については、「Amazon EC2 ドキュメント」の「SSH を使用した Linux インスタンスへの接続」または「PuTTY を使用した Windows から Linux インスタンスへの接続」を参照してください。

ステップ 2: プライベートキーと SSL/TLS 証明書を生成する

HTTPS を有効にするには、ウェブサーバーアプリケーション (NGINX または Apache) にプライベートキーおよび対応する SSL/TLS 証明書が必要です。でウェブサーバーの SSL/TLS オフロードを使用するには AWS CloudHSM、プライベートキーを AWS CloudHSM クラスターの HSM に保存する必要があります。最初にプライベートキーを使用し、そのキーを使って証明書署名リクエスト (CSR) を作成します。次に HSM からフェイク PEM プライベートキーをエクスポートします。これは、HSM に保存されているプライベートキーへの参照を含む PEM 形式のプライベートキーファイルで、実際のプライベートキーではありません。ウェブサーバーは、SSL/TLS オフロード中にフェイク PEM プライベートキーファイルを使用して HSM のプライベートキーを識別します。

プライベートキーと証明書の生成

プライベートキーの生成

このセクションでは、CloudHSM CLI を使用してキーペアを生成する方法について説明します。HSM 内でキーペアを生成したら、それをフェイク PEM ファイルとしてエクスポートし、対応する証明書を生成できます。

CloudHSM CLI をインストールして設定する

CloudHSM CLI をインストールして設定します。
CloudHSM CLI を起動するには、次のコマンドを使用します。
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
次のコマンドを実行して HSM にログインします。<user name> を Crypto User のユーザー名に置き換えます。
```
Command: login --username <user name> --role crypto-user
```

プライベートキーの生成

ユースケースに応じて、RSA または EC キーペアを生成できます。次のいずれかを行います。

HSM で RSA プライベートキーを生成するには

key generate-asymmetric-pair rsa コマンドを使用して RSA キーペアを生成します。この例では、modulus が 2,048、公開指数が 65,537、パブリックキーラベルが tls_rsa_pub、プライベートキーラベルが tls_rsa_private の RSA キーペアを生成します。


aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label tls_rsa_pub \
--private-label tls_rsa_private \
--private-attributes sign=true
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x0000000000280cc8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "tls_rsa_pub",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "public-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
        "modulus-size-bits": 2048
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280cc7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "tls_rsa_private",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "private-key",
        "encrypt": false,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 1217,
        "public-exponent": "0x010001",
        "modulus": "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",
        "modulus-size-bits": 2048
      }
    }
  }
}

HSM で EC プライベートキーを生成するには

key generate-asymmetric-pair ec コマンドを使用して EC キーペアを生成します。この例では、prime256v1 曲線 (NID_X9_62_prime256v1 曲線に対応) を使用して EC キーペアを生成します。パブリックキーラベルは tls_ec_pub、プライベートキーラベルは tls_ec_private です。


aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve prime256v1 \
    --public-label tls_ec_pub \
    --private-label tls_ec_private \
    --private-attributes sign=true
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x000000000012000b",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "session"
      },
      "attributes": {
        "key-type": "ec",
        "label": "tls_ec_pub",
        "id": "",
        "check-value": "0xd7c1a7",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": false,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 57,
        "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
        "curve": "secp224r1"
      }
    },
"private_key": {
      "key-reference": "0x000000000012000c",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "session"
      },
      "attributes": {
        "key-type": "ec",
        "label": "tls_ec_private",
        "id": "",
        "check-value": "0xd7c1a7",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": false,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 122,
        "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
        "curve": "secp224r1"
      }
    }
  }
}

フェイク PEM プライベートキーファイルをエクスポート

HSM にプライベートキーを作成したら、フェイク PEM プライベートキーファイルをエクスポートする必要があります。このファイルには実際のキーデータは含まれていませんが、OpenSSL Dynamic Engine が HSM 上のプライベートキーを識別できるようにします。その後、プライベートキーを使用して証明書署名リクエスト (CSR) を作成し、CSR に署名して証明書を作成できます。

key generate-file コマンドを使用して、プライベートキーをフェイク PEM 形式でエクスポートしてファイルに保存します。以下の値は独自の値に置き換えてください。

<private_key_label> – 前のステップで生成したプライベートキーのラベル。
<web_server_fake_pem.key> – フェイク PEM キーが書き込まれるファイルの名前。


aws-cloudhsm > key generate-file --encoding reference-pem --path <web_server_fake_pem.key> --filter attr.label=<private_key_label>
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}

CloudHSM CLI を終了する

CloudHSM CLI を停止するには、次のコマンドを実行します。


aws-cloudhsm > quit

これで、前のコマンドで <web_server_fake_pem.key> が指定したパスに新しいファイルがシステム上に作成されることになります。このファイルはフェイク PEM プライベートキーファイルです。

自己署名証明書を生成します

フェイク PEM プライベートキーを生成したら、このファイルを使用して証明書署名リクエスト (CSR) と証明書を生成できます。

本稼働環境では、通常、認証局 (CA) を使用して CSR から証明書を作成します。CA は、テスト環境では必要ありません。CA を使用する場合は、CA に CSR ファイルを送信し、HTTPS 用のウェブサーバーで提供される署名付き SSL/TLS 証明書を使用してください。

CA を使用する代わりに、 AWS CloudHSM OpenSSL Dynamic Engine を使用して自己署名証明書を作成できます。自己署名証明書はブラウザによって信頼されないため、本稼働環境では使用しないでください。これらは、テスト環境で使用することができます。

警告

自己署名証明書はテスト環境でのみ使用する必要があります。本稼働環境では、証明機関を使用して証明書を作成するなど、より安全な方法を使用してください。

OpenSSL Dynamic Engine をインストールして設定する

クライアントインスタンスに接続します。
AWS CloudHSM クライアント SDK 5 用の OpenSSL Dynamic Engine をインストールする

証明書を生成する

以前のステップで生成したフェイク PEM ファイルのコピーを入手します。
CSR を作成する

次のコマンドを実行して、 AWS CloudHSM OpenSSL Dynamic Engine を使用して証明書署名リクエスト (CSR) を作成します。<web_server_fake_pem.key> をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。<web_server.csr> を CSR が含まれるファイルの名前に置き換えます。

req コマンドは対話的です。各フィールドに対応します。このフィールド情報は、SSL/TLS 証明書にコピーされます。
```
$ openssl req -engine cloudhsm -new -key <web_server_fake_pem.key> -out <web_server.csr>
```
自己署名証明書を作成する

次のコマンドを実行して、 AWS CloudHSM OpenSSL Dynamic Engine を使用して HSM のプライベートキーで CSR に署名します。これにより、自己署名証明書が作成されます。コマンドの以下の値を独自の値に置き換えます。
- <web_server.csr> - CSR を含むファイルの名前です。
- <web_server_fake_pem.key> - フェイク PEM プライベートキーが含まれるファイルの名前です。
- <web_server.crt> - ウェブサーバー証明書が含まれるファイルの名前です。
```
$ openssl x509 -engine cloudhsm -req -days 365 -in <web_server.csr> -signkey <web_server_fake_pem.key> -out <web_server.crt>
```

以上のステップが完了したら、「ステップ 3: ウェブサーバーを設定する」に進みます。

ステップ 3: ウェブサーバーを設定する

前のステップで作成した HTTPS 証明書とフェイク PEM プライベートキーを使用するようにウェブサーバーソフトウェアの設定を更新します。開始する前に、既存の証明書とキーを必ずバックアップしてください。これで、 AWS CloudHSMを使用して、Linux ウェブサーバーソフトウェアに SSL/TLS オフロードを設定できます。

次のいずれかのセクションの手順を完了します。

NGINX ウェブサーバーを設定する

このセクションは、サポートされているプラットフォームで NGINX を設定するために使用します。

NGINX のウェブサーバー設定を更新するには

クライアントインスタンスに接続します。
次のコマンドを実行して、ウェブサーバー証明書とフェイク PEM プライベートキーに必要なディレクトリを作成します。
```
$ sudo mkdir -p /etc/pki/nginx/private
```
次のコマンドを実行して、ウェブサーバーの証明書を所定場所にコピーします。<web_server.crt> を、ウェブサーバー証明書の名前に置き換えます。
```
$ sudo cp <web_server.crt> /etc/pki/nginx/server.crt
```
次のコマンドを実行して、フェイク PEM プライベートキーを所定場所にコピーします。<web_server_fake_pem.key> をフェイク PEM プライベートキーが含まれるファイルの名前に置き換えます。
```
$ sudo cp <web_server_fake_pem.key> /etc/pki/nginx/private/server.key
```
次のコマンドを実行してファイルの所有権を変更し、nginx という名前のユーザーがそれらのファイルを読み取れるようにします。
```
$ sudo chown nginx /etc/pki/nginx/server.crt /etc/pki/nginx/private/server.key
```
次のコマンドを実行して、/etc/nginx/nginx.conf ファイルをバックアップします。
```
$ sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.backup
```

NGINX の設定を更新します。

注記

各クラスターは、すべての NGINX ウェブサーバーで最大 1,000 の NGINX ワーカープロセスをサポートできます。

Amazon Linux 2

テキストエディタを使用して、/etc/nginx/nginx.conf ファイルを編集します。これには Linux の root 権限が必要です。ファイルの先頭に、次の行を追加します。


ssl_engine cloudhsm;
env CLOUDHSM_PIN;