Inicializar o cluster no AWS CloudHSM - AWS CloudHSM
Etapa 1. Obter a Solicitação de assinatura de certificado (CSR) do clusterEtapa 2. Assinar a CSREtapa 3. Inicializar o cluster

Inicializar o cluster no AWS CloudHSM

Após criar o cluster e adicionar o módulo de segurança de hardware (HSM) no AWS CloudHSM, você pode inicializar o cluster. Conclua as etapas dos tópicos a seguir para inicializar o cluster do .

nota

Antes de inicializar o cluster, reveja o processo pelo qual você pode verificar a identidade e a autenticidade dos HSMs. Esse processo é opcional e funciona apenas até que um cluster seja inicializado. Depois que o cluster for inicializado, você não poderá usar esse processo para obter seus certificados ou verificar os HSMs.

Etapa 1. Obter a Solicitação de assinatura de certificado (CSR) do cluster

Antes de inicializar o cluster, é necessário baixar e assinar uma solicitação de assinatura de certificado (CSR) gerada pelo primeiro HSM do cluster. Se tiver seguido as etapas para verificar a identidade do HSM do cluster, você já deverá ter a CSR e poderá assiná-la. Caso contrário, obtenha a CSR agora usando o console do AWS CloudHSM, a AWS Command Line Interface (AWS CLI) ou a API do AWS CloudHSM.

Importante

Para inicializar seu cluster, sua âncora de confiança deve estar em conformidade com a RFC 5280 e atender aos seguintes requisitos:

  • Se estiver usando extensões X509v3, a extensão X509v3 Basic Constraints deve estar presente.

  • A âncora de confiança deve ser um certificado autoassinado.

  • Os valores de extensão não devem entrar em conflito uns com os outros.

Console
Para obter a CSR (console)

  1. Abra o console do AWS CloudHSM em https://console.aws.amazon.com/cloudhsm/home.

  2. Selecione o botão de seleção ao lado do ID do cluster com o HSM que deseja verificar.

  3. Selecione Ações. No menu suspenso, escolha Iniciar.

  4. Se você não concluiu a etapa anterior para criar um HSM, escolha uma Zona de Disponibilidade (AZ) para o HSM que você está criando. Em seguida, selecione Criar.

  5. Quando a CSR estiver pronta, você verá um link para fazer o download.

    Faça download do certificado assinando a página de solicitações no console de AWS CloudHSM.

  6. Selecione Cluster CSR para fazer o download e salvar a CSR.

AWS CLI
Para obter a CSR (AWS CLI)

  • No prompt de comando, execute o seguinte comando describe-clusters, que extrai a CSR e a salva em um arquivo. Substitua o <cluster ID> pelo ID do cluster que tinha sido criado anteriormente. 

    $ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr
AWS CloudHSM API
Para obter a CSR (API do AWS CloudHSM)

  1. Envie uma solicitação DescribeClusters.

  2. Extraia e salve a CSR da resposta.

Etapa 2. Assinar a CSR

Atualmente, você deve criar um certificado de assinatura autoassinado e usá-lo para assinar a CSR do seu cluster. Você não precisa da AWS CLI nesta etapa, e o shell não precisa estar associado à sua conta da AWS. Para assinar a CSR, você deve fazer o seguinte:

  1. Conclua a seção anterior (consulte Etapa 1. Obter a Solicitação de assinatura de certificado (CSR) do cluster).

  2. Crie uma chave privada.

  3. Use a chave privada para criar um certificado de assinatura.

  4. Assine a CSR do seu cluster.

Crie uma chave privada

nota

Para um cluster de produção, a chave deve ser criada com segurança usando uma fonte confiável de aleatoriedade. Recomendamos que você use um HSM fora do local e off-line ou o equivalente. Armazene a chave com segurança. A chave estabelece a identidade do cluster e seu controle exclusivo sobre os HSMs que ele contém.

Durante a fase de desenvolvimento e teste, você pode usar qualquer ferramenta conveniente (como o OpenSSL) para criar e assinar o certificado do cluster. O exemplo a seguir mostra como criar uma chave. Após usar a chave para criar um certificado autoassinado (veja abaixo), você deve armazená-la com segurança. Para fazer login na instância do AWS CloudHSM, o certificado deve estar presente, mas não a chave privada.

Use o comando a seguir para criar uma chave privada. Ao inicializar um cluster do AWS CloudHSM, você deve usar o certificado RSA 2048 ou o certificado RSA 4096.

$ openssl genrsa -aes256 -out customerCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerCA.key:
Verifying - Enter pass phrase for customerCA.key:

Usar a chave privada para criar um certificado autoassinado

O hardware confiável que você usa para criar a chave privada para seu cluster de produção também deve fornecer uma ferramenta de software para gerar um certificado autoassinado usando essa chave. O exemplo a seguir usa o OpenSSL e a chave privada criada na etapa anterior para criar um certificado de assinatura. O certificado é válido por 10 anos (3652 dias). Leia as instruções na tela e siga os avisos. 

$ openssl req -new -x509 -days 3652 -key customerCA.key -out customerCA.crt
Enter pass phrase for customerCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Este comando cria um arquivo de certificado nomeado customerCA.crt. Coloque esse certificado em cada host do qual você se conectará ao cluster do AWS CloudHSM. Se você der um nome diferente ao arquivo ou armazená-lo em um caminho diferente da raiz do host, edite o arquivo de configuração do cliente adequadamente. Use o certificado e a chave privada que você acabou de criar para assinar a solicitação de assinatura de certificado (CSR) do cluster na próxima etapa.

Assinar a CSR do cluster

O hardware confiável que você usa para criar a chave privada do cluster de produção também deve fornecer uma ferramenta para assinar a CSR por meio dessa chave. O exemplo a seguir usa o OpenSSL para assinar a CSR do cluster. O exemplo usa a chave privada e o certificado autoassinado criado na etapa anterior. 

$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
                              -CA customerCA.crt \
                              -CAkey customerCA.key \
                              -CAcreateserial \
                              -out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for customerCA.key:

Este comando cria um arquivo chamado <cluster ID>_CustomerHsmCertificate.crt. Use este arquivo como o certificado assinado ao inicializar o cluster.

Etapa 3. Inicializar o cluster

Use o certificado assinado do HSM e o certificado de assinatura para inicializar o cluster. Use o console do AWS CloudHSM, a AWS CLI ou a API do AWS CloudHSM.

Console
Para inicializar um cluster (console)

  1. Abra o console do AWS CloudHSM em https://console.aws.amazon.com/cloudhsm/home.

  2. Selecione o botão de seleção ao lado do ID do cluster com o HSM que deseja verificar.

  3. Selecione Ações. No menu suspenso, escolha Iniciar.

  4. Se você não concluiu a etapa anterior para criar um HSM, escolha uma Zona de Disponibilidade (AZ) para o HSM que você está criando. Em seguida, selecione Criar.

  5. Na página Download certificate signing request (Solicitação de assinatura de certificado de download), escolha Next (Próximo). Se a opção Next (Próximo) não estiver disponível, selecione primeiro um dos links de certificado ou de CSR. Em seguida, escolha Next (Próximo).

  6. Na página de Download certificate signing request [Solicitação assinatura de certificado (CSR)], selecione Next (Próximo).

  7. Na página Upload the certificates (Carregar os certificados), faça o seguinte:

    1. Ao lado de Cluster certificate (Certificado de cluster)selecione Upload file (Carregar arquivo). Em seguida, localize e selecione o certificado do HSM assinado anteriormente. Se tiver executado as etapas na seção anterior, selecione o arquivo denominado <cluster ID>_CustomerHsmCertificate.crt.

    2. Ao lado de Issuing certificate (Certificado de emissão)selecione Upload file (Carregar arquivo). Em seguida, selecione seu certificado de assinatura. Se tiver executado as etapas na seção anterior, selecione o arquivo denominado customerCA.crt.

    3. Selecione Upload and initialize (Carregar e inicializar).

AWS CLI
Para inicializar um cluster (AWS CLI)

  • Em um prompt de comando, execute o comando initialize-cluster. Forneça o seguinte:

    • O ID do cluster que foi criado anteriormente.

    • O certificado de HSM que foi assinado anteriormente. Se tiver executado as etapas na seção anterior, ele foi salvo em um arquivo denominado <cluster ID>_CustomerHsmCertificate.crt.

    • Seu certificado de assinatura. Se tiver executado as etapas na seção anterior, o certificado de assinatura foi salvo em um arquivo denominado customerCA.crt.

    $ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                    --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                    --trust-anchor file://customerCA.crt
{
    "State": "INITIALIZE_IN_PROGRESS",
    "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
}
AWS CloudHSM API
Para inicializar um cluster (API do AWS CloudHSM)

  • Envie uma solicitação InitializeCluster com o seguinte:

    • O ID do cluster que foi criado anteriormente.

    • O certificado de HSM que foi assinado anteriormente.

    • Seu certificado de assinatura.