Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Migrieren Sie Ihren Key Storage Provider (KSP) von AWS CloudHSM Client SDK 3 auf Client SDK 5
In diesem Thema wird erklärt, wie Sie Ihren [Key Storage Provider (KSP)](ksp-library.md) von AWS CloudHSM Client SDK 3 auf Client SDK 5 migrieren. Die neueste Version des AWS CloudHSM Client SDK ist 5.16. Informationen zu den Vorteilen der Migration finden Sie unter[Vorteile von AWS CloudHSM Client SDK 5](client-sdk-5-benefits.md).
In AWS CloudHSM verwenden Sie das AWS CloudHSM Client Software Development Kit (SDK), um kryptografische Operationen durchzuführen. Das Client SDK 5 ist das primäre SDK, das neue Funktionen und Updates zur Plattformunterstützung erhält.
Anweisungen zur Migration für alle Anbieter finden Sie unter[Migration von AWS CloudHSM Client SDK 3 zu Client SDK 5](client-sdk-migration.md).
## Migrieren Sie zum Client SDK 5
1. Beenden Sie den Client-Daemon für das Client SDK 3.
```
PS C:\> Stop-Service "AWS CloudHSM Client"
```
1. Installieren Sie den Client SDK 5 Key Storage Provider (KSP) auf Ihrer Windows Server-Instanz. Detaillierte Anweisungen finden Sie unter [Installieren Sie den Key Storage Provider (KSP) für AWS CloudHSM Client SDK 5](ksp-library-install.md).
1. Konfigurieren Sie Ihren Client SDK 5 Key Storage Provider (KSP) mithilfe des neuen Konfigurationsdateiformats und des Befehlszeilen-Bootstrappingtools. Detaillierte Anweisungen finden Sie unter [Bootstrap für das Client-SDK](cluster-connect.md#connect-how-to).
1. Der Key Storage Provider (KSP) für AWS CloudHSM Client SDK 5 umfasst einen SDK3 Kompatibilitätsmodus zur Unterstützung der wichtigsten Referenzdateien, die in generiert wurden. SDK3 Weitere Informationen finden Sie unter [SDK3 Kompatibilitätsmodus für Key Storage Provider (KSP) für AWS CloudHSM](ksp-library-configs-sdk3-compatibility-mode.md).
**Anmerkung**
Sie müssen den SDK3 Kompatibilitätsmodus aktivieren, wenn Sie vom Client SDK 3 generierte Schlüsselreferenzdateien mit Client SDK 5 verwenden.
## Migrieren Sie zu neuen Windows Server-Instanzen
1. Führen Sie alle Schritte unter [Migration zu Client SDK 5](#ksp-migrate-steps) auf Ihren neuen Windows Server-Instanzen durch.
1.
**Suchen Sie nach vorhandenen wichtigen Referenzdateien**
Suchen Sie auf Ihrer ursprünglichen Windows Server-Instanz unter nach wichtigen Referenzdateien`C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition`.
+ Wenn wichtige Referenzdateien vorhanden sind, kopieren Sie den gesamten Inhalt unter `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP` including `GlobalPartition` in denselben Verzeichnispfad auf Ihrer neuen Windows Server-Instanz. Erstellen Sie das Verzeichnis, falls es nicht existiert.
+ Wenn wichtige Referenzdateien nicht existieren, verwenden Sie sie `cloudhsm-cli key generate-file --encoding ksp-key-reference` auf Ihrer neuen Windows Server-Instanz, um sie zu erstellen. Detaillierte Anweisungen finden Sie unter [Generieren von KSP-Schlüsselreferenzen (Windows)](cloudhsm_cli-key-generate-file.md#key-generate-ksp-key-reference).
1.
**Überprüfen Sie das Stammzertifikat**
Überprüfen Sie Ihr Stammzertifikat bei den vertrauenswürdigen Stammzertifizierungsstellen:
```
PS C:\Users\Administrator\Desktop> certutil -store Root
Root "Trusted Root Certification Authorities"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
NotBefore: 2/5/2020 1:38 PM
NotAfter: 2/5/2021 1:48 PM
Issuer: CN=MYRootCA
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): cert-hash
No key provider information
Cannot find the certificate and private key for decryption.
CertUtil: -store command completed successfully.
```
**Anmerkung**
Notieren Sie sich die Seriennummer des Zertifikats zur Verwendung im nächsten Schritt.
1.
**Exportieren Sie das Stammzertifikat**
Exportieren Sie das Stammzertifikat in eine Datei:
```
certutil -store Root certificate-serial-number root-certificate-name.cer
```
1.
**Überprüfen Sie das HSM-Backend-Zertifikat**
Überprüfen Sie Ihr HSM-Backend-Zertifikat im Personal Certificate Store:
```
PS C:\Users\Administrator\Desktop> certutil -store My
my "Personal"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
NotBefore: 2/5/2020 1:38 PM
NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): cert-hash
Key Container = key-container-name
Provider = Cavium Key Storage Provider
Private key is NOT exportable
Encryption test passed
CertUtil: -store command completed successfully.
```
**Anmerkung**
Notieren Sie sich die Seriennummer des Zertifikats zur Verwendung im nächsten Schritt.
1.
**Exportieren Sie das HSM-Backend-Zertifikat**
Exportieren Sie das HSM-Backend-Zertifikat in eine Datei:
```
certutil -store My certificate-serial-number signed-certificate-name.cer
```
1.
**Stammzertifikat importieren**
Auf Ihrer neuen Windows-Instanz:
1. Kopieren Sie die Root-CA-Datei auf Ihre neue Windows-Instanz
1. Importieren Sie das Zertifikat:
```
certutil -addstore Root root-certificate-name.cer
```
1.
**Überprüfen Sie die Installation des Stammzertifikats**
Stellen Sie sicher, dass das Stammzertifikat ordnungsgemäß installiert ist:
```
PS C:\Users\Administrator\Desktop> certutil -store Root
Root "Trusted Root Certification Authorities"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
NotBefore: 2/5/2020 1:38 PM
NotAfter: 2/5/2021 1:48 PM
Issuer: CN=MYRootCA
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): cert-hash
No key provider information
Cannot find the certificate and private key for decryption.
CertUtil: -store command completed successfully.
```
1.
**HSM-Backend-Zertifikat importieren**
Auf Ihrer neuen Windows-Instanz:
1. Kopieren Sie das HSM-Backend-Zertifikat auf Ihre neue Windows-Instanz
1. Importieren Sie das Zertifikat:
```
certutil -addstore My signed-certificate-name.cer
```
1.
**Überprüfen Sie die Installation des HSM-Backend-Zertifikats**
Stellen Sie sicher, dass das HSM-Backend-Zertifikat ordnungsgemäß installiert ist:
```
PS C:\Users\Administrator\Desktop> certutil -store My
my "Personal"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
NotBefore: 2/5/2020 1:38 PM
NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): cert-hash
No key provider information
Cannot find the certificate and private key for decryption.
CertUtil: -store command completed successfully.
```
**Anmerkung**
Notieren Sie sich die Seriennummer des Zertifikats zur Verwendung in den nachfolgenden Schritten.
1.
**Erstellen Sie eine Schlüsselreferenzdatei (optional)**
Führen Sie diesen Schritt nur aus, wenn Sie eine neue Schlüsselreferenzdatei erstellen müssen. Andernfalls fahren Sie mit dem nächsten Schritt fort.
**Anmerkung**
Diese Funktion ist nur in SDK-Version 5.16.0 und höher verfügbar.
1. Installiere [OpenSSL](https://slproweb.com/products/Win32OpenSSL.html) und entpacke den Modulus:
```
openssl x509 -in signed-certificate-name.cer -modulus -noout
```
**Anmerkung**
Der OpenSSL-Befehl gibt den Modulus im folgenden Format aus:. `Modulus=modulus-value` Beachten Sie das *modulus-value* für die Verwendung im nächsten Befehl.
1. Erstellen Sie eine Schlüsselreferenzdatei mit der CloudHSM-CLI, siehe: [Generieren von KSP-Schlüsselreferenzen (Windows)](cloudhsm_cli-key-generate-file.md#key-generate-ksp-key-reference)
```
& "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" key generate-file --encoding ksp-key-reference --filter attr.class=private-key attr.modulus=0xmodulus-value
```
**Anmerkung**
Den Befehlsargumenten *modulus-value* in CloudHSM CLI muss ein Präfix vorangestellt werden, `0x` um das Hexadezimalformat anzugeben.
Wichtige Referenzdateien werden in erstellt. `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition`
1.
**Reparaturkonfiguration erstellen**
Erstellen Sie eine Datei mit dem Namen `repair.txt` und dem folgenden Inhalt:
```
[Properties]
11 = "" ; Add friendly name property
2 = "{text}" ; Add Key Provider Information property
_continue_="Container=key-container-name&"
_continue_="Provider=Cavium Key Storage Provider&"
_continue_="Flags=0&"
_continue_="KeySpec=2"
```
**Anmerkung**
*key-container-name*Ersetzen Sie es durch den Schlüsselreferenzdateinamen von`C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition`.
1.
**Reparieren Sie den Zertifikatsspeicher**
Führen Sie den Reparaturbefehl aus:
```
certutil -repairstore My certificate-serial-number repair.txt
```
**Anmerkung**
Die Seriennummer des Zertifikats wurde anhand der vorherigen Schritte bei der Überprüfung der Installation des HSM-Backend-Zertifikats abgerufen.
1.
**Überprüfen Sie die Zertifikatszuweisung**
Stellen Sie sicher, dass das Zertifikat ordnungsgemäß verknüpft ist:
```
PS C:\Users\Administrator\Desktop> certutil -store My
my "Personal"
================ Certificate 0 ================
Serial Number: certificate-serial-number
Issuer: CN=MYRootCA
NotBefore: 2/5/2020 1:38 PM
NotAfter: 2/5/2021 1:48 PM
Subject: CN=www.mydomain.com, OU=Certificate Management, O=Information Technology, L=Houston, S=Texas, C=US
Non-root Certificate
Cert Hash(sha1): cert-hash
Key Container = key-container-name
Provider = Cavium Key Storage Provider
Private key is NOT exportable
ERROR: Could not verify certificate public key against private key
CertUtil: -store command completed successfully.
```
Stellen Sie sicher, dass die Ausgabe Folgendes anzeigt:
+ Der richtige Name des Schlüsselcontainers
+ Der Cavium-Schlüsselspeicheranbieter
+ Das `ERROR: Could not verify certificate public key against private key` ist ein bekanntes Problem, siehe [Problem: Die Überprüfung eines Zertifikatsspeichers schlägt fehl](ki-ksp-sdk.md#ki-ksp-1)
1.
**Testen Sie Ihre Anwendung**
Bevor Sie die Migration abschließen:
1. Testen Sie Ihre Anwendung in Ihrer Entwicklungsumgebung
1. Aktualisieren Sie Ihren Code, um alle wichtigen Änderungen zu beheben
1. Anwendungsspezifische Anleitungen finden Sie unter [Integration von Drittanbieteranwendungen mit AWS CloudHSM](third-party-applications.md)
## Überprüfen Sie die Migration
Stellen Sie nach Abschluss der Migrationsschritte sicher, dass:
+ Ihre Zertifikate sind ordnungsgemäß in den richtigen Zertifikatsspeichern installiert
+ Die wichtigsten Referenzdateien befinden sich am richtigen Speicherort
+ Ihre Anwendung kann mithilfe der migrierten Zertifikate kryptografische Operationen ausführen
## Fehlerbehebung
Wenn bei der Migration Probleme auftreten, überprüfen Sie Folgendes:
+ Alle Zertifikate werden ordnungsgemäß aus dem Quellsystem exportiert
+ Die Seriennummern der Zertifikate stimmen zwischen den Systemen überein
+ Die Namen der Schlüsselcontainer in der Datei repair.txt stimmen mit Ihren wichtigsten Referenzdateien überein
+ SDK3 Der Kompatibilitätsmodus ist aktiviert, wenn mit SDK3 -generierte Schlüsselreferenzdateien verwendet werden
## Verwandte Themen
+ [Bewährte Methoden für AWS CloudHSM](best-practices.md)