Quais certificados do CloudHSM são usados na conexão criptografada de ponta a ponta entre cliente e servidor?

3 minuto de leitura
0

Como funciona a criptografia de ponta a ponta do cliente AWS CloudHSM e quais certificados HSM são usados?

Breve descrição

A conexão criptografada de ponta a ponta entre o cliente do CloudHSM e os HSMs em um cluster do CloudHSM é estabelecida por duas conexões TLS aninhadas. Obtenha mais informações consultando Criptografia de ponta a ponta do cliente CloudHSM.

Resolução

Siga estas instruções para definir a comunicação criptografada de ponta a ponta com um HSM.

Observação: Use os certificados especificados para evitar uma falha na conexão TLS.

Conexão TLS do servidor

Estabeleça uma conexão TLS do cliente com o servidor que hospeda o hardware do HSM. Essa é uma conexão TLS bidirecional entre o servidor e o cliente.

O servidor envia um certificado autoassinado. Visualize as informações desse certificado autoassinado executando um comando como este:

serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
$ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout

O cliente HSM verifica se esse certificado está incluído no caminho de confiança da CA no diretório /opt/cloudhsm/etc/cert. Dois certificados estão incluídos no pacote cloudhsm-client como estes:

$ cd /opt/cloudhsm/etc/certs

$ ls
21a10654.0  712ff948.0

$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82

$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5

O cliente HSM envia o certificado de cliente para o diretório /opt/cloudhsm/etc/client.crt. O certificado de cliente deve ser o certificado padrão incluído no certificado CA de cliente CloudHSM no cliente CloudHSM no diretório /opt/cloudhsm/etc/customerCA.crt.

O servidor verifica se esse é o certificado padrão ou um certificado emitido pelo customerCA.crt.

Conexão HSM TLS

Estabeleça uma segunda conexão TLS de cliente com o HSM na primeira camada de conexão TLS. O servidor envia o certificado de cluster do CloudHSM emitido durante a inicialização do cluster. Faça download do certificado com este comando:

aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text

O cliente verifica se esse certificado foi emitido pelo diretório customerCA.crt no /opt/cloudhsm/etc/customerCA.crt. Em seguida, o cliente verifica a conexão com o HSM no cluster.

Observação: Não é possível alterar ou renovar o certificado de servidor e o certificado de cluster do CloudHSM.


Informações relacionadas

Informações sobre o cliente e o software do AWS CloudHSM

AWS OFICIAL
AWS OFICIALAtualizada há 3 anos