哪些 CloudHSM 憑證用於用戶端-伺服器端對端加密連線？

簡短描述

CloudHSM 叢集內 CloudHSM 用戶端與 HSM 之間的端對端加密連線是透過兩個巢狀 TLS 連線建立的。如需詳細資訊，請參閱 CloudHSM 用戶端端對端加密。

解決方法

依照下列指示設定與 HSM 的端對端加密通訊。

**注意：**請務必使用指定的憑證，以避免 TLS 連線失敗。

伺服器 TLS 連線

建立從用戶端到託管 HSM 硬體之伺服器的 TLS 連線。這是伺服器與用戶端之間的雙向 TLS 連線。

伺服器會傳送自我簽署憑證。您可以執行類似下列的命令，以檢視此自我簽署憑證詳細資料：

serial=B7FA7A40976CBE82
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
$ openssl s_client -connect <HSM_IP>:2223 2> /dev/null | openssl x509 -subject -issuer -serial -noout

HSM 用戶端會驗證此憑證是否包含在 /opt/cloudhsm/etc/cert 目錄中的 CA 信任路徑中。cloudhsm-client 套件中包含兩個憑證，類似下列內容：

$ cd /opt/cloudhsm/etc/certs

$ ls
21a10654.0  712ff948.0

$ openssl x509 -subject -issuer -serial -noout -in 21a10654.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=AWS Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=B7FA7A40976CBE82

$ openssl x509 -subject -issuer -serial -noout -in 712ff948.0
subject= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
issuer= /C=US/ST=Virginia/L=Herndon/O=AWS/OU=Cryptography/CN=CloudHSM/emailAddress=cloudhsm-team@amazon.com
serial=A7525B285D1C2BB5

HSM 用戶端會將用戶端憑證傳送至 /opt/cloudhsm/etc/client.crt 目錄。用戶端憑證必須是包含在 /opt/cloudhsm/etc/customerCA.crt 目錄 中 CloudHSM 用戶端上 CA 憑證中的預設憑證。

伺服器會驗證這是預設憑證或 customerCA.crt 所簽發的憑證。

HSM TLS 連線

從第一個 TLS 連線層內建立從用戶端到 HSM 的第二個 TLS 連線。伺服器會傳送叢集初始化期間簽發的 CloudHSM 叢集憑證。使用下列命令下載憑證：

aws cloudhsmv2 describe-clusters --query "Clusters[?ClusterId=='<Cluster_ID>'].Certificates.ClusterCertificate" --output text

用戶端會驗證這是由 /opt/cloudhsm/etc/customerCA.crt 目錄中的 customerCA.crt 簽發的憑證。然後，用戶端會驗證與叢集中 HSM 的連線。

**注意：**伺服器憑證和 CloudHSM 叢集憑證無法變更或更新。

---

相關資訊

AWS CloudHSM 用戶端和軟體資訊