Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Penyimpanan sertifikat dengan pustaka PKCS \$111 Pustaka AWS CloudHSM PKCS \$111 mendukung penyimpanan sertifikat kunci publik sebagai “objek publik” (sebagaimana didefinisikan dalam PKCS \$111 2.40) pada klaster hsm2m.medium. Fitur ini memungkinkan sesi PKCS \$111 publik dan pribadi untuk membuat, mengambil, memodifikasi, dan menghapus sertifikat kunci publik. Untuk menggunakan penyimpanan sertifikat dengan pustaka PKCS \$111, Anda harus mengaktifkannya dalam konfigurasi klien Anda. Setelah diaktifkan, Anda dapat mengelola objek sertifikat dari aplikasi PKCS \$111 Anda. Operasi yang berlaku untuk sertifikat dan objek kunci, seperti [C\$1 FindObjects](http://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/os/pkcs11-base-v2.40-os.html#_Toc323205461), akan mengembalikan hasil dari penyimpanan kunci dan sertifikat. **Topics** + [Aktifkan penyimpanan sertifikat](pkcs11-certificate-storage-configuration.md) + [API penyimpanan sertifikat](pkcs11-certificate-storage-api.md) + [Atribut sertifikat](pkcs11-certificate-storage-attributes.md) + [Log audit penyimpanan sertifikat](pkcs11-certificate-storage-audit-logs.md) # Mengaktifkan penyimpanan sertifikat Anda dapat mengaktifkan penyimpanan sertifikat pada klaster hsm2m.medium menggunakan alat konfigurasi pustaka PKCS \$111. Fitur ini tersedia dalam SDK versi 5.13 dan yang lebih baru. Untuk daftar operasi yang mendukung jenis objek sertifikat, lihat[Operasi API penyimpanan sertifikat](pkcs11-certificate-storage-api.md). Untuk mengaktifkan penyimpanan sertifikat, ikuti langkah-langkah berikut untuk sistem operasi Anda: ------ #### [ Linux ] + ****Aktifkan penyimpanan sertifikat**** Jalankan perintah berikut: ``` $ sudo /opt/cloudhsm/bin/configure-pkcs11 --enable-certificate-storage ``` ------ #### [ Windows ] + ****Aktifkan penyimpanan sertifikat**** Buka command prompt dan jalankan perintah berikut: ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --enable-certificate-storage ``` ------ # Operasi API penyimpanan sertifikat Operasi PKCS \$111 berikut mendukung tipe objek sertifikat ()`CKO_CERTIFICATE`: ## Operasi sertifikat umum **`C_CreateObject`** Membuat objek sertifikat baru. **`C_DestroyObject`** Menghapus objek sertifikat yang ada. **`C_GetAttributeValue`** Mendapat nilai satu atau lebih atribut dari objek sertifikat. **`C_SetAttributeValue`** Memperbarui nilai satu atau lebih atribut dari objek sertifikat. ## Operasi pencarian objek sertifikat **`C_FindObjectsInit`** Memulai pencarian objek sertifikat. **`C_FindObjects`** Melanjutkan pencarian objek sertifikat. **`C_FindObjectsFinal`** Mengakhiri pencarian objek sertifikat. # Atribut penyimpanan sertifikat Tabel berikut mencantumkan atribut objek sertifikat yang didukung dan nilainya: | Atribut | Nilai default | Deskripsi | | --- | --- | --- | | `CKA_CLASS` | Diperlukan | Harus berupa `CKO_CERTIFICATE`. | | `CKA_TOKEN` | True | Harus berupa `True`. | | `CKA_MODIFIABLE` | True | Harus berupa `True`. | | `CKA_PRIVATE` | False | Harus berupa `False`. | | `CKA_LABEL` | Kosong | Batasi 127 karakter. | | `CKA_COPYABLE` | False | Harus berupa `False`. | | `CKA_DESTROYABLE` | True | Harus berupa `True`. | | `CKA_CERTIFICATE_TYPE` | Diperlukan | Harus berupa `CKC_X_509`. | | `CKA_TRUSTED` | False | Harus berupa `False`. | | `CKA_CERTIFICATE_CATEGORY` | `CK_CERTIFICATE_CATEGORY_UNSPECIFIED` | Harus berupa `CK_CERTIFICATE_CATEGORY_UNSPECIFIED`. | | `CKA_CHECK_VALUE` | Berasal dari `CKA_VALUE` | Secara otomatis diatur berdasarkan`CKA_VALUE`. | | `CKA_START_DATE` | Kosong | Tanggal sertifikat 'tidak sebelum'. | | `CKA_END_DATE` | Kosong | Tanggal sertifikat 'tidak setelah'. | | `CKA_PUBLIC_KEY_INFO` | Kosong | Ukuran maksimum adalah 16 kilobyte. | | `CKA_SUBJECT` | Diperlukan | Subjek sertifikat. | | `CKA_ID` | Kosong | Ukuran maksimum adalah 128 byte. Keunikan tidak ditegakkan. | | `CKA_ISSUER` | Kosong | Penerbit sertifikat. | | `CKA_SERIAL_NUMBER` | Kosong | Nomor seri sertifikat. | | `CKA_VALUE` | Diperlukan | Ukuran maksimum adalah 32 kilobyte. | # Log audit penyimpanan sertifikat AWS CloudHSM menulis log audit untuk operasi penyimpanan sertifikat yang mengubah data ke aliran log Acara CloudWatch Amazon terpisah dalam grup log klaster CloudWatch Anda. Aliran log ini dinamai untuk cluster, bukan untuk HSM tertentu di dalam cluster. Untuk informasi tentang mengakses log audit CloudWatch, lihat[Bekerja dengan CloudWatch Log Amazon dan Log AWS CloudHSM Audit](get-hsm-audit-logs-using-cloudwatch.md). ## Bidang entri log `object_handle` Pengidentifikasi unik dari objek sertifikat. `op_code` Operasi dilakukan atau dicoba. Kemungkinan nilai: + `CreateObject` + `DestroyObject` + `SetAttributeValues` `response` `OK`jika operasi berhasil, atau salah satu dari jenis kesalahan berikut: + `DuplicateAttribute` + `InvalidAttributeValue` + `ObjectNotFound` + `MaxObjectsReached` + `InternalFailure` `attributes` Atribut dimodifikasi, jika ada. `timestamp` Waktu ketika operasi terjadi, dalam milidetik sejak zaman Unix. ## Contoh-contoh log Audit ### CreateObject contoh ``` { "object_handle": 463180677312929947, "op_code": "CreateObject", "response": "OK", "attributes": null, "timestamp": 1725482483671 } ``` ### DestroyObject contoh ``` { "object_handle": 463180677312929947, "op_code": "DestroyObject", "response": "OK", "attributes": null, "timestamp": 1725482484559 } ``` ### SetAttributeValues contoh ``` { "object_handle": 463180678453346687, "op_code": "SetAttributeValues", "response": "OK", "attributes": [ "Label" ], "timestamp": 1725482488004 } ``` ### Contoh yang tidak berhasil CreateObject ``` { "object_handle": null, "op_code": "CreateObject", "response": "MaxObjectsReached", "attributes": null, "timestamp": 1726084937125 } ```