哪些 CloudHSM 憑證用於用戶端-伺服器端對端加密連線?
1 分的閱讀內容
0
AWS CloudHSM 用戶端端對端加密如何運作,以及使用哪些 HSM 憑證?
簡短描述
CloudHSM 叢集內 CloudHSM 用戶端與 HSM 之間的端對端加密連線是透過兩個巢狀 TLS 連線建立的。如需詳細資訊,請參閱 CloudHSM 用戶端端對端加密。
解決方法
依照下列指示設定與 HSM 的端對端加密通訊。
**注意:**請務必使用指定的憑證,以避免 TLS 連線失敗。
伺服器 TLS 連線
建立從用戶端到託管 HSM 硬體之伺服器的 TLS 連線。這是伺服器與用戶端之間的雙向 TLS 連線。
伺服器會傳送自我簽署憑證。您可以執行類似下列的命令,以檢視此自我簽署憑證詳細資料:
serial=B7FA7A40976CBE82 issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com $ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout
HSM 用戶端會驗證此憑證是否包含在 /opt/cloudhsm/etc/cert 目錄中的 CA 信任路徑中。cloudhsm-client 套件中包含兩個憑證,類似下列內容:
$ cd /opt/cloudhsm/etc/certs $ ls 21a10654.0 712ff948.0 $ openssl x509 -subject -issuer -serial -noout -in 21a10654.0 subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com serial=B7FA7A40976CBE82 $ openssl x509 -subject -issuer -serial -noout -in 712ff948.0 subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com serial=A7525B285D1C2BB5
HSM 用戶端會將用戶端憑證傳送至 /opt/cloudhsm/etc/client.crt 目錄。用戶端憑證必須是包含在 /opt/cloudhsm/etc/customerCA.crt 目錄 中 CloudHSM 用戶端上 CA 憑證中的預設憑證。
伺服器會驗證這是預設憑證或 customerCA.crt 所簽發的憑證。
HSM TLS 連線
從第一個 TLS 連線層內建立從用戶端到 HSM 的第二個 TLS 連線。伺服器會傳送叢集初始化期間簽發的 CloudHSM 叢集憑證。使用下列命令下載憑證:
aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text
用戶端會驗證這是由 /opt/cloudhsm/etc/customerCA.crt 目錄中的 customerCA.crt 簽發的憑證。然後,用戶端會驗證與叢集中 HSM 的連線。
**注意:**伺服器憑證和 CloudHSM 叢集憑證無法變更或更新。
相關資訊
AWS 官方已更新 3 年前
沒有評論
相關內容
- 已提問 1 年前lg...
- 已提問 1 年前lg...
- AWS 官方已更新 6 個月前
- AWS 官方已更新 3 年前
- AWS 官方已更新 3 年前
- AWS 官方已更新 3 年前