本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS CloudHSM 用戶端 SDK 5 的 OpenSSL 提供者
AWS CloudHSM OpenSSL 提供者可讓您透過 OpenSSL 提供者 API 將 TLS 密碼編譯操作卸載至 CloudHSM 叢集。對於使用 OpenSSL 3.2 和更新版本的新部署,建議使用提供者界面。
使用下列各節,使用用戶端 SDK 5 安裝和設定 AWS CloudHSM OpenSSL 提供者。
**警告**
OpenSSL 提供者目前不支援與 AWS CloudHSM OpenSSL CLI 整合。如需支援的整合[AWS CloudHSM Linux 上使用 NGINX 或 HAProxy 搭配 OpenSSL 提供者的 SSL/TLS 卸載](third-offload-linux-openssl-provider.md),請參閱 。
## 支援平台
OpenSSL 提供者需要 OpenSSL 3.2 或更新版本,可在 EL9\$1、Ubuntu 24.04\$1 和 Amazon Linux 2023\$1 上使用。
驗證相容性: `openssl version`
**Topics**
+ [支援平台](#openssl-provider-supported-platforms)
+ [安裝適用於 AWS CloudHSM 用戶端 SDK 5 的 OpenSSL 提供者](openssl-provider-install.md)
+ [OpenSSL Provider for AWS CloudHSM Client SDK 5 支援的金鑰類型](openssl-provider-key-types.md)
+ [OpenSSL 提供者支援的機制](openssl-provider-mechanisms.md)
+ [OpenSSL 提供者進階組態](openssl-provider-advanced-config.md)
# 安裝適用於 AWS CloudHSM 用戶端 SDK 5 的 OpenSSL 提供者
使用以下章節安裝適用於 AWS CloudHSM 用戶端 SDK 5 的 OpenSSL 提供者。
**注意**
若要使用用戶端 SDK 5 執行單一 HSM 叢集,您必須先將 `disable_key_availability_check` 設定為 `True` 來管理用戶端金鑰持久性。如需詳細資訊,請參閱[金鑰同步處理](working-client-sync.md#client-sync-sdk8)和[用戶端 SDK 5 設定工具](configure-sdk-5.md)。
## 要求
OpenSSL 提供者需要 **hsm2m.medium** 叢集類型和最低 CloudHSM 用戶端 SDK 5.17.0 版或更新版本。
## 安裝 OpenSSL 提供者
**安裝 OpenSSL 提供者**
1. 使用下列命令下載並安裝 OpenSSL 提供者。
------
#### [ Amazon Linux 2023 ]
在 x86\$164 架構上安裝 Amazon Linux 2023 的 OpenSSL 提供者:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-openssl-provider-latest.amzn2023.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-openssl-provider-latest.amzn2023.x86_64.rpm
```
在 ARM64 架構上安裝 Amazon Linux 2023 的 OpenSSL 提供者:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-openssl-provider-latest.amzn2023.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-openssl-provider-latest.amzn2023.aarch64.rpm
```
------
#### [ RHEL 9 (9.2\$1) ]
在 x86\$164 架構上安裝 RHEL 9 的 OpenSSL 提供者:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-openssl-provider-latest.el9.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-openssl-provider-latest.el9.x86_64.rpm
```
在 ARM64 架構上安裝 RHEL 9 的 OpenSSL 提供者:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-openssl-provider-latest.el9.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-openssl-provider-latest.el9.aarch64.rpm
```
------
#### [ RHEL 10 (10.0\$1) ]
在 x86\$164 架構上安裝 RHEL 10 的 OpenSSL 提供者:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-openssl-provider-latest.el10.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-openssl-provider-latest.el10.x86_64.rpm
```
在 ARM64 架構上安裝 RHEL 10 的 OpenSSL 提供者:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-openssl-provider-latest.el10.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-openssl-provider-latest.el10.aarch64.rpm
```
------
#### [ Ubuntu 24.04 ]
在 x86\$164 架構上安裝適用於 Ubuntu 24.04 的 OpenSSL 提供者:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-openssl-provider_latest_u24.04_amd64.deb
```
```
$ sudo dpkg -i ./cloudhsm-openssl-provider_latest_u24.04_amd64.deb
```
在 ARM64 架構上安裝適用於 Ubuntu 24.04 的 OpenSSL 提供者:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-openssl-provider_latest_u24.04_arm64.deb
```
```
$ sudo dpkg -i ./cloudhsm-openssl-provider_latest_u24.04_arm64.deb
```
------
您已在 安裝 OpenSSL 提供者的共用程式庫`/opt/cloudhsm/lib/licloudhsm_openssl_provider.so`。
1. 引導用戶端 SDK 5。如需關於啟動程序的詳細資訊,請參閱 [引導用戶端 SDK](cluster-connect.md#connect-how-to)。
1. 使用加密使用者 (CU) 登入資料設定`CLOUDHSM_PIN`環境變數:
```
$ export CLOUDHSM_PIN=:
```
1. 將 OpenSSL 提供者的安裝連接至叢集。如需詳細資訊,請參閱[連接至叢集](cluster-connect.md)。
## 驗證安裝
確認 OpenSSL 提供者已正確安裝:
```
$ CLOUDHSM_PIN=: openssl list -providers -provider cloudhsm
```
您應該會看到類似以下的輸出:
```
Providers:
cloudhsm
name: AWS CloudHSM OpenSSL Provider
version: 5.17.0
status: active
default
name: OpenSSL Default Provider
version: 3.2.2
status: active
```
# OpenSSL Provider for AWS CloudHSM Client SDK 5 支援的金鑰類型
AWS CloudHSM OpenSSL 提供者使用用戶端 SDK 5 支援下列金鑰類型。
****
| 金鑰類型 | Description |
| --- | --- |
| RSA | RSA 簽署/驗證和非對稱加密操作。驗證程序已卸載到 OpenSSL 軟件中。若要產生與 OpenSSL 提供者互通的 RSA 金鑰,請參閱 [使用 CloudHSM CLI 匯出非對稱金鑰](cloudhsm_cli-key-generate-file.md)。 |
| EC | ECDSA 簽署/驗證 P-256, P-384 和 P-521 曲線。驗證程序已卸載到 OpenSSL 軟件中。若要產生可與 OpenSSL 提供者互通的 EC 金鑰,請參閱 [使用 CloudHSM CLI 匯出非對稱金鑰](cloudhsm_cli-key-generate-file.md)。 |
# OpenSSL 提供者支援的機制
AWS CloudHSM OpenSSL 提供者 SDK 支援一組完整的密碼編譯機制,可用於各種操作,包括數位簽章、非對稱加密、對稱加密、金鑰交換等。
## RSA 簽章類型
OpenSSL 提供者支援具有多個雜湊演算法和填補結構描述的 RSA 數位簽章:
SHA1withRSA
使用 SHA-1 雜湊演算法的 RSA 簽章
+ PKCS\$11 v1.5 填補
+ PSS (概率簽章結構描述) 填補
SHA224withRSA
使用 SHA-224 雜湊演算法的 RSA 簽章
+ PKCS\$11 v1.5 填補
+ PSS 填補
SHA256withRSA
使用 SHA-256 雜湊演算法的 RSA 簽章
+ PKCS\$11 v1.5 填補
+ PSS 填補
SHA384withRSA
使用 SHA-384 雜湊演算法的 RSA 簽章
+ PKCS\$11 v1.5 填補
+ PSS 填補
SHA512withRSA
使用 SHA-512 雜湊演算法的 RSA 簽章
+ PKCS\$11 v1.5 填補
+ PSS 填補
## ECDSA 簽章類型
OpenSSL 提供者支援具有多個雜湊演算法的 ECDSA 數位簽章:
SHA1withECDSA
使用 SHA-1 雜湊演算法的 ECDSA 簽章
SHA224withECDSA
使用 SHA-224 雜湊演算法的 ECDSA 簽章
SHA256withECDSA
使用 SHA-256 雜湊演算法的 ECDSA 簽章
SHA384withECDSA
使用 SHA-384 雜湊演算法的 ECDSA 簽章
SHA512withECDSA
使用 SHA-512 雜湊演算法的 ECDSA 簽章
# OpenSSL 提供者進階組態
AWS CloudHSM OpenSSL 提供者 SDK 提供進階組態選項,可針對不同的使用案例和環境自訂其行為。使用 設定工具來設定這些選項。
+ [OpenSSL 提供者的重試組態](openssl-provider-configs-retry.md)
# 的 OpenSSL 提供者重試命令 AWS CloudHSM
AWS CloudHSM 用戶端 SDK 5.8.0 和更新版本具有內建的自動重試策略,將從用戶端重試 HSM 限流操作。當 HSM 因過於忙於執行先前操作而無法接受更多要求而限制操作時,用戶端 SDK 會嘗試重試限流操作 (最多 3 次),同時以指数形式回退。此自動重試策略可以設定為兩種模式中的其中一種:**關閉**模式和**標準**模式。
+ **關閉**:用戶端 SDK 將不會針對 HSM 的任何限流操作執行任何重試政策。
+ **標準**:這是用戶端 SDK 5.8.0 及更新版本的預設模式。在此模式下,用戶端 SDK 會以指數回退形式自動重試限流操作。
如需詳細資訊,請參閱[HSM 調節](troubleshoot-hsm-throttling.md)。
## 將重試命令設定為關閉模式
------
#### [ Linux ]
**將 Linux 上用戶端 SDK 5 重試命令設定為 **off****
+ 您可以使用下列命令將重試組態設定為 **off** 模式:
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --default-retry-mode off
```
------