Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso

¿Qué certificados de CloudHSM se utilizan para la conexión cifrada de extremo a extremo entre cliente y servidor?

3 minutos de lectura
0

Quiero saber cómo funciona el cifrado de extremo a extremo de clientes de AWS CloudHSM y qué certificados de HSM se utilizan.

Breve descripción

La conexión cifrada de extremo a extremo entre el cliente de CloudHSM y los HSM dentro de un clúster de CloudHSM se establece mediante dos conexiones TLS anidadas. Para obtener más información, consulte Cifrado de extremo a extremo de clientes de CloudHSM.

Resolución

Siga estas instrucciones para configurar la comunicación cifrada de extremo a extremo con un HSM.

**Nota:**Asegúrese de utilizar los certificados especificados para evitar un error de conexión TLS.

Conexión TLS del servidor

Establezca una conexión TLS desde el cliente al servidor que aloja el hardware del HSM. Se trata de una conexión TLS bidireccional entre el servidor y el cliente.

El servidor envía un certificado autofirmado. Puede ejecutar un comando similar al siguiente para ver los detalles de este certificado autofirmado:

serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com

subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com

$ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout

El cliente de HSM comprueba que este certificado esté incluido en la ruta de confianza de CA en el directorio /opt/cloudhsm/etc/cert. En el paquete cloudhsm-client se incluyen dos certificados similares a los siguientes:

$ cd /opt/cloudhsm/etc/certs
$ ls
21a10654.0  712ff948.0

$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82

$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5

El cliente de HSM envía el certificado de cliente al directorio /opt/cloudhsm/etc/client.crt. El certificado de cliente debe ser el certificado predeterminado incluido en el certificado de CA de cliente de CloudHSM del cliente de CloudHSM del directorio /opt/cloudhsm/etc/customerCA.crt.

El servidor comprueba que se trata del certificado predeterminado o de un certificado emitido por customerCA.crt.

Conexión TLS de HSM

Establezca una segunda conexión TLS desde el cliente a HSM desde la primera capa de conexión TLS. El servidor envía el certificado de clúster de CloudHSM emitido durante la inicialización del clúster. Descargue el certificado con el siguiente comando:

aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text

El cliente comprueba que se trata de un certificado emitido por customerCA.crt en el directorio /opt/cloudhsm/etc/customerCA.crt. A continuación, el cliente verifica la conexión con HSM del clúster.

Nota: El certificado del servidor y el certificado de clúster de CloudHSM no se pueden cambiar ni renovar.

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 8 meses