Visão geral do Etapa 1. Obter a Solicitação de assinatura de certificado (CSR) do cluster Etapa 2. Crie uma chave privada para sua CA raiz Etapa 3. Assinar a CSR Etapa 4: Inicializar o cluster

Inicialize o cluster em AWS CloudHSM

Depois de criar seu cluster e adicionar seu módulo de segurança de hardware (HSM) AWS CloudHSM, você pode inicializar o cluster. Conclua as etapas dos tópicos a seguir para inicializar o cluster do .

nota

Antes de inicializar o cluster, revise o processo pelo qual você pode verificar a identidade e a autenticidade do. HSMs Esse processo é opcional e funciona apenas até que um cluster seja inicializado. Depois que o cluster for inicializado, você não poderá usar esse processo para obter seus certificados ou verificar o. HSMs

Tópicos

Visão geral do
Etapa 1. Obter a Solicitação de assinatura de certificado (CSR) do cluster
Etapa 2. Crie uma chave privada para sua CA raiz
Etapa 3. Assinar a CSR
Etapa 4: Inicializar o cluster

Visão geral do

O processo de inicialização do cluster estabelece sua propriedade e controle sobre o cluster e sobre você HSMs por meio de um sistema de autenticação baseado em certificado. Esse processo prova criptograficamente que você é o único proprietário do HSMs em seu cluster e cria a base de confiança que será necessária para todas as conexões futuras com o seu. HSMs

Esta página mostrará como fazer o seguinte:

Recupere a solicitação de assinatura de certificado (CSR) do seu cluster.
Gere e use a (s) chave (s) privada (s) para criar um certificado raiz autoassinado ou uma cadeia de certificados.
Assine a CSR do seu cluster para produzir um certificado HSM assinado.
Inicialize seu cluster usando o certificado HSM assinado e o certificado autoassinado ou a cadeia de certificados.

Quando estiver pronto para começar, vá para Etapa 1. Obter a Solicitação de assinatura de certificado (CSR) do cluster.

Etapa 1. Obter a Solicitação de assinatura de certificado (CSR) do cluster

Antes de inicializar o cluster, é necessário baixar e assinar uma solicitação de assinatura de certificado (CSR) gerada pelo primeiro HSM do cluster. Se tiver seguido as etapas para verificar a identidade do HSM do cluster, você já deverá ter a CSR e poderá assiná-la. Caso contrário, obtenha a CSR agora usando o AWS CloudHSM console, o AWS Command Line Interface (AWS CLI) ou a AWS CloudHSM API.

Etapa 2. Crie uma chave privada para sua CA raiz

nota

Para um cluster de produção, a chave deve ser criada com segurança usando uma fonte confiável de aleatoriedade. Recomendamos que você use um HSM fora do local e off-line ou o equivalente. Armazene a chave com segurança. A chave estabelece a identidade do cluster e seu controle exclusivo sobre o HSMs que ele contém.

Durante a fase de desenvolvimento e teste, você pode usar qualquer ferramenta conveniente (como o OpenSSL) para criar e assinar o certificado do cluster. O exemplo a seguir mostra como criar uma chave. Após usar a chave para criar um certificado autoassinado (veja abaixo), você deve armazená-la com segurança. Para entrar na sua AWS CloudHSM instância, o certificado precisa estar presente, mas a chave privada não.

A tabela abaixo descreve os algoritmos, tamanhos de chave e curvas compatíveis para a geração de certificados.

Algoritmos	Tamanho/Curvas
RSA 5 PKCSv1.	2048, 3072, 4096
RSA-PSS	2048, 3072, 4096
ECDSA	prime256v1, secp384r1, secp521r1
Resumo	SHA-224, SHA-256, SHA-384 e SHA-512

Use o comando de exemplo a seguir para criar uma chave privada para sua CA raiz autoassinada.


$ openssl genrsa -aes256 -out customerRootCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for customerRootCA.key:
Verifying - Enter pass phrase for customerRootCA.key:

Etapa 3. Assinar a CSR

Nas etapas anteriores, você recuperou a CSR do seu cluster e criou uma chave privada para sua CA raiz. Nesta etapa, você usará sua chave privada para gerar um certificado de assinatura para assinar a CSR do seu cluster. Os tópicos abaixo guiarão você pelo processo de criação de um único certificado autoassinado, ou uma cadeia de certificados, usando o OpenSSL. Você não precisa do AWS CLI para esta etapa e o shell não precisa estar associado à sua AWS conta.

Importante

Para inicializar seu cluster, sua âncora de confiança deve estar em conformidade com a RFC 5280 e atender aos seguintes requisitos:

Se estiver usando extensões X509v3, a extensão X509v3 Basic Constraints deve estar presente.
A âncora de confiança deve ser um certificado autoassinado.
Os valores de extensão não devem entrar em conflito uns com os outros.

Escolha uma das seguintes abordagens para assinar a CSR do seu cluster:

Escolha sua abordagem de certificação

Você deve escolher uma das duas abordagens a seguir. Não conclua as duas abordagens.

Opção A: certificado autoassinado único

Crie um único certificado raiz autoassinado para assinar a CSR do seu cluster. Esse é o método mais simples e direto de estabelecer confiança.

Recomendado para:

Ambientes em que uma PKI externa não é necessária
Ambientes de teste e desenvolvimento em que a simplicidade é preferida

Vá para: Crie um único certificado autoassinado

Opção B: cadeia de certificados com CA intermediária

Crie uma cadeia de certificados usando uma autoridade de certificação intermediária. Uma cadeia de certificados intermediária fornece segurança, escalabilidade e flexibilidade aprimoradas, permitindo que as Autoridades de Certificação raiz (CAs) permaneçam off-line enquanto delegam a emissão do certificado ao intermediário CAs, reduzindo assim o risco de comprometer a CA raiz.

Recomendado para:

Ambientes em que uma PKI externa é necessária
Integração com a Autoridade de Certificação Privada (PCA) da AWS

Exemplo de integração com o AWS PCA: você pode usar a Autoridade de Certificação AWS Privada para criar e gerenciar seus certificados CA intermediários. Isso fornece gerenciamento automatizado do ciclo de vida do certificado, incluindo renovação e revogação, enquanto mantém os benefícios de segurança de manter sua CA raiz offline. Para obter mais informações sobre o AWS PCA, consulte o Guia do usuário da Autoridade de Certificação Privada da AWS.

Vá para: Crie uma cadeia de autoridade de certificação intermediária (ICA)

Crie um único certificado autoassinado

O hardware confiável que você usa para criar a chave privada para seu cluster de produção também deve fornecer uma ferramenta de software para gerar um certificado autoassinado usando essa chave. O exemplo a seguir usa o OpenSSL e a chave privada que você criou na etapa anterior para criar um certificado de assinatura de CA raiz autoassinado. O certificado é válido por 10 anos (3652 dias). Leia as instruções na tela e siga os avisos.


$ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt
Enter pass phrase for customerRootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Este comando cria um arquivo de certificado nomeado customerRootCA.crt. Coloque esse certificado em cada host a partir do qual você se conectará ao seu AWS CloudHSM cluster. Se você der um nome diferente ao arquivo ou armazená-lo em um caminho diferente da raiz do host, edite o arquivo de configuração do cliente adequadamente. Use o certificado e a chave privada que você acabou de criar para assinar a solicitação de assinatura de certificado (CSR) do cluster na próxima etapa.

Assine o CSR do cluster com sua CA raiz autoassinada

O hardware confiável que você usa para criar a chave privada do cluster de produção também deve fornecer uma ferramenta para assinar a CSR por meio dessa chave. O exemplo a seguir usa o OpenSSL para assinar a CSR do cluster. O comando de exemplo abaixo assina o CSR com o autoassinado customerRootCA.crt


$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
		-CA <customerRootCA>.crt \
		-CAkey <customerRootCA>.key \
		-CAcreateserial \
		-out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for <customerRootCA>.key:

Este comando cria um arquivo chamado <cluster ID>_CustomerHsmCertificate.crt. Use este arquivo como o certificado assinado ao inicializar o cluster.

Verifique o certificado assinado em relação à CA raiz (opcional):


$ openssl verify -purpose sslserver -CAfile customerRootCA.crt <cluster ID>_CustomerHsmCertificate.crt
<cluster ID>_CustomerHsmCertificate.crt: OK

Depois de produzir o certificado HSM assinado com sua CA raiz autoassinada, acesse. Etapa 4: Inicializar o cluster

Crie uma cadeia de autoridade de certificação intermediária (ICA)

Os exemplos a seguir ajudarão você a criar uma cadeia de certificados de comprimento 2, consistindo em uma Autoridade Certificadora (CA) raiz e uma CA intermediária. Primeiro, você criará um certificado de CA raiz autoassinado e, em seguida, gerará uma CA intermediária assinada pela CA raiz. Por fim, você usará a CA intermediária para assinar a CSR do seu cluster, criando uma cadeia de confiança completa do seu certificado HSM até a CA raiz. Essa abordagem fornece segurança aprimorada ao manter a CA raiz off-line enquanto usa a CA intermediária para operações de day-to-day certificado.

Importante

Para inicializar seu cluster com uma cadeia de certificados, sua cadeia deve atender aos seguintes requisitos:

A cadeia deve ser solicitada, começando com a CA intermediária que assina a CSR do cluster. Nessa ordem, o primeiro ICA deve ter um emissor que corresponda ao assunto do próximo ICA na cadeia, e assim por diante.
Somente a CA raiz deve ser autoassinada, o que significa que o emissor e o assunto devem ser idênticos.
A cadeia deve consistir em no máximo 4 certificados (incluindo a CA raiz no final) e o tamanho total da cadeia não deve exceder 16 kb (kilobytes).
Todas as autoridades de certificação (CAs) devem estar em conformidade com as diretrizes da RFC 5280.

Esta seção fornece exemplos para criar uma cadeia de autoridade de certificação intermediária usando duas abordagens diferentes: OpenSSL para geração de certificados locais e AWS Private Certificate Authority (PCA) para serviços gerenciados de certificados. Escolha a abordagem que melhor se adequa ao seu ambiente e aos requisitos de segurança.

nota

Os exemplos a seguir são casos de uso gerais e ambos são simplificados, usando a configuração mais básica. Para ambientes de produção, revise as opções adicionais de configuração e os requisitos de segurança específicos para seu caso de uso.

OpenSSL

Crie um arquivo de configuração do OpenSSL com extensões v3 comuns para CA:


$ cat > ca-extensions.conf <<EOF
[req]
distinguished_name = req_distinguished_name
[req_distinguished_name]
C = Country Name (2 letter code)
ST = State or Province Name (full name)
L = Locality Name (eg, city)
O = Organization Name (eg, company)
OU = Organizational Unit Name (eg, section)
CN = Common Name (e.g. server FQDN or YOUR name)
[v3_ca]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical,CA:true
keyUsage = critical, keyCertSign, cRLSign, digitalSignature
EOF

Gere uma CA raiz autoassinada usando o OpenSSL:


$ openssl req -new -x509 -days 3652 -key customerRootCA.key -out customerRootCA.crt -extensions v3_ca -config ca-extensions.conf
Enter pass phrase for customerRootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Gere uma chave CA intermediária:


$ openssl genrsa -aes256 -out intermediateCA.key 2048
Generating RSA private key, 2048 bit long modulus
........+++
............+++
e is 65537 (0x10001)
Enter pass phrase for intermediateCA.key:
Verifying - Enter pass phrase for intermediateCA.key:

Crie a solicitação intermediária de assinatura de certificado CA (CSR):


$ openssl req -new -key intermediateCA.key -out intermediateCA.csr
Enter pass phrase for intermediateCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Usando a CA raiz autoassinada, crie o certificado CA intermediário:


$ openssl x509 -req -in intermediateCA.csr \
		-CA customerRootCA.crt \
		-CAkey customerRootCA.key \
		-CAcreateserial \
		-days 3652 \
		-extensions v3_ca \
		-extfile ca-extensions.conf \
		-out intermediateCA.crt

Certificate request self-signature ok
subject=C= , ST= , L= , O= , OU=

Combine os certificados em um arquivo em cadeia:


$ cat intermediateCA.crt customerRootCA.crt > chainCA.crt

-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----

Assine o CSR do cluster com sua CA intermediária:


$ openssl x509 -req -days 3652 -in <cluster ID>_ClusterCsr.csr \
			-CA intermediateCA.crt \
			-CAkey intermediateCA.key \
			-CAcreateserial \
			-out <cluster ID>_CustomerHsmCertificate.crt
Signature ok
subject=/C=US/ST=CA/O=Cavium/OU=N3FIPS/L=SanJose/CN=HSM:<HSM identifier>:PARTN:<partition number>, for FIPS mode
Getting CA Private Key
Enter pass phrase for intermediateCA.key:

AWS PCA

Crie e ative uma CA raiz usando a Autoridade de Certificação Privada da AWS:


$ # 1. Create Root CA
aws acm-pca create-certificate-authority \
    --certificate-authority-configuration \
        "KeyAlgorithm=RSA_4096,
        SigningAlgorithm=SHA256WITHRSA,
        Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=RootCA}" \
    --certificate-authority-type ROOT

# Store the Root CA Authority ARN from the previous output
ROOT_CA_AUTHORITY_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<ca-authority-id>"

# 2. Generate Root CA CSR
aws acm-pca get-certificate-authority-csr \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --output text > customerRootCA.csr

# 3. Self-sign Root CA Certificate
aws acm-pca issue-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --csr fileb://customerRootCA.csr \
    --signing-algorithm SHA256WITHRSA \
	--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
    --validity Value=3652,Type=DAYS

# Store the Root CA certificate ARN from the previous output
ROOT_CA_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<ca-authority-id>/certificate/<cert-id>"

# 4. Retrieve the Root CA certificate
aws acm-pca get-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --certificate-arn $ROOT_CA_ARN \
    --output text > customerRootCA.crt

# 5. Import the Root CA Certificate
aws acm-pca import-certificate-authority-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --certificate fileb://customerRootCA.crt

Crie e ative uma CA subordinada (também conhecida como CA intermediária):


$ # 6. Create Subordinate CA
aws acm-pca create-certificate-authority \
    --certificate-authority-configuration \
        "KeyAlgorithm=RSA_4096,
        SigningAlgorithm=SHA256WITHRSA,
        Subject={Country=US,Organization=MyOrg,OrganizationalUnit=IT,CommonName=SubordinateCA}" \
    --certificate-authority-type SUBORDINATE

# Store the Subordinate CA Authority ARN from the previous output
SUB_CA_AUTHORITY_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<sub-ca-authority-id>"

# 7. Generate Subordinate CA CSR
aws acm-pca get-certificate-authority-csr \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --output text > intermediateCA.csr

# 8. Issue Subordinate CA Certificate using Root CA
aws acm-pca issue-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --csr fileb://intermediateCA.csr \
    --signing-algorithm SHA256WITHRSA \
    --template-arn arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 \
    --validity Value=3651,Type=DAYS

# Store the Subordinate CA certificate ARN from the previous output
SUB_CA_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<sub-ca-authority-id>"

# 9. Retrieve Subordinate CA Certificate
aws acm-pca get-certificate \
    --certificate-authority-arn $ROOT_CA_AUTHORITY_ARN \
    --certificate-arn $SUB_CA_ARN \
    --query 'Certificate' \
    --output text > intermediateCA.crt

# 10. Import the Subordinate CA Certificate
aws acm-pca import-certificate-authority-certificate \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --certificate fileb://intermediateCA.crt \
    --certificate-chain fileb://customerRootCA.crt

Combine os certificados em um arquivo em cadeia:


$ cat intermediateCA.crt customerRootCA.crt > chainCA.crt

-----BEGIN CERTIFICATE-----
[Intermediate CA]
-----END CERTIFICATE-----
...
...
-----BEGIN CERTIFICATE-----
[Root CA]
-----END CERTIFICATE-----

Assine o CSR do cluster usando o AWS PCA:


$ aws acm-pca issue-certificate \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --csr fileb://<cluster ID>_ClusterCsr.csr \
    --signing-algorithm SHA256WITHRSA \
    --template-arn arn:aws:acm-pca:::template/EndEntityCertificate/V1 \
    --validity Value=3650,Type=DAYS

# Store your cluster's cert ARN from the previous output
CLUSTER_CERT_ARN="arn:aws:acm-pca:<region>:<account-id>:certificate-authority/<cluster-cert-arn>"

Baixe o certificado de cluster assinado:


$ aws acm-pca get-certificate \
    --certificate-authority-arn $SUB_CA_AUTHORITY_ARN \
    --certificate-arn $CLUSTER_CERT_ARN \
    --output text --query Certificate > <cluster ID>_CustomerHsmCertificate.crt

Este comando cria um arquivo chamado <cluster ID>_CustomerHsmCertificate.crt. Use este arquivo como o certificado assinado ao inicializar o cluster.

Verifique o certificado assinado em relação à cadeia de certificados (opcional):


$ openssl verify -purpose sslserver -CAfile chainCA.crt <cluster ID>_CustomerHsmCertificate.crt
<cluster ID>_CustomerHsmCertificate.crt: OK

Depois de produzir o certificado HSM assinado com sua CA intermediária, acesseEtapa 4: Inicializar o cluster.

Etapa 4: Inicializar o cluster

Use o certificado assinado do HSM e o certificado de assinatura para inicializar o cluster. Você pode usar o AWS CloudHSM console AWS CLI, o ou a AWS CloudHSM API.

Console

Para inicializar um cluster (console)

Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/casa.
Selecione o botão de seleção ao lado do ID do cluster com o HSM que deseja verificar.
Selecione Ações. No menu suspenso, escolha Iniciar.
Se você não concluiu a etapa anterior para criar um HSM, escolha uma Zona de Disponibilidade (AZ) para o HSM que você está criando. Em seguida, selecione Criar.
Na página Download certificate signing request (Solicitação de assinatura de certificado de download), escolha Next (Próximo). Se a opção Next (Próximo) não estiver disponível, selecione primeiro um dos links de certificado ou de CSR. Em seguida, escolha Next (Próximo).
Na página de Download certificate signing request [Solicitação assinatura de certificado (CSR)], selecione Next (Próximo).
Na página Upload the certificates (Carregar os certificados), faça o seguinte:
1. Ao lado de Cluster certificate (Certificado de cluster)selecione Upload file (Carregar arquivo). Em seguida, localize e selecione o certificado do HSM assinado anteriormente. Se tiver executado as etapas na seção anterior, selecione o arquivo denominado <cluster ID>_CustomerHsmCertificate.crt.
2. Ao lado de Issuing certificate (Certificado de emissão)selecione Upload file (Carregar arquivo). Em seguida, selecione seu certificado de assinatura com base na abordagem escolhida:
  - Se você escolheu a Opção A (certificado autoassinado único): selecione o arquivo chamado <customerRootCA>.crt
  - Se você escolheu a Opção B (cadeia de certificados): Selecione o arquivo chamado <chainCA>.crt
3. Selecione Upload and initialize (Carregar e inicializar).

AWS CLI

Para inicializar um cluster (AWS CLI)

Em um prompt de comando, execute o comando initialize-cluster. Forneça o seguinte:
- O ID do cluster que foi criado anteriormente.
- O certificado de HSM que foi assinado anteriormente. Se tiver executado as etapas na seção anterior, ele foi salvo em um arquivo denominado <cluster ID>_CustomerHsmCertificate.crt.
- Seu certificado de assinatura com base na abordagem que você escolheu:
  - Se você escolheu a Opção A (certificado autoassinado único): use o arquivo chamado <customerRootCA>.crt
  - Se você escolheu a Opção B (cadeia de certificados): Use o arquivo chamado <chainCA>.crt
```
$ aws cloudhsmv2 initialize-cluster --cluster-id <cluster ID> \
                                    --signed-cert file://<cluster ID>_CustomerHsmCertificate.crt \
                                    --trust-anchor file://<customerRootCA.crt OR chainCA.crt>
{
    "State": "INITIALIZE_IN_PROGRESS",
    "StateMessage": "Cluster is initializing. State will change to INITIALIZED upon completion."
}
```

AWS CloudHSM API

Para inicializar um cluster (AWS CloudHSM API)

Envie uma solicitação InitializeCluster com o seguinte:
- O ID do cluster que foi criado anteriormente.
- O certificado de HSM que foi assinado anteriormente. Se tiver executado as etapas na seção anterior, ele foi salvo em um arquivo denominado <cluster ID>_CustomerHsmCertificate.crt.
- Seu certificado de assinatura com base na abordagem que você escolheu:
  - Se você escolheu a Opção A (certificado autoassinado único): use o arquivo chamado <customerRootCA>.crt
  - Se você escolheu a Opção B (cadeia de certificados): Use o arquivo chamado <chainCA>.crt

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Verificar a identidade do HSM (opcional)

Instalar a CLI do CloudHSM

Inicialize o cluster em AWS CloudHSM

nota

Tópicos

Visão geral do

Etapa 1. Obter a Solicitação de assinatura de certificado (CSR) do cluster

Para obter a CSR (console)

Para obter a CSR (AWS CLI)

Para obter o CSR (AWS CloudHSM API)

Etapa 2. Crie uma chave privada para sua CA raiz

nota

Etapa 3. Assinar a CSR

Importante

Escolha sua abordagem de certificação

Crie um único certificado autoassinado

Assine o CSR do cluster com sua CA raiz autoassinada

Crie uma cadeia de autoridade de certificação intermediária (ICA)

Importante

nota

Etapa 4: Inicializar o cluster

Para inicializar um cluster (console)

Para inicializar um cluster (AWS CLI)

Para inicializar um cluster (AWS CloudHSM API)