AWS CloudHSM 客户端的端到端加密如何工作,使用哪些 HSM 证书?
简短描述
CloudHSM 集群内的 CloudHSM 客户端与 HSM 之间的端到端加密连接通过两个嵌套 TLS 连接建立。有关更多信息,请参阅 CloudHSM 客户端端到端加密。
解决方法
按照下面的说明设置与 HSM 的端到端加密通信。
**注意:**确保使用指定的证书以避免 TLS 连接失败。
服务器 TLS 连接
从客户端至作为 HSM 硬件主机的服务器建立 TLS 连接。这是服务器与客户端之间的双向 TLS 连接。
服务器发送自签名证书。您可以运行下面的类似命令以查看此自签名证书的详细信息:
serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
$ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout
HSM 客户端验证此证书包含在 /opt/cloudhsm/etc/cert 目录内的 CA 信任路径中。两个证书都包含在与以下内容类似的 cloudhsm-client 程序包中:
$ cd /opt/cloudhsm/etc/certs
$ ls
21a10654.0 712ff948.0
$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82
$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5
HSM 客户端将客户端证书发送到 /opt/cloudhsm/etc/client.crt 目录。客户端证书必须是 /opt/cloudhsm/etc/customerCA.crt 目录中的 CloudHSM 客户端上的 CloudHSM 客户端 CA 证书中包含的默认证书。
服务器验证这是默认证书或由 customerCA.crt 颁发的证书。
HSM TLS 连接
从客户端至第一个 TLS 连接层中的 HSM 建立第二个 TLS 连接。服务器发送在集群初始化期间发布的 CloudHSM 集群证书。使用以下命令下载证书:
aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text
客户端验证这是由 /opt/cloudhsm/etc/customerCA.crt 目录中的 customerCA.crt 发布的证书。然后,客户端验证与集群中的 HSM 的连接。
**注意:**服务器证书和 CloudHSM 集群证书不能更改或续期。
相关信息
AWS CloudHSM 客户端和软件信息