Quali certificati CloudHSM vengono utilizzati per la connessione crittografata end-to-end tra client e server?

2 minuti di lettura
0

Desidero sapere come funziona la crittografia end-to-end del client AWS CloudHSM e quali certificati HSM vengono utilizzati.

Breve descrizione

La connessione crittografata end-to-end tra il client CloudHSM e gli HSM all'interno di un cluster CloudHSM viene stabilita tramite due connessioni TLS annidate. Per ulteriori informazioni, consulta Crittografia end-to-end del client CloudHSM.

Soluzione

Segui queste istruzioni per impostare la comunicazione crittografata end-to-end con un HSM.

Nota: Assicurati di utilizzare i certificati specificati per evitare un errore di connessione TLS.

Connessione TLS al server

Stabilisci una connessione TLS dal client al server che ospita l'hardware HSM. Si tratta di una connessione TLS bidirezionale tra il server e il client.

Il server invia un certificato autofirmato. È possibile visualizzare i dettagli di questo certificato autofirmato eseguendo un comando simile al seguente:

serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com

subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com

$ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout

Il client HSM verifica che questo certificato sia incluso nel percorso di attendibilità della CA nella directory /opt/cloudhsm/etc/cert. Nel pacchetto cloudhsm-client sono inclusi due certificati simili a questi:

$ cd /opt/cloudhsm/etc/certs
$ ls
21a10654.0  712ff948.0

$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82

$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5

Il client HSM invia il certificato client alla directory /opt/cloudhsm/etc/client.crt. Il certificato del client deve essere quello predefinito incluso nel certificato CA del client CloudHSM sul client CloudHSM nella directory /opt/cloudhsm/etc/customerCA.crt.

Il server verifica se si tratta del certificato predefinito o di un certificato emesso da customerCA.crt.

Connessione HSM TLS

Stabilisci una seconda connessione TLS dal client all'HSM dall'interno del primo livello di connessione TLS. Il server invia il certificato del cluster CloudHSM rilasciato durante l'inizializzazione del cluster. Scarica il certificato con il seguente comando:

aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text

Il client verifica se si tratta di un certificato emesso da customerCA.crt nella directory /opt/cloudhsm/etc/customerCA.crt. Successivamente il client verificherà la connessione all'HSM nel cluster.

Nota: il certificato del server e il certificato del cluster CloudHSM non possono essere modificati o rinnovati.

AWS UFFICIALE
AWS UFFICIALEAggiornata 6 mesi fa