Quels sont les certificats CloudHSM utilisés pour la connexion client-serveur chiffrée de bout en bout ?

Brève description

La connexion chiffrée de bout en bout entre le client CloudHSM et les HSM au sein d'un cluster CloudHSM est établie via deux connexions TLS imbriquées. Pour en savoir plus, consultez la page Chiffrement de bout en bout du client CloudHSM.

Résolution

Suivez ces instructions pour configurer la communication chiffrée de bout en bout avec un HSM.

Remarque : veillez à utiliser les certificats spécifiés pour éviter un échec de connexion TLS.

Connexion TLS au serveur

Établissez une connexion TLS entre le client et le serveur qui héberge le matériel HSM. Il s'agit d'une connexion TLS bidirectionnelle entre le serveur et le client.

Le serveur envoie un certificat auto-signé. Vous pouvez exécuter une commande de ce type pour consulter les détails de ce certificat auto-signé :

serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com

subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com

$ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout

Le client HSM vérifie que ce certificat est inclus dans le chemin d’approbation CA du répertoire /opt/cloudhsm/etc/cert. Deux certificats sont inclus dans le package cloudhsm-client, tels que dans l’exemple suivant :

$ cd /opt/cloudhsm/etc/certs
$ ls
21a10654.0  712ff948.0

$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82

$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5

Le client HSM envoie le certificat client dans le répertoire /opt/cloudhsm/etc/client.crt. Le certificat client doit être le certificat par défaut inclus dans le certificat CA du client CloudHSM ou le client CloudHSM dans le répertoire /opt/cloudhsm/etc/customerCA.crt.

Le serveur vérifie qu'il s'agit du certificat par défaut ou d'un certificat émis par customerCA.crt.

Connexion HSM TLS

Établissez une deuxième connexion TLS entre le client et le HSM depuis la première couche de connexion TLS. Le serveur envoie le certificat de cluster CloudHSM émis lors de l'initialisation du cluster. Téléchargez le certificat à l'aide de la commande suivante :

aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text

Le client vérifie qu'il s'agit d'un certificat émis par le customerCA.crt dans le répertoire /opt/cloudhsm/etc/customerCA.crt. Le client vérifie ensuite la connexion au HSM dans le cluster.

Remarque : le certificat de serveur et le certificat de cluster CloudHSM ne peuvent être ni modifiés ni renouvelés.