Quali certificati CloudHSM vengono utilizzati per la connessione crittografata end-to-end tra client e server?
Come funziona la crittografia end-to-end del client AWS CloudHSM e quali certificati HSM vengono utilizzati?
Breve descrizione
La connessione crittografata end-to-end tra il client CloudHSM e gli HSM all'interno di un cluster CloudHSM viene stabilita tramite due connessioni TLS annidate. Per ulteriori informazioni, consulta Crittografia end-to-end del client CloudHSM.
Soluzione
Segui queste istruzioni per impostare la comunicazione crittografata end-to-end con un HSM.
Nota: Assicurati di utilizzare i certificati specificati per evitare un errore di connessione TLS.
Connessione TLS al server
Stabilisci una connessione TLS dal client al server che ospita l'hardware HSM. Si tratta di una connessione TLS bidirezionale tra il server e il client.
Il server invia un certificato autofirmato. È possibile visualizzare i dettagli di questo certificato autofirmato eseguendo un comando simile a questo:
serial=B7FA7A40976CBE82 issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com $ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout
Il client HSM verifica che questo certificato sia incluso nel percorso di attendibilità della CA nella directory /opt/cloudhsm/etc/cert. Nel pacchetto cloudhsm-client sono inclusi due certificati simili a questi:
$ cd /opt/cloudhsm/etc/certs $ ls 21a10654.0 712ff948.0 $ openssl x509 -subject -issuer -serial -noout -in 21a10654.0 subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com serial=B7FA7A40976CBE82 $ openssl x509 -subject -issuer -serial -noout -in 712ff948.0 subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com serial=A7525B285D1C2BB5
Il client HSM invia il certificato client alla directory /opt/cloudhsm/etc/client.crt. Il certificato del client deve essere quello predefinito incluso nel certificato CA del client CloudHSM sul client CloudHSM nella directory /opt/cloudhsm/etc/customerCA.crt.
Il server verifica se si tratta del certificato predefinito o di un certificato emesso da customerCA.crt.
Connessione HSM TLS
Stabilisci una seconda connessione TLS dal client all'HSM dall'interno del primo livello di connessione TLS. Il server invia il certificato del cluster CloudHSM rilasciato durante l'inizializzazione del cluster. Scarica il certificato con il seguente comando:
aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text
Il client verifica se si tratta di un certificato emesso da customerCA.crt nella directory /opt/cloudhsm/etc/customerCA.crt. Successivamente il client verificherà la connessione all'HSM nel cluster.
Nota: Il certificato del server e il certificato del cluster CloudHSM non possono essere modificati o rinnovati.
Informazioni correlate
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 9 mesi fa
- AWS UFFICIALEAggiornata 3 anni fa
- AWS UFFICIALEAggiornata 5 mesi fa