¿Qué certificados de CloudHSM se utilizan para la conexión cifrada de extremo a extremo entre cliente y servidor?

Breve descripción

La conexión cifrada de extremo a extremo entre el cliente de CloudHSM y los HSM dentro de un clúster de CloudHSM se establece mediante dos conexiones TLS anidadas. Para obtener más información, consulte Cifrado de extremo a extremo de clientes de CloudHSM.

Resolución

Siga estas instrucciones para configurar la comunicación cifrada de extremo a extremo con un HSM.

**Nota:**Asegúrese de utilizar los certificados especificados para evitar un error de conexión TLS.

Conexión TLS del servidor

Establezca una conexión TLS desde el cliente al servidor que aloja el hardware del HSM. Se trata de una conexión TLS bidireccional entre el servidor y el cliente.

El servidor envía un certificado autofirmado. Puede ver los detalles de este certificado autofirmado ejecutando un comando similar al siguiente:

serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
$ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout

El cliente de HSM comprueba que este certificado esté incluido en la ruta de confianza de CA en el directorio /opt/cloudhsm/etc/cert. En el paquete cloudhsm-client se incluyen dos certificados similares a los siguientes:

$ cd /opt/cloudhsm/etc/certs

$ ls
21a10654.0  712ff948.0

$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82

$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5

El cliente de HSM envía el certificado de cliente al directorio /opt/cloudhsm/etc/client.crt. El certificado de cliente debe ser el certificado predeterminado incluido en el certificado de CA de cliente de CloudHSM del cliente de CloudHSM del directorio /opt/cloudhsm/etc/customerCA.crt.

El servidor comprueba que se trata del certificado predeterminado o de un certificado emitido por customerCA.crt.

Conexión TLS de HSM

Establezca una segunda conexión TLS desde el cliente a HSM desde la primera capa de conexión TLS. El servidor envía el certificado de clúster de CloudHSM emitido durante la inicialización del clúster. Descargue el certificado con el siguiente comando:

aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text

El cliente comprueba que se trata de un certificado emitido por customerCA.crt en el directorio /opt/cloudhsm/etc/customerCA.crt. A continuación, el cliente verifica la conexión con HSM del clúster.

**Nota:**El certificado del servidor y el certificado de clúster de CloudHSM no se pueden cambiar ni renovar.

Información relacionada

Información sobre clientes y el software AWS CloudHSM