Quiero saber cómo funciona el cifrado de extremo a extremo de clientes de AWS CloudHSM y qué certificados de HSM se utilizan.
Breve descripción
La conexión cifrada de extremo a extremo entre el cliente de CloudHSM y los HSM dentro de un clúster de CloudHSM se establece mediante dos conexiones TLS anidadas. Para obtener más información, consulte Cifrado de extremo a extremo de clientes de CloudHSM.
Resolución
Siga estas instrucciones para configurar la comunicación cifrada de extremo a extremo con un HSM.
**Nota:**Asegúrese de utilizar los certificados especificados para evitar un error de conexión TLS.
Conexión TLS del servidor
Establezca una conexión TLS desde el cliente al servidor que aloja el hardware del HSM. Se trata de una conexión TLS bidireccional entre el servidor y el cliente.
El servidor envía un certificado autofirmado. Puede ejecutar un comando similar al siguiente para ver los detalles de este certificado autofirmado:
serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
$ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout
El cliente de HSM comprueba que este certificado esté incluido en la ruta de confianza de CA en el directorio /opt/cloudhsm/etc/cert. En el paquete cloudhsm-client se incluyen dos certificados similares a los siguientes:
$ cd /opt/cloudhsm/etc/certs
$ ls
21a10654.0 712ff948.0
$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82
$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5
El cliente de HSM envía el certificado de cliente al directorio /opt/cloudhsm/etc/client.crt. El certificado de cliente debe ser el certificado predeterminado incluido en el certificado de CA de cliente de CloudHSM del cliente de CloudHSM del directorio /opt/cloudhsm/etc/customerCA.crt.
El servidor comprueba que se trata del certificado predeterminado o de un certificado emitido por customerCA.crt.
Conexión TLS de HSM
Establezca una segunda conexión TLS desde el cliente a HSM desde la primera capa de conexión TLS. El servidor envía el certificado de clúster de CloudHSM emitido durante la inicialización del clúster. Descargue el certificado con el siguiente comando:
aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text
El cliente comprueba que se trata de un certificado emitido por customerCA.crt en el directorio /opt/cloudhsm/etc/customerCA.crt. A continuación, el cliente verifica la conexión con HSM del clúster.
Nota: El certificado del servidor y el certificado de clúster de CloudHSM no se pueden cambiar ni renovar.