哪些 CloudHSM 证书用于客户端–服务器端到端加密连接？

简短描述

CloudHSM 集群内的 CloudHSM 客户端与 HSM 之间的端到端加密连接通过两个嵌套 TLS 连接建立。有关更多信息，请参阅 CloudHSM 客户端端到端加密。

解决方法

按照下面的说明设置与 HSM 的端到端加密通信。

**注意：**确保使用指定的证书以避免 TLS 连接失败。

服务器 TLS 连接

从客户端至作为 HSM 硬件主机的服务器建立 TLS 连接。这是服务器与客户端之间的双向 TLS 连接。

服务器发送自签名证书。您可以运行下面的类似命令以查看此自签名证书的详细信息：

serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
$ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout

HSM 客户端验证此证书包含在 /opt/cloudhsm/etc/cert 目录内的 CA 信任路径中。两个证书都包含在与以下内容类似的 cloudhsm-client 程序包中：

$ cd /opt/cloudhsm/etc/certs

$ ls
21a10654.0  712ff948.0

$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82

$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5

HSM 客户端将客户端证书发送到 /opt/cloudhsm/etc/client.crt 目录。客户端证书必须是 /opt/cloudhsm/etc/customerCA.crt 目录中的 CloudHSM 客户端上的 CloudHSM 客户端 CA 证书中包含的默认证书。

服务器验证这是默认证书或由 customerCA.crt 颁发的证书。

HSM TLS 连接

从客户端至第一个 TLS 连接层中的 HSM 建立第二个 TLS 连接。服务器发送在集群初始化期间发布的 CloudHSM 集群证书。使用以下命令下载证书：

aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text

客户端验证这是由 /opt/cloudhsm/etc/customerCA.crt 目录中的 customerCA.crt 发布的证书。然后，客户端验证与集群中的 HSM 的连接。

**注意：**服务器证书和 CloudHSM 集群证书不能更改或续期。

---

相关信息

AWS CloudHSM 客户端和软件信息