Quels sont les certificats CloudHSM utilisés pour la connexion client-serveur chiffrée de bout en bout ?

Lecture de 3 minute(s)
0

Comment fonctionne le chiffrement de bout en bout du client AWS CloudHSM et quels sont les certificats HSM utilisés ?

Brève description

La connexion chiffrée de bout en bout entre le client CloudHSM et les matériels HSM au sein d'un cluster CloudHSM est établie par le biais de deux connexions TLS imbriquées. Pour plus d'informations, consultez la section Chiffrement de bout en bout du client CloudHSM.

Solution

Suivez les instructions ci-dessous pour définir la communication chiffrée de bout en bout avec un HSM.

Remarque : N'oubliez pas d'utiliser les certificats spécifiés pour éviter tout échec de la connexion TLS.

Connexion TLS avec le serveur

Établissez une connexion TLS depuis le client vers le serveur qui héberge le matériel HSM. Il s'agit d'une connexion TLS bidirectionnelle entre le serveur et le client.

Le serveur envoie un certificat auto-signé. Vous pouvez afficher les détails de ce certificat auto-signé en exécutant une commande semblable à celle qui suit :

serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
$ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout

Le client HSM vérifie que ce certificat est inclus dans le chemin de confiance de l’Autorité de certification dans le répertoire /opt/cloudhsm/etc/cert. Deux certificats sont inclus dans le package cloudhsm-client semblable à celui-ci :

$ cd /opt/cloudhsm/etc/certs

$ ls
21a10654.0  712ff948.0

$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82

$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5

Le client HSM envoie le certificat client dans le répertoire /opt/cloudhsm/etc/client.crt. Le certificat client doit être soit le certificat par défaut inclus dans le certificat d'autorité de certification client CloudHSM sur le client CloudHSM dans le répertoire /opt/CloudHSM/etc/Customerca.crt.

Le serveur vérifie qu'il s'agit bien du certificat par défaut ou d'un certificat émis par customerCA.crt.

Connexion TLS avec le matériel HSM

Établissez une seconde connexion TLS depuis le client vers le matériel HSM à partir de la première couche de connexion TLS. Le serveur envoie le certificat de cluster CloudHSM émis pendant l’initialisation du cluster. Téléchargez le certificat à l'aide de la commande suivante :

aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text

Le client vérifie qu’il s’agit d’un certificat émis par customerCA.crt dans le répertoire /opt/cloudhsm/etc/customerCA.crt. Le client vérifie ensuite la connexion au matériel HSM dans le cluster.

Remarque : Le certificat serveur et le certificat de cluster CloudHSM ne peuvent être ni modifiés ni renouvelés.


Informations connexes

Informations sur le client et le logiciel AWS CloudHSM

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 3 ans