Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Stockage de certificats avec la bibliothèque PKCS \$111
<a name="pkcs11-certificate-storage"></a>

 La bibliothèque PKCS \$111 d'AWS CloudHSM prend en charge le stockage des certificats de clé publique en tant qu' « objets publics » (tels que définis dans PKCS \$111 2.40) sur des clusters hsm2m.medium. Cette fonctionnalité permet aux sessions PKCS \$111 publiques et privées de créer, récupérer, modifier et supprimer des certificats de clé publique. 

 Pour utiliser le stockage de certificats avec la bibliothèque PKCS \$111, vous devez l'activer dans la configuration de votre client. Une fois activé, vous pouvez gérer les objets de certificat depuis vos applications PKCS \$111. Les opérations qui s'appliquent à la fois au certificat et aux objets clés, tels que [C\$1 FindObjects](http://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/os/pkcs11-base-v2.40-os.html#_Toc323205461), renverront les résultats du stockage des clés et des certificats. 

**Topics**
+ [Activer le stockage des certificats](pkcs11-certificate-storage-configuration.md)
+ [API de stockage de certificats](pkcs11-certificate-storage-api.md)
+ [Attributs du certificat](pkcs11-certificate-storage-attributes.md)
+ [Journaux d'audit du stockage des certificats](pkcs11-certificate-storage-audit-logs.md)

# Activation du stockage des certificats
<a name="pkcs11-certificate-storage-configuration"></a>

 Vous pouvez activer le stockage de certificats sur les clusters hsm2m.medium à l'aide de l'outil de configuration de bibliothèque PKCS \$111. Cette fonctionnalité est disponible dans les versions 5.13 et ultérieures du SDK. Pour obtenir la liste des opérations qui prennent en charge le type d'objet de certificat, consultez[Opérations de l'API de stockage de certificats](pkcs11-certificate-storage-api.md). 

 Pour activer le stockage des certificats, procédez comme suit pour votre système d'exploitation : 

------
#### [ Linux ]
+ 

****Activer le stockage des certificats****  
Exécutez la commande suivante :

  ```
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --enable-certificate-storage
  ```

------
#### [ Windows ]
+ 

****Activer le stockage des certificats****  
Ouvrez une invite de commande et exécutez la commande suivante :

  ```
  PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --enable-certificate-storage
  ```

------

# Opérations de l'API de stockage de certificats
<a name="pkcs11-certificate-storage-api"></a>

 Les opérations PKCS \$111 suivantes prennent en charge le type d'objet de certificat (`CKO_CERTIFICATE`) : 

## Opérations générales de certification
<a name="general-certificate-operations"></a>

**`C_CreateObject`**  
Crée un nouvel objet de certificat.

**`C_DestroyObject`**  
Supprime un objet de certificat existant.

**`C_GetAttributeValue`**  
Obtient la valeur d'un ou de plusieurs attributs d'un objet de certificat.

**`C_SetAttributeValue`**  
Met à jour la valeur d'un ou de plusieurs attributs d'un objet de certificat.

## Opérations de recherche d'objets de certificat
<a name="certificate-object-search-operations"></a>

**`C_FindObjectsInit`**  
Lance une recherche d'objets de certificat.

**`C_FindObjects`**  
Poursuit la recherche d'objets de certificat.

**`C_FindObjectsFinal`**  
Met fin à la recherche d'objets de certificat.

# Attributs de stockage des certificats
<a name="pkcs11-certificate-storage-attributes"></a>

 Le tableau suivant répertorie les attributs d'objet de certificat pris en charge et leurs valeurs : 


| Attribut | Valeur par défaut | Description | 
| --- | --- | --- | 
| `CKA_CLASS` | Obligatoire | Doit indiquer `CKO_CERTIFICATE`. | 
| `CKA_TOKEN` | True |  Doit indiquer `True`. | 
| `CKA_MODIFIABLE` | True | Doit indiquer `True`. | 
| `CKA_PRIVATE` | False | Doit indiquer `False`. | 
| `CKA_LABEL` | Vide | Limite de 127 caractères. | 
| `CKA_COPYABLE` | False | Doit indiquer `False`. | 
| `CKA_DESTROYABLE` | True | Doit indiquer `True`. | 
| `CKA_CERTIFICATE_TYPE` | Obligatoire | Doit indiquer `CKC_X_509`. | 
| `CKA_TRUSTED` | False | Doit indiquer `False`. | 
| `CKA_CERTIFICATE_CATEGORY` | `CK_CERTIFICATE_CATEGORY_UNSPECIFIED` | Doit indiquer `CK_CERTIFICATE_CATEGORY_UNSPECIFIED`. | 
| `CKA_CHECK_VALUE` | Dérivé de `CKA_VALUE` | Réglé automatiquement en fonction de`CKA_VALUE`. | 
| `CKA_START_DATE` | Vide | Date « pas avant » du certificat. | 
| `CKA_END_DATE` | Vide | Date « non postérieure » du certificat. | 
| `CKA_PUBLIC_KEY_INFO` | Vide | La taille maximale est de 16 kilo-octets. | 
| `CKA_SUBJECT` | Obligatoire | L'objet du certificat. | 
| `CKA_ID` | Vide | La taille maximale est de 128 octets. L'unicité n'est pas imposée. | 
| `CKA_ISSUER` | Vide | L'émetteur du certificat. | 
| `CKA_SERIAL_NUMBER` | Vide | Numéro de série du certificat. | 
| `CKA_VALUE` | Obligatoire | La taille maximale est de 32 kilo-octets. | 

# Journaux d'audit du stockage des certificats
<a name="pkcs11-certificate-storage-audit-logs"></a>

 AWS CloudHSM écrit des journaux d'audit pour les opérations de stockage de certificats qui modifient les données dans un flux de journal CloudWatch Amazon Events distinct au sein du groupe de journaux de votre cluster CloudWatch . Ce flux de journal porte le nom du cluster, et non d'un HSM spécifique au sein du cluster. 

 Pour plus d'informations sur l'accès aux connexions d'audit CloudWatch, consultez[Utilisation d'Amazon CloudWatch Logs et AWS CloudHSM d'Audit Logs](get-hsm-audit-logs-using-cloudwatch.md). 

## Champs de saisie du journal
<a name="pkcs11-certificate-storage-audit-logs-fields"></a>

`object_handle`  
Identifiant unique de l'objet de certificat.

`op_code`  
L'opération effectuée ou tentée. Valeurs possibles :  
+ `CreateObject`
+ `DestroyObject`
+ `SetAttributeValues`

`response`  
`OK`si l'opération a réussi, ou l'un des types d'erreur suivants :  
+ `DuplicateAttribute`
+ `InvalidAttributeValue`
+ `ObjectNotFound`
+ `MaxObjectsReached`
+ `InternalFailure`

`attributes`  
Les attributs modifiés, le cas échéant.

`timestamp`  
Heure à laquelle l'opération s'est produite, en millisecondes depuis l'ère Unix.

## Exemples de journaux d’audit
<a name="pkcs11-certificate-storage-audit-logs-examples"></a>

### CreateObject exemple
<a name="pkcs11-certificate-storage-audit-logs-examples-create"></a>

```
{
    "object_handle": 463180677312929947,
    "op_code": "CreateObject",
    "response": "OK",
    "attributes": null,
    "timestamp": 1725482483671
}
```

### DestroyObject exemple
<a name="pkcs11-certificate-storage-audit-logs-examples-delete"></a>

```
{
    "object_handle": 463180677312929947,
    "op_code": "DestroyObject",
    "response": "OK",
    "attributes": null,
    "timestamp": 1725482484559
}
```

### SetAttributeValues exemple
<a name="pkcs11-certificate-storage-audit-logs-examples-set"></a>

```
{
    "object_handle": 463180678453346687,
    "op_code": "SetAttributeValues",
    "response": "OK",
    "attributes": [
        "Label"
    ],
    "timestamp": 1725482488004
}
```

### CreateObject Exemple infructueux
<a name="pkcs11-certificate-storage-audit-logs-examples-error"></a>

```
{
    "object_handle": null,
    "op_code": "CreateObject",
    "response": "MaxObjectsReached",
    "attributes": null,
    "timestamp": 1726084937125
}
```