Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Vérifiez l'identité et l'authenticité du HSM de votre cluster dans AWS CloudHSM (facultatif)
Pour initialiser votre cluster AWS CloudHSM, vous signez une demande de signature de certificat (CSR) générée par le premier module de sécurité matériel (HSM) du cluster. Avant cela, il se peut que vous vouliez vérifier l'identité et l'authenticité du HSM.
**Note**
Cette procédure est facultative. Cependant, elle fonctionne uniquement jusqu'à ce qu'un cluster soit initialisé. Une fois le cluster initialisé, vous ne pouvez pas utiliser ce processus pour obtenir les certificats ou vérifier les HSMs.
Pour vérifier l'identité du premier HSM de votre cluster, effectuez les étapes suivantes :
1. [Obtenir les certificats et la demande CSR](#get-certificates) Au cours de cette étape, vous obtenez trois certificats et une demande CSR auprès du HSM. Vous obtenez également deux certificats racine, l'un du fabricant du matériel HSM AWS CloudHSM et l'autre du fabricant.
1. [Vérifier les chaînes de certificats](#verify-certificate-chains) : au cours de cette étape, vous créez deux chaînes de certificats, l'une vers le certificat AWS CloudHSM racine et l'autre vers le certificat racine du fabricant. Ensuite, vous vérifiez le certificat HSM à l'aide de ces chaînes de certificats pour le déterminer AWS CloudHSM et le fabricant du matériel atteste de l'identité et de l'authenticité du HSM.
1. [Comparer les clés publiques](#compare-public-keys) Au cours de cette étape, vous allez extraire et comparer les clés publiques incluses dans le certificat HSM et la demande CSR du cluster pour vérifier qu'elles sont identiques. Vous pourrez ainsi être certain que la demande CSR a été générée par un HSM authentique et de confiance.
Le schéma suivant montre la demande CSR, les certificats et les relations qui les unissent. La liste suivante définit chaque certificat.
![\[Certificats HSM et leurs relations.\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/hsm-certificate-relationships.png)
**AWS Certificat racine**
C'est AWS CloudHSM le certificat racine.
**Certificat racine du fabricant**
Il s'agit du certificat racine du fabricant du matériel.
**AWS Certificat de matériel**
AWS CloudHSM a créé ce certificat lorsque le matériel HSM a été ajouté à la flotte. Ce certificat atteste que le matériel AWS CloudHSM est propriétaire.
**Certificat du fabricant du matériel**
Le fabricant du matériel HSM a créé ce certificat lorsqu'il a fabriqué le matériel HSM. Ce certificat atteste que le fabricant a créé le matériel.
**Certificat HSM**
Le certificat HSM est généré par le matériel validé FIPS lorsque vous créez le premier HSM du cluster. Ce certificat atteste que le matériel HSM a créé le HSM.
**CSR de cluster**
Le premier HSM crée le cluster CSR. Lorsque vous vous [connectez au cluster CSR](initialize-cluster.md#sign-csr), vous demandez le cluster. Ensuite, vous pouvez utiliser la CSR signée pour [initialiser le cluster](initialize-cluster.md#initialize).
## Étape 1. Obtention des certificats auprès du HSM
Pour vérifier l'identité et l'authenticité de votre HSM, commencez par obtenir une demande de signature de certificat et cinq certificats. Vous obtenez trois des certificats du HSM, ce que vous pouvez faire avec la [AWS CloudHSM console](https://console.aws.amazon.com/cloudhsm/), le [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) ou l' AWS CloudHSM API.
------
#### [ Console ]
**Pour obtenir les certificats HSM et la demande de signature de certificat (console)**
1. Ouvrez la AWS CloudHSM console à la [https://console.aws.amazon.com/cloudhsm/maison](https://console.aws.amazon.com/cloudhsm/home).
1. Sélectionnez le bouton radio en regard de l'ID du cluster avec le HSM que vous souhaitez vérifier.
1. Sélectionnez **Actions**. Dans le menu déroulant, choisissez **Initialiser**.
1. Si vous n'avez pas effectué l'[étape précédente](create-hsm.md) pour créer un HSM, choisissez une zone de disponibilité (AZ) pour le HSM que vous créez. Sélectionnez ensuite **Créer**.
1. Lorsque les certificats et la demande de signature de certificat sont prêts, des liens de téléchargement s'affichent.
![\[La page de demande de signature du certificat de téléchargement dans la AWS CloudHSM console.\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png)
1. Cliquez sur chaque lien pour télécharger et enregistrer la demande de signature de certificat et les certificats. Pour simplifier les étapes ultérieures, enregistrez tous les fichiers dans le même répertoire et utilisez les noms de fichier par défaut.
------
#### [ AWS CLI ]
**Pour obtenir la demande de signature de certificat et les certificats ([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ À l'invite de commande, exécutez la commande **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** quatre fois, en extrayant la CSR et les différents certificats à chaque fois, et en les enregistrant dans des fichiers.
1. Entrez la commande suivante pour extraire la CSR du cluster. **Remplacez-le par l'ID du cluster que vous avez créé précédemment.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ClusterCsr' \
> _ClusterCsr.csr
```
1. Entrez la commande suivante pour extraire le certificat HSM. **Remplacez-le par l'ID du cluster que vous avez créé précédemment.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.HsmCertificate' \
> _HsmCertificate.crt
```
1. Émettez la commande suivante pour extraire le certificat AWS matériel. **Remplacez-le par l'ID du cluster que vous avez créé précédemment.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.AwsHardwareCertificate' \
> _AwsHardwareCertificate.crt
```
1. Entrez la commande suivante pour extraire le certificat matériel du fabricant. **Remplacez-le par l'ID du cluster que vous avez créé précédemment.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \
> _ManufacturerHardwareCertificate.crt
```
------
#### [ AWS CloudHSM API ]
**Pour obtenir les certificats CSR et HSM (AWS CloudHSM API)**
+ Envoyez une demande [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html), puis extrayez ces éléments dans la réponse et enregistrez-les.
------
## Étape 2. Obtention des certificats racine
Procédez comme suit pour obtenir les certificats racines pour AWS CloudHSM et le fabricant. Enregistrez les fichiers du certificat racine dans le répertoire contenant les fichiers de certificat CSR et HSM.
**Pour obtenir les certificats racine AWS CloudHSM et ceux du fabricant**
1. Téléchargez le certificat AWS CloudHSM racine : [AWS\$1CloudHSM\$1Root-G1.zip](samples/AWS_CloudHSM_Root-G1.zip)
1. Téléchargez le certificat racine du fabricant adapté à votre type de HSM :
+ [Certificat racine du fabricant hsm1.medium : liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquid_security_certificate.zip)
+ [Certificat racine du fabricant hsm2m.medium : liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquidsecurity2_ar_v1.zip)
**Note**
Pour télécharger chaque certificat depuis sa page d'accueil, utilisez les liens suivants :
[Page de destination pour le certificat racine du fabricant de hsm1.medium](https://www.marvell.com/products/security-solutions/liquid-security-hsm-adapters-and-appliances/liquidsecurity-certificate.html)
[Page de destination pour le certificat racine du fabricant de hsm2m.medium](https://www.marvell.com/products/security-solutions/nitrox-hs-adapters/liquidsecurity2-certificate-ls2-g-axxx-ar-f-bo-v1.html)
Vous devrez peut-être cliquer avec le bouton droit de la souris sur le lien **Télécharger le certificat**, puis choisir **Enregistrer le lien sous...** pour enregistrer le fichier de certificat.
1. Après avoir téléchargé le fichier, extrayez (décompressez) son contenu.
## Étape 3. Vérification des chaînes de certificat
Au cours de cette étape, vous créez deux chaînes de certificats, l'une vers le certificat AWS CloudHSM racine et l'autre vers le certificat racine du fabricant. Utilisez ensuite OpenSSL pour vérifier le certificat HSM par rapport à chaque chaîne de certificats.
Pour créer les chaînes de certificats, ouvrez un shell Linux. Vous avez besoin d'OpenSSL, qui est disponible dans la plupart des shells Linux, et vous avez besoin du [certificat racine](#get-root-certificates) et des [fichiers de certificat HSM](#get-certificates) que vous avez téléchargés. Cependant, vous n'en avez pas besoin AWS CLI pour cette étape, et le shell n'a pas besoin d'être associé à votre AWS compte.
**Pour vérifier le certificat HSM avec le certificat AWS CloudHSM racine**
1. Naviguez vers le répertoire où vous avez enregistré le [certificat racine](#get-root-certificates) et les [fichiers de certificats HSM](#get-certificates) que vous avez téléchargés. Les commandes suivantes supposent que tous les certificats sont dans le répertoire actuel et qu'ils utilisent les noms de fichier par défaut.
Utilisez la commande suivante pour créer une chaîne de certificats qui inclut le certificat AWS matériel et le certificat AWS CloudHSM racine, dans cet ordre. **Remplacez-le par l'ID du cluster que vous avez créé précédemment.
```
$ cat _AwsHardwareCertificate.crt \
AWS_CloudHSM_Root-G1.crt \
> _AWS_chain.crt
```
1. Utilisez la commande OpenSSL suivante pour vérifier le certificat HSM avec la chaîne de certificat AWS . **Remplacez-le par l'ID du cluster que vous avez créé précédemment.
```
$ openssl verify -CAfile _AWS_chain.crt _HsmCertificate.crt
_HsmCertificate.crt: OK
```
**Pour vérifier le certificat HSM avec le certificat racine du fabricant**
1. Utilisez la commande suivante pour créer une chaîne de certificat qui inclut le certificat du matériel du fabricant, puis le certificat racine du fabricant. **Remplacez-le par l'ID du cluster que vous avez créé précédemment.
```
$ cat _ManufacturerHardwareCertificate.crt \
liquid_security_certificate.crt \
> _manufacturer_chain.crt
```
1. Utilisez la commande OpenSSL suivante pour vérifier le certificat HSM avec la chaîne de certificat du fabricant. **Remplacez-le par l'ID du cluster que vous avez créé précédemment.
```
$ openssl verify -CAfile _manufacturer_chain.crt _HsmCertificate.crt
_HsmCertificate.crt: OK
```
## Étape 4 : Extraction et comparaison des clés publiques
Utilisez OpenSSL pour extraire et comparer les clés publiques incluses dans le certificat HSM et la demande de signature de certificat du cluster, et vérifier qu'elles sont identiques.
Pour comparer les clés publiques, utilisez votre shell Linux. Vous avez besoin d'OpenSSL, qui est disponible dans la plupart des shells Linux, mais vous n'en avez pas besoin AWS CLI pour cette étape. Il n'est pas nécessaire d'associer le shell à votre AWS compte.
**Pour extraire et comparer les clés publiques**
1. Utilisez la commande suivante pour extraire la clé publique du certificat HSM.
```
$ openssl x509 -in _HsmCertificate.crt -pubkey -noout > _HsmCertificate.pub
```
1. Utilisez la commande suivante pour extraire la clé publique de la demande de signature de certificat du cluster.
```
$ openssl req -in _ClusterCsr.csr -pubkey -noout > _ClusterCsr.pub
```
1. Utilisez la commande suivante pour comparer les clés publiques. Si les clés publiques sont identiques, la commande suivante ne donne aucun résultat.
```
$ diff _HsmCertificate.pub _ClusterCsr.pub
```
Une fois que vous avez vérifié l'identité et l'authenticité du HSM, passez à [Initialiser le cluster](initialize-cluster.md).