Welche CloudHSM-Zertifikate werden für die beidseitig verschlüsselte Verbindung zwischen Client und Server verwendet?

Kurzbeschreibung

Die beidseitig verschlüsselte Verbindung zwischen dem CloudHSM-Client und den HSMs innerhalb eines CloudHSM-Clusters wird über zwei verschachtelte TLS-Verbindungen hergestellt. Weitere Informationen finden Sie unter Ende-zu-Ende-Verschlüsselung des CloudHSM-Clients.

Lösung

Folgen Sie diesen Anweisungen, um die beidseitig verschlüsselte Kommunikation mit einem HSM einzurichten.

Hinweis: Verwenden Sie unbedingt die angegebenen Zertifikate, um einen TLS-Verbindungsfehler zu vermeiden.

Server-TLS-Verbindung

Stellen Sie eine TLS-Verbindung vom Client zum Server her, der die HSM-Hardware hostet. Dies ist eine bidirektionale TLS-Verbindung zwischen dem Server und dem Client.

Der Server sendet ein selbstsigniertes Zertifikat. Sie können einen Befehl ähnlich dem folgenden ausführen, um die Details dieses selbstsignierten Zertifikats einzusehen:

serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com

subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com

$ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout

Der HSM-Client überprüft, ob dieses Zertifikat im CA-Trustpfad im Verzeichnis /opt/cloudhsm/etc/cert enthalten ist. Im cloudhsm-client-Paket sind zwei Zertifikate ähnlich den folgenden enthalten:

$ cd /opt/cloudhsm/etc/certs
$ ls
21a10654.0  712ff948.0

$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82

$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5

Der HSM-Client sendet das Client-Zertifikat an das Verzeichnis /opt/cloudhsm/etc/client.crt. Das Client-Zertifikat muss entweder das Standardzertifikat sein, das im CloudHSM-Client enthalten ist, oder das CA-Zertifikat auf dem CloudHSM-Client im Verzeichnis /opt/cloudhsm/etc/customerCA.crt.

Der Server überprüft, ob es sich entweder um das Standardzertifikat oder um ein von customerCA.crt ausgestelltes Zertifikat handelt.

HSM TLS-Verbindung

Stellen Sie innerhalb der ersten TLS-Verbindungsschicht eine zweite TLS-Verbindung vom Client zum HSM her. Der Server sendet das CloudHSM-Clusterzertifikat, das während der Cluster-Initialisierung ausgestellt wurde. Laden Sie das Zertifikat mit dem folgenden Befehl herunter:

aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text

Der Client überprüft, ob es sich um ein Zertifikat handelt, das von customerCA.crt im Verzeichnis /opt/cloudhsm/etc/customerCA.crt ausgestellt wurde. Anschließend überprüft der Client die Verbindung zum HSM im Cluster.

Hinweis: Das Serverzertifikat und das CloudHSM-Clusterzertifikat können nicht geändert oder erneuert werden.