Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Richten Sie die Quorum-Authentifizierung für AWS CloudHSM Crypto Officers ein
In den folgenden Themen werden die Schritte beschrieben, die Sie ausführen müssen, um Ihr Hardware-Sicherheitsmodul (HSM) so zu konfigurieren, dass AWS CloudHSM [Crypto Officers (COs) die Quorum-Authentifizierung verwenden](understanding-users-cmu.md#crypto-officer) können. Sie müssen diese Schritte nur einmal ausführen, wenn Sie die Quorumauthentifizierung für zum ersten Mal konfigurieren. COs Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit [Benutzerverwaltung mit aktivierter Quorum-Authentifizierung für AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md) fort.
**Topics**
+ [Voraussetzungen](#quorum-crypto-officers-prerequisites)
+ [Schritt 1. Erstellen und Registrieren eines Schlüssels für das Signieren](#quorum-crypto-officers-create-and-register-key)
+ [Schritt 2. Setzten des Quorum-Mindestwerts für das HSM](#quorum-crypto-officers-set-quorum-minimum-value)
## Voraussetzungen
Um dieses Beispiel zu verstehen, sollten Sie mit dem [cloudhsm\$1mgmt\$1util-Kommandozeilen-Tool (CMU)](cloudhsm_mgmt_util.md) vertraut sein. In diesem Beispiel hat der AWS CloudHSM Cluster zwei HSMs, von denen jeder dasselbe hat COs, wie in der folgenden Ausgabe des **listUsers** Befehls dargestellt. Weitere Informationen zum Erstellen von Benutzern finden Sie unter [HSM-Benutzer](manage-hsm-users.md).
```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 NO 0 NO
4 CO officer2 NO 0 NO
5 CO officer3 NO 0 NO
6 CO officer4 NO 0 NO
7 CO officer5 NO 0 NO
Users on server 1(10.0.1.4):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 NO 0 NO
4 CO officer2 NO 0 NO
5 CO officer3 NO 0 NO
6 CO officer4 NO 0 NO
7 CO officer5 NO 0 NO
```
## Schritt 1. Erstellen und Registrieren eines Schlüssels für das Signieren
Um die Quorumauthentifizierung zu verwenden, muss jeder CO *alle* der folgenden Schritte ausführen:
**Topics**
+ [Erstellen eines RSA-Schlüsselpaares](#mofn-key-pair-create)
+ [Erstellen und signieren Sie ein Registrierungstoken](#mofn-registration-token)
+ [Registrieren Sie den öffentlichen Schlüssel beim HSM](#mofn-register-key)
### Erstellen eines RSA-Schlüsselpaares
Es gibt viele verschiedene Möglichkeiten, ein Schlüsselpaar zu erstellen und zu schützen. In den folgenden Beispielen wird gezeigt, wie dies mit [OpenSSL](https://www.openssl.org/) durchgeführt wird.
**Example – Erstellen eines privaten Schlüssels mit OpenSSL**
Im folgenden Beispiel wird gezeigt, wie OpenSSL verwendet wird, um einen 2048-Bit-RSA-Schlüssel zu erstellen, der durch eine Pass-Phrase geschützt ist. Um dieses Beispiel zu verwenden, *officer1.key* ersetzen Sie es durch den Namen der Datei, in der Sie den Schlüssel speichern möchten.
```
$ openssl genrsa -out -aes256 2048
Generating RSA private key, 2048 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase for officer1.key:
Verifying - Enter pass phrase for officer1.key:
```
Generieren eines öffentlichen Schlüssels mit dem privaten Schlüssel, den Sie gerade erstellt haben.
**Example – Erstellen Sie einen öffentlichen Schlüssel mit OpenSSL**
Das folgende Beispiel zeigt, wie Sie OpenSSL verwenden, um einen öffentlichen Schlüssel aus dem privaten Schlüssel zu erstellen, den Sie gerade erstellt haben.
```
$ openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pub
Enter pass phrase for officer1.key:
writing RSA key
```
### Erstellen und signieren Sie ein Registrierungstoken
Sie erstellen ein Token und signieren es mit dem privaten Schlüssel, den Sie gerade im vorherigen Schritt generiert haben.
**Example – Erstellen Sie ein Token**
Das Registrierungstoken ist nur eine Datei mit beliebigen zufälligen Daten, die die maximale Größe von 245 Byte nicht überschreiten. Sie signieren das Token mit dem privaten Schlüssel, um nachzuweisen, dass Sie Zugriff auf den privaten Schlüssel haben. Der folgende Befehl verwendet Echo, um eine Zeichenfolge in eine Datei umzuleiten.
```
$ echo > officer1.token
```
Signieren Sie das Token und speichern Sie es in einer Signaturdatei. Sie benötigen das signierte Token, das unsignierte Token und den öffentlichen Schlüssel, um den CO als MoFN-Benutzer beim HSM zu registrieren.
**Example – Signieren Sie das Token**
Verwenden Sie OpenSSL und den privaten Schlüssel, um das Registrierungstoken zu signieren und die Signaturdatei zu erstellen.
```
$ openssl dgst -sha256 \
-sign officer1.key \
-out officer1.token.sig officer1.token
```
### Registrieren Sie den öffentlichen Schlüssel beim HSM
Nach dem Erstellen eines Schlüssels muss der CO den öffentlichen Teil des Schlüssels (den öffentlichen Schlüssel) beim HSM registrieren.
**So registrieren Sie einen öffentlichen Schlüssel bei dem HSM**
1. Starten Sie das Befehlszeilen-Toolcloudhsm\$1mgmt\$1util mit folgendem Befehl.
```
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
```
1. Verwenden Sie den Befehl **loginHSM**, um sich bei den HSMs als CO anzumelden. Weitere Informationen finden Sie unter [HSM-Benutzerverwaltung mit CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).
1. Verwenden Sie den Befehl **[registerQuorumPubKey](cloudhsm_mgmt_util-registerQuorumPubKey.md)**, um den öffentlichen Schlüssel zu registrieren. Weitere Informationen finden Sie im folgenden Beispiel. Alternativ können Sie auch den Befehl **help registerQuorumPubKey** ausführen.
**Example – Registrieren eines öffentlichen Schlüssels beim HSM**
Das folgende Beispiel zeigt, wie Sie mit dem Befehl **registerQuorumPubKey** im cloudhsm\$1mgmt\$1util-Befehlszeilen-Tool den öffentlichen Schlüssel eines COs beim HSM registrieren. Der CO muss bei dem HSM angemeldet sein, um diesen Befehl zu verwenden. Ersetzen Sie diese Werte durch Ihre eigenen Werte:
```
aws-cloudhsm > registerQuorumPubKey CO
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************
Do you want to continue(y/n)? y
registerQuorumPubKey success on server 0(10.0.2.14)
```
****
Der Pfad zu einer Datei, die ein unsigniertes Registrierungstoken enthält. Kann beliebige Daten mit einer maximalen Dateigröße von 245 Byte enthalten.
Erforderlich: Ja
****
Der Pfad zu einer Datei, die den vom SHA256 \$1PKCS-Mechanismus signierten Hash des Registrierungstokens enthält.
Erforderlich: Ja
****
Der Pfad zu der Datei, die den öffentlichen Schlüssel eines asymmetrischen RSA-2048-Schlüsselpaars enthält. Verwenden Sie den privaten Schlüssel, um das Registrierungstoken zu signieren.
Erforderlich: Ja
Nachdem alle ihre öffentlichen Schlüssel COs registriert haben, zeigt die Ausgabe des **listUsers** Befehls dies in der `MofnPubKey` Spalte an, wie im folgenden Beispiel gezeigt.
```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 YES 0 NO
4 CO officer2 YES 0 NO
5 CO officer3 YES 0 NO
6 CO officer4 YES 0 NO
7 CO officer5 YES 0 NO
Users on server 1(10.0.1.4):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 YES 0 NO
4 CO officer2 YES 0 NO
5 CO officer3 YES 0 NO
6 CO officer4 YES 0 NO
7 CO officer5 YES 0 NO
```
## Schritt 2. Setzten des Quorum-Mindestwerts für das HSM
*Um die Quorumauthentifizierung für zu verwenden COs, muss sich ein CO beim HSM anmelden und dann den *Quorum-Mindestwert festlegen, der auch als M-Wert* bezeichnet wird.* Dies ist die Mindestanzahl von CO-Genehmigungen, die erforderlich sind, um HSM-Benutzermanagement-Vorgänge auszuführen. Jeder CO auf dem HSM kann den Quorum-Mindestwert festlegen, auch diejenigen, COs die keinen Schlüssel zum Signieren registriert haben. Sie können den Quorum-Mindestwert jederzeit ändern. Weitere Informationen finden Sie unter [Ändern Sie den Mindestwert](quorum-authentication-crypto-officers-change-minimum-value.md).
**So legen Sie den Quorum-Mindestwert im HSM fest**
1. Starten Sie das Befehlszeilen-Toolcloudhsm\$1mgmt\$1util mit folgendem Befehl.
```
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
```
1. Verwenden Sie den Befehl **loginHSM**, um sich bei den HSMs als CO anzumelden. Weitere Informationen finden Sie unter [HSM-Benutzerverwaltung mit CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).
1. Verwenden Sie den **setMValue**-Befehl, um den Quorum-Mindestwert festzulegen. Weitere Informationen finden Sie im folgenden Beispiel. Alternativ können Sie auch den Befehl **help setMValue** ausführen.
**Example – Setzen des Quorum-Mindestwerts für das HSM**
In diesem Beispiel wird ein Quorum-Mindestwert von zwei verwendet. Sie können einen beliebigen Wert zwischen zwei (2) und acht (8) wählen, bis hin zur Gesamtzahl von COs auf dem HSM. In diesem Beispiel hat das HSM sechs COs, sodass der maximal mögliche Wert sechs ist.
Um den folgenden Beispielbefehl zu verwenden, ersetzen Sie die letzte Zahl (*2*) durch den bevorzugten Quorum-Mindestwert.
```
aws-cloudhsm > setMValue 3 <2>
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************
Do you want to continue(y/n)? y
Setting M Value(2) for 3 on 2 nodes
```
Im vorhergehenden Beispiel bestimmt die erste Zahl (3) den *HSM-Service*, dessen Quorum-Mindestwert Sie festlegen.
In der folgenden Tabelle sind die HSM-Dienstkennungen zusammen mit ihren Namen, Beschreibungen und den Befehlen aufgeführt, die im Dienst enthalten sind.
| Dienstkennung | Service-Name | Service description (Service-Beschreibung) | HSM-Befehle |
| --- | --- | --- | --- |
| 3 | USER\$1MGMT | HSM-Benutzerverwaltung | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-first-time-setup.html) |
| 4 | MISC\$1CO | Diverser CO-Service | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-first-time-setup.html) |
Um den Quorum-Mindestwert für einen Service abzurufen, verwenden Sie den **getMValue**-Befehl wie im folgenden Beispiel.
```
aws-cloudhsm > getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
```
Die Ausgabe aus dem vorausgehenden Befehl **getMValue** zeigt, dass der Quorum-Mindestwert für HSM-Benutzermanagement-Vorgänge (Service 3) jetzt zwei ist.
Nachdem Sie diese Schritte abgeschlossen haben, fahren Sie mit [Benutzerverwaltung mit aktivierter Quorum-Authentifizierung für AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md) fort.