哪些 CloudHSM 证书用于客户端–服务器端到端加密连接?

上次更新时间:2019 年 6 月 21 日

AWS CloudHSM 客户端的端到端加密如何工作以及使用哪些 HSM 证书?

简短描述

CloudHSM 集群内的 CloudHSM 客户端与 HSM 之间的端到端加密连接通过两个嵌套 TLS 连接建立。有关更多信息,请参阅 AWS CloudHSM 客户端

解决方法

按照下面的说明设置与 HSM 的端到端加密通信。

注意:确保使用指定的证书以避免 TLS 连接失败。

服务器 TLS 连接

从客户端至作为 HSM 硬件主机的服务器建立 TLS 连接。这是服务器与客户端之间的双向 TLS 连接。

服务器发送自签名证书。您可以运行下面的类似命令以查看此自签名证书的详细信息:

serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
$ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout

HSM 客户端验证此证书包含在 /opt/cloudhsm/etc/cert 目录内的 CA 信任路径中。两个证书都包含在与以下内容类似的 cloudhsm-client 程序包中:

$ cd /opt/cloudhsm/etc/certs

$ ls
21a10654.0  712ff948.0

$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82

$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5

HSM 客户端将客户端证书发送到 /opt/cloudhsm/etc/client.crt 目录。客户端证书必须是包含在 CloudHSM 客户端程序包中的默认证书,或者由 customerCA.crt 发布的证书。在 /opt/cloudhsm/etc/customerCA.crt 目录中的 CloudHSM 客户端上安装 CA 证书。

服务器验证这是默认证书或由 customerCA.crt 发布的证书。

HSM TLS 连接

从客户端至第一个 TLS 连接层中的 HSM 建立第二个 TLS 连接。服务器发送在集群初始化期间发布的 CloudHSM 集群证书。使用以下命令下载证书:

aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text

客户端验证这是由 /opt/cloudhsm/etc/customerCA.crt 目录中的 customerCA.crt 发布的证书。然后,客户端验证与集群中的 HSM 的连接。

注意:服务器证书和 CloudHSM 集群证书不能更改或续期。


这篇文章对您有帮助吗?

您觉得我们哪些地方需要改进?


需要更多帮助?