Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Siapkan otentikasi kuorum untuk petugas kripto AWS CloudHSM
Topik berikut menjelaskan langkah-langkah yang harus Anda selesaikan untuk mengonfigurasi modul keamanan perangkat keras (HSM) Anda sehingga [petugas AWS CloudHSM kripto (COs)](understanding-users-cmu.md#crypto-officer) dapat menggunakan otentikasi kuorum. Anda perlu melakukan langkah-langkah ini hanya sekali ketika Anda pertama kali mengonfigurasi otentikasi kuorum untuk. COs Setelah Anda menyelesaikan langkah ini, lihat [Manajemen pengguna dengan otentikasi kuorum diaktifkan untuk Utilitas Manajemen AWS CloudHSM](quorum-authentication-crypto-officers.md).
**Topics**
+ [Prasyarat](#quorum-crypto-officers-prerequisites)
+ [Langkah 1. Buat dan daftarkan kunci untuk penandatanganan](#quorum-crypto-officers-create-and-register-key)
+ [Langkah 2. Tetapkan nilai minimum kuorum pada HSM](#quorum-crypto-officers-set-quorum-minimum-value)
## Prasyarat
Untuk memahami contoh ini, Anda harus familier dengan [cloudhsm\_mgmt\_util alat baris perintah (CMU)](cloudhsm_mgmt_util.md). Dalam contoh ini, AWS CloudHSM cluster memiliki dua HSMs, masing-masing dengan yang sama COs, seperti yang ditunjukkan pada output berikut dari **listUsers** perintah. Untuk informasi selengkapnya tentang membuat pengguna, lihat [Pengguna HSM](manage-hsm-users.md).
```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 NO 0 NO
4 CO officer2 NO 0 NO
5 CO officer3 NO 0 NO
6 CO officer4 NO 0 NO
7 CO officer5 NO 0 NO
Users on server 1(10.0.1.4):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 NO 0 NO
4 CO officer2 NO 0 NO
5 CO officer3 NO 0 NO
6 CO officer4 NO 0 NO
7 CO officer5 NO 0 NO
```
## Langkah 1. Buat dan daftarkan kunci untuk penandatanganan
Untuk menggunakan autentikasi kuorum, setiap CO harus melakukan *semua*langkah berikut:
**Topics**
+ [Buat key pair RSA](#mofn-key-pair-create)
+ [Membuat dan menandatangani token pendaftaran](#mofn-registration-token)
+ [Daftarkan kunci publik dengan HSM](#mofn-register-key)
### Buat key pair RSA
Ada banyak cara berbeda untuk membuat dan melindungi pasangan kunci. Contoh berikut menunjukkan cara melakukannya dengan [OpenSSL](https://www.openssl.org/).
**Example — Membuat kunci privat dengan OpenSSL**
Contoh berikut menunjukkan bagaimana menggunakan OpenSSL untuk membuat kunci RSA 2048-bit yang dilindungi oleh frase sandi. Untuk menggunakan contoh ini, ganti {{officer1.key}} dengan nama file tempat Anda ingin menyimpan kunci.
```
$ openssl genrsa -out {{}} -aes256 2048
Generating RSA private key, 2048 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase for officer1.key:
Verifying - Enter pass phrase for officer1.key:
```
Berikutnya, hasilkan kunci publik menggunakan kunci privat yang baru saja Anda buat.
**Example — Membuat kunci privat dengan OpenSSL**
Contoh berikut menunjukkan bagaimana menggunakan OpenSSL untuk membuat kunci publik dari kunci privat yang baru saja Anda buat.
```
$ openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pub
Enter pass phrase for officer1.key:
writing RSA key
```
### Membuat dan menandatangani token pendaftaran
Anda membuat token dan menandatanganinya dengan kunci privat yang baru saja Anda hasilkan pada langkah sebelumnya.
**Example — Buat token**
Token pendaftaran hanyalah sebuah file dengan data acak yang tidak melebihi ukuran maksimum 245 byte. Anda menandatangani token dengan kunci privat untuk menunjukkan bahwa Anda memiliki akses ke kunci privat. Perintah berikut menggunakan echo untuk mengalihkan string ke file.
```
$ echo {{}} > officer1.token
```
Tanda tangani token dan simpan ke file tanda tangan. Anda akan membutuhkan token ditandatangani, token belum ditandatangani, dan kunci publik untuk mendaftarkan CO sebagai pengguna MofN dengan HSM.
**Example — Tandatangani token**
Gunakan OpenSSL dan kunci privat untuk menandatangani token pendaftaran dan membuat file tanda tangan.
```
$ openssl dgst -sha256 \
-sign officer1.key \
-out officer1.token.sig officer1.token
```
### Daftarkan kunci publik dengan HSM
Setelah membuat kunci, CO harus mendaftarkan bagian publik dari kunci (kunci publik) dengan HSM.
**Untuk mendaftarkan kunci publik dengan HSM**
1. Gunakan perintah berikut untuk memulai alat baris perintah cloudhsm\_mgmt\_util.
```
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
```
1. Gunakan perintah **loginHSM** untuk masuk ke HSM sebagai pengguna CO. Untuk informasi selengkapnya, lihat [Manajemen pengguna HSM dengan CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).
1. Gunakan perintah **[registerQuorumPubKey](cloudhsm_mgmt_util-registerQuorumPubKey.md)** untuk mendaftarkan kunci publik. Untuk informasi selengkapnya, lihat contoh berikut atau gunakan perintah **help registerQuorumPubKey**.
**Example — Daftarkan kunci publik dengan HSM**
Contoh berikut menunjukkan cara menggunakan perintah **registerQuorumPubKey** di alat baris perintah cloudhsm\_mgmt\_util untuk mendaftar kunci publik CO dengan HSM. Untuk menggunakan perintah ini, CO harus login ke HSM. Ganti nilai-nilai ini dengan nilai Anda sendiri:
```
aws-cloudhsm > registerQuorumPubKey CO {{}} {{}} {{}} {{}}
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************
Do you want to continue(y/n)? y
registerQuorumPubKey success on server 0(10.0.2.14)
```
****
Jalur ke file yang berisi token pendaftaran belum ditandatangani. Dapat memiliki data acak ukuran file max 245 byte.
Wajib: Ya
****
Path ke file yang berisi mekanisme SHA256 \_PKCS ditandatangani hash dari token pendaftaran.
Wajib: Ya
****
Jalur ke file yang berisi kunci publik dari pasangan kunci RSA-2048 asimetris. Gunakan kunci privat untuk menandatangani token pendaftaran.
Wajib: Ya
Setelah semua COs mendaftarkan kunci publik mereka, output dari **listUsers** perintah menunjukkan ini di `MofnPubKey` kolom, seperti yang ditunjukkan pada contoh berikut.
```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 YES 0 NO
4 CO officer2 YES 0 NO
5 CO officer3 YES 0 NO
6 CO officer4 YES 0 NO
7 CO officer5 YES 0 NO
Users on server 1(10.0.1.4):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 YES 0 NO
4 CO officer2 YES 0 NO
5 CO officer3 YES 0 NO
6 CO officer4 YES 0 NO
7 CO officer5 YES 0 NO
```
## Langkah 2. Tetapkan nilai minimum kuorum pada HSM
*Untuk menggunakan otentikasi kuorum COs, CO harus masuk ke HSM dan kemudian menetapkan *nilai minimum kuorum, juga dikenal sebagai nilai* m.* Ini adalah jumlah minimum persetujuan CO yang diperlukan untuk melakukan operasi manajemen pengguna HSM. Setiap CO pada HSM dapat menetapkan nilai minimum kuorum, termasuk COs yang belum mendaftarkan kunci untuk penandatanganan. Anda dapat mengubah nilai minimum kuorum kapan saja; untuk informasi lebih lanjut, lihat[Ubah nilai minimum](quorum-authentication-crypto-officers-change-minimum-value.md).
**Untuk menetapkan nilai minimum kuorum pada HSM**
1. Gunakan perintah berikut untuk memulai alat baris perintah cloudhsm\_mgmt\_util.
```
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
```
1. Gunakan perintah **loginHSM** untuk masuk ke HSM sebagai pengguna CO. Untuk informasi selengkapnya, lihat [Manajemen pengguna HSM dengan CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).
1. Gunakan perintah **setMValue** untuk menetapkan nilai minimum kuorum. Untuk informasi selengkapnya, lihat contoh berikut atau gunakan perintah **help setMValue**.
**Example — Tetapkan nilai minimum kuorum pada HSM**
Contoh ini menggunakan nilai minimum kuorum dua. Anda dapat memilih nilai dari dua (2) hingga delapan (8), hingga jumlah total COs pada HSM. Dalam contoh ini, HSM memiliki enam COs, sehingga nilai maksimum yang mungkin adalah enam.
Untuk menggunakan perintah contoh berikut, ganti angka akhir ({{2}}) dengan nilai minimum kuorum yang disukai.
```
aws-cloudhsm > setMValue 3 {{<2>}}
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************
Do you want to continue(y/n)? y
Setting M Value(2) for 3 on 2 nodes
```
Dalam contoh sebelumnya, nomor pertama (3) mengidentifikasi *layanan HSM* yang nilai minimum kuorumnya Anda tetapkan.
Tabel berikut mencantumkan pengenal layanan HSM bersama dengan nama, deskripsi, dan perintah yang disertakan dalam layanan.
| Pengenal Layanan | Nama Layanan | Deskripsi Layanan | Perintah HSM |
| --- | --- | --- | --- |
| 3 | USER\_MGMT | Manajemen pengguna HSM | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-first-time-setup.html) |
| 4 | MISC\_CO | Layanan CO lainnya | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-first-time-setup.html) |
Untuk mendapatkan nilai minimum kuorum untuk layanan, gunakan perintah **getMValue**, seperti dalam contoh berikut.
```
aws-cloudhsm > getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
```
Output dari perintah **getMValue** sebelumnya menunjukkan bahwa nilai minimum kuorum untuk operasi manajemen pengguna HSM (layanan 3) sekarang dua.
Setelah Anda menyelesaikan langkah ini, lihat [Manajemen pengguna dengan otentikasi kuorum diaktifkan untuk Utilitas Manajemen AWS CloudHSM](quorum-authentication-crypto-officers.md).