哪些 CloudHSM 客户端使用证书–服务器端到端加密连接?
上次更新时间:2021 年 6 月 23 日
AWS CloudHSM 如何工作客户端到端加密,使用什么? HSM 证书?
简短描述
CloudHSM 集群内的 CloudHSM 客户端与 HSM 端到端加密连接通过两个嵌套 TLS 建立连接。有关更多信息,请参阅 CloudHSM 客户端到端加密。
解决方法
根据下面的说明设置和设置 HSM 端到端加密通信。
注:确保使用指定证书以避免 TLS 连接失败。
服务器 TLS 连接
从客户端到行动 HSM 建立硬件主机服务器 TLS 这是服务器和客户端之间的双向连接。 TLS 连接。
服务器发送自签证书。您可以操作以下类似的命令来查看自签证书的详细信息:
serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
$ openssl s_client -connect :2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout
HSM 客户端验证证书包括 /opt/cloudhsm/etc/cert 目录内的 CA 信任路径中。两个证书都包含在与以下内容类似的 cloudhsm-client 程序包中:
$ cd /opt/cloudhsm/etc/certs
$ ls
21a10654.0 712ff948.0
$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82
$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5
HSM 客户端将客户端证书发送到客户端 /opt/cloudhsm/etc/client.crt 目录。客户端证书必须是 /opt/cloudhsm/etc/customerCA.crt 目录中的 CloudHSM 客户端上的 CloudHSM 客户端 CA 默认证书包含在证书中。
服务器验证这是默认证书或 customerCA.crt 颁发的证书。
HSM TLS 连接
从客户端到第一个 TLS 连接层中的 HSM 建立第二个 TLS 连接。集群初始化期间发布的服务器发送 CloudHSM 集群证书。使用下列命令下载证书:
aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId==''].Certificates.ClusterCertificate" --output text
这是客户端验证的原因 /opt/cloudhsm/etc/customerCA.crt 目录中的 customerCA.crt 发布的证书。然后,客户端验证和集群 HSM 的连接。
注意:服务器证书和 CloudHSM 集群证书不能更改或续期。