Etapa 1. Obter certificados do HSM Etapa 2. Obter certificados raiz Etapa 3. Verificar cadeias de certificados Etapa 4. Extrair e comparar chaves públicas

Verifique a identidade e a autenticidade do HSM do seu cluster em AWS CloudHSM (opcional)

Para inicializar seu cluster AWS CloudHSM, você assina uma solicitação de assinatura de certificado (CSR) gerada pelo primeiro módulo de segurança de hardware (HSM) do cluster. Antes de fazer isso, você pode verificar a identidade e a autenticidade do HSM.

nota

Este processo é opcional. No entanto, ele funciona apenas até que um cluster seja inicializado. Depois que o cluster for inicializado, você não poderá usar esse processo para obter os certificados ou verificar o. HSMs

Para verificar a identidade do primeiro HSM do cluster, execute as seguintes etapas:

Obter os certificados e CSR : nesta etapa, são obtidos três certificados e uma CSR no HSM. Você também recebe dois certificados raiz, um do fabricante do hardware do HSM AWS CloudHSM e outro.
Verifique as cadeias de certificados — Nesta etapa, você constrói duas cadeias de certificados, uma para o certificado AWS CloudHSM raiz e outra para o certificado raiz do fabricante. Em seguida, você verifica o certificado do HSM com essas cadeias de certificados para determinar isso AWS CloudHSM e o fabricante do hardware atesta a identidade e a autenticidade do HSM.
Comparar chaves públicas: nesta etapa, as chaves públicas são extraídas e comparadas com as chaves públicas no certificado do HSM e na CSR do cluster, para garantir que são iguais. Isso deve fornecer a confiança de que o CSR foi gerado por um HSM autêntico e confiável.

O diagrama a seguir mostra a CSR, os certificados e a relação entre eles. Cada certificado é definido pela lista subsequente.

Os certificados do HSM e seus relacionamentos.

AWS Certificado raiz: Esse é AWS CloudHSM o certificado raiz.
Certificado raiz do fabricante: Este é o certificado raiz do fabricante de hardware.
AWS Certificado de hardware: AWS CloudHSM criou esse certificado quando o hardware do HSM foi adicionado à frota. Esse certificado afirma que AWS CloudHSM é proprietário do hardware.
Certificado de hardware do fabricante: O fabricante de hardware do HSM criou esse certificado quando o hardware do HSM foi fabricado. Esse certificado garante que o fabricante criou o hardware.
Certificado HSM: O certificado do HSM é gerado pelo hardware validado pelo FIPS quando você cria o primeiro HSM no cluster. Esse certificado garante que o hardware do HSM criou o HSM.
CSR do cluster: O primeiro HSM cria a CSR do cluster. Ao assinar a CSR do cluster, você reivindica o cluster. Em seguida, você pode usar a CSR assinada para inicializar o cluster.

Etapa 1. Obter certificados do HSM

Para verificar a identidade e a autenticidade do HSM, começar obtendo um CSR e cinco certificados. Você recebe três dos certificados do HSM, o que pode ser feito com o AWS CloudHSM console, o AWS Command Line Interface (AWS CLI) ou a AWS CloudHSM API.

Console

Para obter a CSR e certificados de HSM (console)

Abra o AWS CloudHSM console em https://console.aws.amazon.com/cloudhsm/casa.
Selecione o botão de seleção ao lado do ID do cluster com o HSM que deseja verificar.
Selecione Ações. No menu suspenso, escolha Iniciar.
Se você não concluiu a etapa anterior para criar um HSM, escolha uma Zona de Disponibilidade (AZ) para o HSM que você está criando. Em seguida, selecione Criar.
Quando os certificados e a CSR estiverem prontos, você verá links para fazer o download.
Escolha cada link para fazer download e salvar a CSR e seus certificados. Para simplificar as etapas subsequentes, salve todos os arquivos no mesmo diretório e use os nomes de arquivo padrão.

AWS CLI

Para obter a CSR e os certificados HSM (AWS CLI)

No prompt de comando, execute o comando describe-clusters quatro vezes, extraindo o CSR e certificados diferentes cada vez e salvando-os em arquivos.

Emita o seguinte comando para extrair a CSR do cluster. <cluster ID>Substitua pelo ID do cluster que você criou anteriormente.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ClusterCsr' \
                                   > <cluster ID>_ClusterCsr.csr

Emita o seguinte comando para extrair o certificado do HSM. <cluster ID>Substitua pelo ID do cluster que você criou anteriormente.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.HsmCertificate' \
                                   > <cluster ID>_HsmCertificate.crt

Execute o comando a seguir para extrair o certificado AWS de hardware. <cluster ID>Substitua pelo ID do cluster que você criou anteriormente.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.AwsHardwareCertificate' \
                                   > <cluster ID>_AwsHardwareCertificate.crt

Emita o seguinte comando para extrair o certificado de hardware do fabricante. <cluster ID>Substitua pelo ID do cluster que você criou anteriormente.


$ aws cloudhsmv2 describe-clusters --filters clusterIds=<cluster ID> \
                                   --output text \
                                   --query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \
                                   > <cluster ID>_ManufacturerHardwareCertificate.crt

AWS CloudHSM API

Para obter os certificados CSR e HSM (API)AWS CloudHSM

Envie uma solicitação DescribeClusters e, em seguida, extraia e salve a CSR e os certificados da resposta.

Etapa 2. Obter certificados raiz

Siga estas etapas para obter os certificados raiz AWS CloudHSM e o fabricante. Salve os arquivos de certificado raiz no diretório que contém os arquivos CSR e de certificado da HSM.

Para obter os certificados raiz AWS CloudHSM e do fabricante

Baixe o certificado AWS CloudHSM raiz: AWS_CloudHSM_Root-G1.zip
Faça download do certificado raiz do fabricante certo para seu tipo de HSM:
- Certificado raiz do fabricante do hsm1.medium: liquid_security_certificate.zip
- Certificado raiz do fabricante do hsm2.medium: liquid_security_certificate.zip
nota
Para fazer download de cada certificado da respectiva página inicial, use os links a seguir:
- Página inicial do certificado raiz do fabricante da instância hsm1.medium
- Página inicial do certificado raiz do fabricante da instância hsm2m.medium
Talvez seja necessário clicar no link de Fazer download de certificado e escolher Salvar Link como... a seguir, para salvar o arquivo do certificado.
Depois de fazer o download dos arquivos, extraia (descompacte) seu conteúdo.

Etapa 3. Verificar cadeias de certificados

Nesta etapa, você constrói duas cadeias de certificados, uma para o certificado AWS CloudHSM raiz e outra para o certificado raiz do fabricante. Em seguida, use OpenSSL para verificar o certificado de HSM com cada cadeia de certificado.

Para criar as cadeias de certificados, abra um shell do Linux. Você precisa do OpenSSL, que está disponível na maioria dos shells do Linux e precisa do certificado raiz e dos arquivos de certificado do HSM que foram transferidos por download. No entanto, você não precisa do AWS CLI para esta etapa e o shell não precisa estar associado à sua AWS conta.

Para verificar o certificado HSM com o certificado AWS CloudHSM raiz

Navegue até o diretório onde você salvou o certificado raiz e os arquivos de certificado do HSM que foram transferidos por download. Os comandos a seguir assumem que todos os certificados estejam no diretório atual e usam os nomes de arquivo padrão.

Use o comando a seguir para criar uma cadeia de certificados que inclua o certificado de AWS hardware e o certificado AWS CloudHSM raiz, nessa ordem. <cluster ID>Substitua pelo ID do cluster que você criou anteriormente.
```
$ cat <cluster ID>_AwsHardwareCertificate.crt \
      AWS_CloudHSM_Root-G1.crt \
      > <cluster ID>_AWS_chain.crt
```
Use o comando OpenSSL a seguir para verificar o certificado de HSM com a cadeia de certificação da AWS . <cluster ID>Substitua pelo ID do cluster que você criou anteriormente.
```
$ openssl verify -CAfile <cluster ID>_AWS_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK
```

Para verificar o certificado de HSM com o certificado raiz do fabricante

Use o comando a seguir para criar uma cadeia de certificado que inclua o certificado de hardware do fabricante e o certificado raiz do fabricante, nesta ordem. <cluster ID>Substitua pelo ID do cluster que você criou anteriormente.
```
$ cat <cluster ID>_ManufacturerHardwareCertificate.crt \
      liquid_security_certificate.crt \
      > <cluster ID>_manufacturer_chain.crt
```
Use o comando OpenSSL a seguir para verificar o certificado do HSM com a cadeia de certificados do fabricante. <cluster ID>Substitua pelo ID do cluster que você criou anteriormente.
```
$ openssl verify -CAfile <cluster ID>_manufacturer_chain.crt <cluster ID>_HsmCertificate.crt
<cluster ID>_HsmCertificate.crt: OK
```

Etapa 4. Extrair e comparar chaves públicas

Use OpenSSL para extrair e comparar chaves públicas no certificado do HSM e na CSR do cluster, a fim de garantir que são iguais.

Para comparar as chaves públicas, use o shell do Linux. Você precisa do OpenSSL, que está disponível na maioria dos shells Linux, mas não é necessário AWS CLI para esta etapa. O shell não precisa estar associado à sua AWS conta.

Para extrair e comparar as chaves públicas

Use o comando a seguir para extrair a chave pública do certificado de HSM.


$ openssl x509 -in <cluster ID>_HsmCertificate.crt -pubkey -noout > <cluster ID>_HsmCertificate.pub

Use o comando a seguir para extrair a chave pública da CSR do cluster.


$ openssl req -in <cluster ID>_ClusterCsr.csr -pubkey -noout > <cluster ID>_ClusterCsr.pub

Use o comando a seguir para comparar as chaves públicas. Se as chaves públicas forem idênticas, o comando a seguir não produzirá resultado.
```
$ diff <cluster ID>_HsmCertificate.pub <cluster ID>_ClusterCsr.pub
```

Depois de verificar a identidade e a autenticidade do HSM, vá para Inicializar o cluster.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar um HSM

Inicializar o cluster