验证 AWS CloudHSM 的 KSP 和 CNG 提供程序
KSP 和 CNG 提供程序在您安装 Windows AWS CloudHSM 客户端时进行安装。您可以按照 安装客户端 (Windows) 中的下列步骤安装客户端。
使用以下部分来验证提供程序的安装。
配置和运行 Windows AWS CloudHSM 客户端
您必须先满足 先决条件,然后才能启动 Windows CloudHSM 客户端。然后,更新提供程序使用的配置文件,并通过完成以下步骤启动客户端。当您首次使用 KSP 和 CNG 时以及在集群中添加或删除 HSM 后,需要执行这些步骤。这样,AWS CloudHSM 可以同步数据和跨集群中所有 HSM 保持一致性。
步骤 1:停止 AWS CloudHSM 客户端
在更新提供程序使用的配置文件之前,请停止 AWS CloudHSM 客户端。如果客户端已停止,运行停止命令也不会产生影响。
对于 Windows 客户端 1.1.2 以上版本:
C:\Program Files\Amazon\CloudHSM>net.exe stop AWSCloudHSMClient对于 Windows 客户端 1.1.1 及更低版本:
在启动 AWS CloudHSM 客户端的命令窗口中使用 Ctrl+C。
步骤 2:更新 AWS CloudHSM 配置文件
此步骤使用-a配置工具的 参数将集群中的其中一个 HSM 的弹性网络接口 (ENI) IP 地址添加到配置文件。
PS C:\>& "C:\Program Files\Amazon\CloudHSM\configure.exe" -a<HSM ENI IP>
要获取集群中 HSM 的 ENI IP 地址,请导航到 AWS CloudHSM 控制台,选择集群,然后选择所需的集群。您也可以使用 DescribeClusters 操作、describe-clusters 命令或 Get-HSM2Cluster PowerShell cmdlet。仅输入一个 ENI IP 地址。您使用哪个 HSM ENI IP 地址并不重要。
步骤 3:启动 AWS CloudHSM 客户端
接下来,启动或重启 AWS CloudHSM 客户端。当 AWS CloudHSM 客户端启动时,它将使用其配置文件中的 ENI IP 地址查询集群。然后,它会将集群中所有 HSM 的 ENI IP 地址添加到集群信息文件。
对于 Windows 客户端 1.1.2 以上版本:
C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient对于 Windows 客户端 1.1.1 及更低版本:
C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
检查 KSP 和 CNG 提供程序
您可以使用以下任一命令来确定您的系统上所安装的提供程序。命令列出了已注册的 KSP 和 CNG 提供程序。AWS CloudHSM 客户端无需运行。
PS C:\>& "C:\Program Files\Amazon\CloudHSM\ksp_config.exe" -enum
PS C:\>& "C:\Program Files\Amazon\CloudHSM\cng_config.exe" -enum
要验证您的 Windows Server EC2 实例上是否安装了 KSP 和 CNG 提供程序,您应该在列表中查看以下条目:
Cavium CNG Provider Cavium Key Storage Provider
如果缺少 CNG 提供程序,请运行以下命令。
PS C:\>& "C:\Program Files\Amazon\CloudHSM\cng_config.exe" -register
如果缺少 KSP 提供程序,请运行以下命令。
PS C:\>& "C:\Program Files\Amazon\CloudHSM\ksp_config.exe" -register
