Quais certificados do CloudHSM são usados na conexão criptografada de ponta a ponta entre cliente e servidor?
Quero saber como funciona a criptografia de ponta a ponta do cliente AWS CloudHSM e quais certificados HSM são usados.
Breve descrição
A conexão criptografada de ponta a ponta entre o cliente do CloudHSM e os HSMs em um cluster do CloudHSM é estabelecida por duas conexões TLS aninhadas. Obtenha mais informações consultando Criptografia de ponta a ponta do cliente CloudHSM.
Resolução
Siga estas instruções para definir a comunicação criptografada de ponta a ponta com um HSM.
Observação: Use os certificados especificados para evitar uma falha na conexão TLS.
Conexão TLS do servidor
Estabeleça uma conexão TLS do cliente com o servidor que hospeda o hardware do HSM. Essa é uma conexão TLS bidirecional entre o servidor e o cliente.
O servidor envia um certificado autoassinado. Visualize as informações desse certificado autoassinado executando um comando como este:
serial=B7FA7A40976CBE82 issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com $ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout
O cliente HSM verifica se esse certificado está incluído no caminho de confiança do CA no diretório /opt/cloudhsm/etc/cert. Dois certificados estão incluídos no pacote cloudhsm-client como estes:
$ cd /opt/cloudhsm/etc/certs $ ls 21a10654.0 712ff948.0 $ openssl x509 -subject -issuer -serial -noout -in 21a10654.0 subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com serial=B7FA7A40976CBE82 $ openssl x509 -subject -issuer -serial -noout -in 712ff948.0 subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com serial=A7525B285D1C2BB5
O cliente HSM envia o certificado de cliente para o diretório /opt/cloudhsm/etc/client.crt. O certificado de cliente deve ser o certificado padrão incluído no certificado CA de cliente CloudHSM no cliente CloudHSM no diretório /opt/cloudhsm/etc/customerCA.crt.
O servidor verifica se esse é o certificado padrão ou um certificado emitido pelo customerCA.crt.
Conexão HSM TLS
Estabeleça uma segunda conexão TLS de cliente com o HSM na primeira camada de conexão TLS. O servidor envia o certificado de cluster do CloudHSM emitido durante a inicialização do cluster. Faça download do certificado com este comando:
aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text
O cliente verifica se esse certificado foi emitido pelo diretório customerCA.crt no /opt/cloudhsm/etc/customerCA.crt. Em seguida, o cliente verifica a conexão com o HSM no cluster.
Observação: Não é possível alterar ou renovar o certificado do servidor e o certificado do cluster do CloudHSM.
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 6 meses
- AWS OFICIALAtualizada há um ano