Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS CloudHSM SSL/TLS offload pada Windows menggunakan IIS dengan KSP
Tutorial ini memberikan step-by-step instruksi untuk mengatur SSL/TLS offload dengan AWS CloudHSM pada server web Windows.
**Topics**
+ [Ikhtisar](#ssl-offload-windows-overview)
+ [Langkah 1: Siapkan prasyarat](#ssl-offload-prerequisites-windows)
+ [Langkah 2: Buat permintaan penandatanganan sertifikat (CSR) dan sertifikat](#ssl-offload-windows-create-csr-and-certificate)
+ [Langkah 3: Konfigurasikan server web](#ssl-offload-configure-web-server-windows)
+ [Langkah 4: Aktifkan lalu lintas HTTPS dan verifikasi sertifikat](#ssl-offload-enable-traffic-and-verify-certificate-windows)
## Ikhtisar
Pada Windows, aplikasi server web [Layanan Informasi Internet (IIS) untuk Windows Server](https://www.iis.net/) secara native mendukung HTTPS. [Penyedia penyimpanan AWS CloudHSM kunci (KSP) untuk Microsoft Cryptography API: Next Generation (CNG)](ksp-library.md) menyediakan antarmuka yang memungkinkan IIS untuk menggunakan HSMs di cluster Anda untuk pembongkaran kriptografi dan penyimpanan kunci. AWS CloudHSM KSP adalah jembatan yang menghubungkan IIS ke cluster Anda AWS CloudHSM .
Tutorial ini menunjukkan kepada Anda cara melakukan hal berikut:
+ Instal perangkat lunak server web pada instans Amazon EC2.
+ Atur konfigurasi perangkat lunak server web untuk mendukung HTTPS dengan kunci privat yang tersimpan di klaster AWS CloudHSM .
+ (Opsional) Gunakan Amazon EC2 untuk membuat instans server web kedua dan Elastic Load Balancing untuk membuat penyeimbang beban. Menggunakan penyeimbang beban dapat meningkatkan performa dengan mendistribusikan beban di beberapa server. Hal ini juga dapat memberikan redundansi dan ketersediaan yang lebih tinggi jika satu atau lebih server gagal.
Saat Anda siap memulai, buka [Langkah 1: Siapkan prasyarat](#ssl-offload-prerequisites-windows).
## Langkah 1: Siapkan prasyarat
Platform yang berbeda memerlukan prasyarat yang berbeda. Gunakan bagian prasyarat di bawah ini yang sesuai dengan platform Anda.
**Topics**
+ [Prasyarat untuk Klien SDK 5](#ssl-offload-prerequisites-windows-sdk5)
+ [Prasyarat untuk Klien SDK 3](#ssl-offload-prerequisites-windows-sdk3)
### Prasyarat untuk Klien SDK 5
Untuk mengatur SSL/TLS pembongkaran server web AWS CloudHSM, Anda memerlukan yang berikut ini:
+ AWS CloudHSM Cluster aktif dengan setidaknya satu HSM.
+ Instans Amazon EC2 menjalankan sistem operasi Windows dengan perangkat lunak berikut diinstal:
+ Perangkat lunak AWS CloudHSM klien untuk Windows.
+ Layanan Informasi Internet (IIS) untuk Windows Server.
+ [Pengguna kripto](understanding-users.md#crypto-user-chsm-cli) (CU) harus memiliki dan mengelola kunci privat server web pada HSM.
**catatan**
Tutorial ini menggunakan Microsoft Windows Server 2019. Microsoft Windows Server 2016 dan 2022 juga didukung.
**Untuk mengatur sebuah instans Windows Server dan membuat CU pada HSM**
1. Selesaikan langkah-langkah dalam [Mulai menggunakan](getting-started.md). Saat Anda meluncurkan klien Amazon EC2, pilih AMI Windows Server 2019. Ketika Anda menyelesaikan langkah-langkah ini, Anda memiliki klaster aktif dengan setidaknya satu HSM. Anda juga memiliki instans klien Amazon EC2 yang menjalankan Windows Server dengan perangkat lunak AWS CloudHSM klien untuk Windows diinstal.
1. (Opsional) Tambahkan lebih banyak HSMs ke cluster Anda. Untuk informasi selengkapnya, lihat [Menambahkan HSM ke cluster AWS CloudHSM](add-hsm.md).
1. Hubungkan ke server Windows Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.
1. Gunakan CloudHSM CLI untuk membuat pengguna kripto (CU). Lacak nama pengguna dan kata sandi CU. Anda akan membutuhkannya untuk menyelesaikan langkah berikutnya.
**catatan**
Untuk informasi tentang cara membuat pengguna, lihat [Mengelola pengguna HSM dengan CloudHSM](manage-hsm-users-chsm-cli.md) CLI.
1. [Atur kredensial login untuk HSM](ksp-library-authentication.md), menggunakan nama pengguna dan kata sandi CU yang Anda buat di langkah sebelumnya.
1. *Pada langkah 5, jika Anda menggunakan Windows Credentials Manager untuk mengatur kredensyal HSM, unduh [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)dari SysInternals untuk menjalankan perintah berikut sebagai NT Authority\\ SYSTEM:*
```
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username {{}} --password {{}}
```
Ganti {{}} dan {{}} dengan kredensyal HSM.
**Untuk menginstal IIS pada Windows Server Anda**
1. Jika Anda belum melakukannya, hubungkan ke server Windows server Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.
1. Pada server Windows Anda, mulai **Manager Server**.
1. Di dasbor **Server Manager**, pilih **Tambahkan peran dan fitur**.
1. Baca informasi **Sebelum Anda memulai**, kemudian pilih **Selanjutnya**.
1. Untuk **Jenis Instalasi**, pilih **Instalasi berbasis peran atau berbasis fitur**. Lalu, pilih **Selanjutnya**.
1. Untuk **Pemilihan Server**, pilih **Pilih server dari kolam server**. Lalu, pilih **Selanjutnya**.
1. Untuk **Peran Server**, lakukan hal berikut:
1. Pilih **Server Web (IIS)**.
1. Untuk **Tambahkan fitur yang diperlukan untuk Web Server (IIS)** Pilih **Tambahkan fitur**.
1. Pilih **Selanjutnya** untuk menyelesaikan pemilihan peran server.
1. Untuk **Fitur**, terima default. Lalu, pilih **Selanjutnya**.
1. Baca informasi **Peran Server Web (IIS)**. Lalu, pilih **Selanjutnya**.
1. Untuk **Pilih layanan peran**, terima default atau ubah pengaturan sesuai pilihan. Lalu, pilih **Selanjutnya**.
1. Untuk **Konfirmasi**, baca informasi konfirmasi. Lalu, pilih **Instal**.
1. Setelah penginstalan selesai, pilih **Tutup**.
Setelah Anda menyelesaikan langkah ini, buka [Langkah 2: Buat permintaan penandatanganan sertifikat (CSR) dan sertifikat](#ssl-offload-windows-create-csr-and-certificate).
### Prasyarat untuk Klien SDK 3
Untuk mengatur SSL/TLS pembongkaran server web AWS CloudHSM, Anda memerlukan yang berikut ini:
+ AWS CloudHSM Cluster aktif dengan setidaknya satu HSM.
+ Instans Amazon EC2 menjalankan sistem operasi Windows dengan perangkat lunak berikut diinstal:
+ Perangkat lunak AWS CloudHSM klien untuk Windows.
+ Layanan Informasi Internet (IIS) untuk Windows Server.
+ [Pengguna kripto](understanding-users.md#crypto-user-chsm-cli) (CU) harus memiliki dan mengelola kunci privat server web pada HSM.
**catatan**
Tutorial ini menggunakan Microsoft Windows Server 2016. Microsoft Windows Server 2012 juga didukung, tetapi Microsoft Windows Server 2012 R2 tidak.
**Untuk mengatur sebuah instans Windows Server dan membuat CU pada HSM**
1. Selesaikan langkah-langkah dalam [Mulai menggunakan](getting-started.md). Saat Anda meluncurkan klien Amazon EC2, pilih AMI Windows Server 2016 atau Windows Server 2012. Ketika Anda menyelesaikan langkah-langkah ini, Anda memiliki klaster aktif dengan setidaknya satu HSM. Anda juga memiliki instans klien Amazon EC2 yang menjalankan Windows Server dengan perangkat lunak AWS CloudHSM klien untuk Windows diinstal.
1. (Opsional) Tambahkan lebih banyak HSMs ke cluster Anda. Untuk informasi selengkapnya, lihat [Menambahkan HSM ke cluster AWS CloudHSM](add-hsm.md).
1. Hubungkan ke server Windows Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.
1. Gunakan CloudHSM CLI untuk membuat pengguna kripto (CU). Lacak nama pengguna dan kata sandi CU. Anda akan membutuhkannya untuk menyelesaikan langkah berikutnya.
**catatan**
Untuk informasi tentang cara membuat pengguna, lihat [Mengelola pengguna HSM dengan CloudHSM](manage-hsm-users-chsm-cli.md) CLI.
1. [Atur kredensial login untuk HSM](ksp-library-prereq.md), menggunakan nama pengguna dan kata sandi CU yang Anda buat di langkah sebelumnya.
1. *Pada langkah 5, jika Anda menggunakan Windows Credentials Manager untuk mengatur kredensyal HSM, unduh [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)dari SysInternals untuk menjalankan perintah berikut sebagai NT Authority\\ SYSTEM:*
```
psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username {{}} --password {{}}
```
Ganti {{}} dan {{}} dengan kredensyal HSM.
**Untuk menginstal IIS pada Windows Server Anda**
1. Jika Anda belum melakukannya, hubungkan ke server Windows server Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.
1. Pada server Windows Anda, mulai **Manager Server**.
1. Di dasbor **Server Manager**, pilih **Tambahkan peran dan fitur**.
1. Baca informasi **Sebelum Anda memulai**, kemudian pilih **Selanjutnya**.
1. Untuk **Jenis Instalasi**, pilih **Instalasi berbasis peran atau berbasis fitur**. Lalu, pilih **Selanjutnya**.
1. Untuk **Pemilihan Server**, pilih **Pilih server dari kolam server**. Lalu, pilih **Selanjutnya**.
1. Untuk **Peran Server**, lakukan hal berikut:
1. Pilih **Server Web (IIS)**.
1. Untuk **Tambahkan fitur yang diperlukan untuk Web Server (IIS)** Pilih **Tambahkan fitur**.
1. Pilih **Selanjutnya** untuk menyelesaikan pemilihan peran server.
1. Untuk **Fitur**, terima default. Lalu, pilih **Selanjutnya**.
1. Baca informasi **Peran Server Web (IIS)**. Lalu, pilih **Selanjutnya**.
1. Untuk **Pilih layanan peran**, terima default atau ubah pengaturan sesuai pilihan. Lalu, pilih **Selanjutnya**.
1. Untuk **Konfirmasi**, baca informasi konfirmasi. Lalu, pilih **Instal**.
1. Setelah penginstalan selesai, pilih **Tutup**.
Setelah Anda menyelesaikan langkah ini, buka [Langkah 2: Buat permintaan penandatanganan sertifikat (CSR) dan sertifikat](#ssl-offload-windows-create-csr-and-certificate).
## Langkah 2: Buat permintaan penandatanganan sertifikat (CSR) dan sertifikat
Untuk mengaktifkan HTTPS, server web Anda memerlukan SSL/TLS sertifikat dan kunci pribadi yang sesuai. Untuk menggunakan SSL/TLS offload dengan AWS CloudHSM, Anda menyimpan kunci pribadi di HSM di cluster Anda AWS CloudHSM . Untuk melakukannya, Anda menggunakan [penyedia penyimpanan kunci (KSP)AWS CloudHSM untuk API Kriptografi Microsoft: Next Generation (CNG)](ksp-v3-library.md) untuk membuat permintaan penandatanganan sertifikat (CSR). Kemudian, Anda memberikan CSR ke otoritas sertifikat (CA), yang menandatangani CSR untuk menghasilkan sertifikat.
**Topics**
+ [Membuat CSR dengan Client SDK 5](#ssl-offload-windows-create-csr-new-version)
+ [Membuat CSR dengan Client SDK 3](#ssl-offload-windows-create-csr-old-version)
+ [Dapatkan sertifikat yang ditandatangani dan impor](#ssl-offload-windows-create-certificate)
### Membuat CSR dengan Client SDK 5
1. Pada Windows Server Anda, gunakan editor teks untuk membuat file permintaan sertifikat bernama `IISCertRequest.inf`. Hal berikut menunjukkan isi contoh file `IISCertRequest.inf`. Untuk informasi lebih lanjut tentang bagian, kunci, dan nilai-nilai yang dapat Anda tentukan dalam file, lihat [Dokumentasi Microsoft](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certreq_1#BKMK_New). Jangan ubah nilai `ProviderName`.
```
[Version]
Signature = "$Windows NT$"
[NewRequest]
Subject = "CN=example.com,C=US,ST=Washington,L=Seattle,O=ExampleOrg,OU=WebServer"
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "CloudHSM Key Storage Provider"
KeyUsage = 0xf0
MachineKeySet = True
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
```
1. Gunakan [**certreq**perintah Windows](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certreq_1) untuk membuat CSR dari `IISCertRequest.inf` file yang Anda buat pada langkah sebelumnya. Contoh berikut menyimpan CSR ke file bernama `IISCertRequest.csr`. Jika Anda menggunakan nama file yang berbeda untuk file permintaan sertifikat Anda, ganti {{IISCertRequest.inf}} dengan nama file yang sesuai. Anda dapat mengganti secara opsional {{IISCertRequest.csr}} dengan nama file yang berbeda untuk file CSR Anda.
```
C:\>certreq -new {{IISCertRequest.inf}} {{IISCertRequest.csr}}
CertReq: Request Created
```
File `IISCertRequest.csr` berisi CSR Anda. Anda memerlukan CSR ini untuk mendapatkan sertifikat yang ditandatangani.
### Membuat CSR dengan Client SDK 3
1. Jika Anda belum melakukannya, hubungkan ke server Windows server Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.
1. Gunakan perintah berikut untuk memulai daemon AWS CloudHSM klien.
------
#### [ Amazon Linux ]
```
$ sudo start cloudhsm-client
```
------
#### [ Amazon Linux 2 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ CentOS 7 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ CentOS 8 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ RHEL 7 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ RHEL 8 ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Ubuntu 16.04 LTS ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Ubuntu 18.04 LTS ]
```
$ sudo service cloudhsm-client start
```
------
#### [ Windows ]
+ Untuk klien Windows 1.1.2\+:
```
C:\Program Files\Amazon\CloudHSM>net.exe start AWSCloudHSMClient
```
+ Untuk klien Windows 1.1.1 dan yang lebih lama:
```
C:\Program Files\Amazon\CloudHSM>start "cloudhsm_client" cloudhsm_client.exe C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
```
------
1. Pada Windows Server Anda, gunakan editor teks untuk membuat file permintaan sertifikat bernama `IISCertRequest.inf`. Hal berikut menunjukkan isi contoh file `IISCertRequest.inf`. Untuk informasi lebih lanjut tentang bagian, kunci, dan nilai-nilai yang dapat Anda tentukan dalam file, lihat [Dokumentasi Microsoft](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certreq_1#BKMK_New). Jangan ubah nilai `ProviderName`.
```
[Version]
Signature = "$Windows NT$"
[NewRequest]
Subject = "CN=example.com,C=US,ST=Washington,L=Seattle,O=ExampleOrg,OU=WebServer"
HashAlgorithm = SHA256
KeyAlgorithm = RSA
KeyLength = 2048
ProviderName = "Cavium Key Storage Provider"
KeyUsage = 0xf0
MachineKeySet = True
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
```
1. Gunakan [**certreq**perintah Windows](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certreq_1) untuk membuat CSR dari `IISCertRequest.inf` file yang Anda buat pada langkah sebelumnya. Contoh berikut menyimpan CSR ke file bernama `IISCertRequest.csr`. Jika Anda menggunakan nama file yang berbeda untuk file permintaan sertifikat Anda, ganti {{IISCertRequest.inf}} dengan nama file yang sesuai. Anda dapat mengganti secara opsional {{IISCertRequest.csr}} dengan nama file yang berbeda untuk file CSR Anda.
```
C:\>certreq -new {{IISCertRequest.inf}} {{IISCertRequest.csr}}
SDK Version: 2.03
CertReq: Request Created
```
File `IISCertRequest.csr` berisi CSR Anda. Anda memerlukan CSR ini untuk mendapatkan sertifikat yang ditandatangani.
### Dapatkan sertifikat yang ditandatangani dan impor
Di lingkungan produksi, Anda biasanya menggunakan sertifikat otoritas (CA) untuk membuat sertifikat dari CSR. CA tidak diperlukan untuk lingkungan pengujian. Jika Anda menggunakan CA, kirim file CSR (`IISCertRequest.csr`) ke sana dan gunakan CA untuk membuat SSL/TLS sertifikat yang ditandatangani.
Sebagai alternatif untuk menggunakan CA, Anda dapat menggunakan alat seperti [OpenSSL](https://www.openssl.org/) untuk membuat sertifikat yang ditandatangani sendiri.
**Awas**
Sertifikat yang ditandatangani sendiri tidak dipercaya oleh peramban dan tidak boleh digunakan dalam lingkungan produksi. Sertifikat dapat digunakan dalam lingkungan pengujian.
Prosedur berikut menunjukkan cara membuat sertifikat yang ditandatangani sendiri dan menggunakannya untuk menandatangani CSR server web Anda.
**Untuk membuat sertifikat yang ditandatangani sendiri**
1. Gunakan perintah OpenSSL berikut untuk membuat kunci privat. Anda dapat secara opsional mengganti {{SelfSignedCA.key}} dengan nama file untuk memuat kunci pribadi Anda.
```
openssl genrsa -aes256 -out {{SelfSignedCA.key}} 2048
Generating RSA private key, 2048 bit long modulus
......................................................................+++
.........................................+++
e is 65537 (0x10001)
Enter pass phrase for SelfSignedCA.key:
Verifying - Enter pass phrase for SelfSignedCA.key:
```
1. Gunakan berikut ini perintah OpenSSL untuk membuat sertifikat yang ditandatangani sendiri menggunakan kunci privat yang Anda buat pada langkah sebelumnya. Ini adalah perintah interaktif. Baca petunjuk di layar dan ikuti prompt-nya. Ganti {{SelfSignedCA.key}} dengan nama file yang berisi kunci pribadi Anda (jika berbeda). Anda dapat secara opsional mengganti {{SelfSignedCA.crt}} dengan nama file untuk berisi sertifikat yang ditandatangani sendiri.
```
openssl req -new -x509 -days 365 -key {{SelfSignedCA.key}} -out {{SelfSignedCA.crt}}
Enter pass phrase for SelfSignedCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:
```
**Untuk menggunakan sertifikat yang ditandatangani sendiri untuk menandatangani CSR server web**
+ Gunakan perintah OpenSSL berikut untuk menggunakan kunci privat dan sertifikat yang ditandatangani sendiri untuk menandatangani CSR. Ganti yang berikut dengan nama file yang berisi data yang sesuai (jika berbeda).
+ {{IISCertRequest.csr}}— Nama file yang berisi CSR server web Anda
+ {{SelfSignedCA.crt}}— Nama file yang berisi sertifikat yang ditandatangani sendiri
+ {{SelfSignedCA.key}}— Nama file yang berisi kunci pribadi Anda
+ {{IISCert.crt}}— Nama file yang berisi sertifikat yang ditandatangani server web Anda
```
openssl x509 -req -days 365 -in {{IISCertRequest.csr}} \
-CA {{SelfSignedCA.crt}} \
-CAkey {{SelfSignedCA.key}} \
-CAcreateserial \
-out {{IISCert.crt}}
Signature ok
subject=/ST=IIS-HSM/L=IIS-HSM/OU=IIS-HSM/O=IIS-HSM/CN=IIS-HSM/C=IIS-HSM
Getting CA Private Key
Enter pass phrase for SelfSignedCA.key:
```
Setelah Anda menyelesaikan langkah sebelumnya, Anda memiliki sertifikat yang ditandatangani untuk server web Anda (`IISCert.crt`) dan sertifikat yang ditandatangani sendiri (`SelfSignedCA.crt`). Bila Anda memiliki file-file ini, buka [Langkah 3: Konfigurasikan server web](#ssl-offload-configure-web-server-windows).
## Langkah 3: Konfigurasikan server web
Perbarui konfigurasi situs web IIS Anda untuk menggunakan sertifikat HTTPS yang Anda buat pada akhir [langkah sebelumnya](#ssl-offload-windows-create-csr-and-certificate). Ini akan menyelesaikan pengaturan perangkat lunak server web Windows (IIS) Anda untuk SSL/TLS dibongkar. AWS CloudHSM
Jika Anda menggunakan sertifikat yang ditandatangani sendiri untuk menandatangani CSR Anda, Anda harus terlebih dahulu mengimpor sertifikat yang ditandatangani sendiri ke Otoritas sertifikasi root tepercaya Windows.
**Untuk mengimpor sertifikat ditandatangani sendiri ke Otoritas Sertifikasi Tepercaya Windows**
1. Jika Anda belum melakukannya, hubungkan ke server Windows server Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.
1. Salin sertifikat yang ditandatangani sendiri ke server Windows Anda.
1. Pada Windows Server, buka **Panel Kontrol**.
1. Untuk **Cari Panel Kontrol**, ketik **certificates**. Kemudian, pilih **Kelola sertifikat komputer**.
1. Di jendela **Certificates - Local Computer**, klik dua kali **Otoritas Sertifikasi Root Tepercaya**.
1. Klik kanan pada **Sertifikat** lalu pilih **Semua Tugas**, **Impor**.
1. Di **Wizzard Impor Sertifikat**, Pilih **Selanjutnya**.
1. Pilih **Jelajahi**, lalu cari dan pilih sertifikat yang Anda tandatangani sendiri. Jika Anda membuat sertifikat yang ditandatangani sendiri dengan mengikuti petunjuk di [langkah sebelumnya dari tutorial ini](#ssl-offload-windows-create-csr-and-certificate), sertifikat yang Anda tandatangani sendiri diberi nama `SelfSignedCA.crt`. Pilih **Buka** .
1. Pilih **Selanjutnya**.
1. Untuk **Penyimpanan Sertifikat**, pilih **Tempatkan semua sertifikat di penyimpanan berikut**. Kemudian, pastikan bahwa **Otoritas Sertifikasi Root Tepercaya** dipilih untuk **Penyimpanan sertifikat**.
1. Pilih **Selanjutnua** dan kemudian pilih **Selesai**.
**Untuk memperbarui konfigurasi situs web IIS**
1. Jika Anda belum melakukannya, hubungkan ke server Windows server Anda. Untuk informasi selengkapnya, lihat [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) di *Panduan Pengguna Amazon EC2*.
1. Mulai daemon AWS CloudHSM klien.
1. Salin sertifikat yang ditandatangani oleh server web Anda—sertifikat yang Anda buat di akhir [langkah sebelumnya tutorial ini](#ssl-offload-windows-create-csr-and-certificate) —ke server Windows Anda.
1. Di Windows Server Anda, gunakan [**certreq**perintah Windows](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/certreq_1) untuk menerima sertifikat yang ditandatangani, seperti pada contoh berikut. Ganti {{IISCert.crt}} dengan nama file yang berisi sertifikat yang ditandatangani server web Anda.
```
C:\>certreq -accept {{IISCert.crt}}
SDK Version: 2.03
```
1. Pada server Windows Anda, mulai **Manager Server**.
1. Di dasbor **Server Manager**, di pojok kanan atas, pilih **Alat**, **Manajer Layanan Informasi Internet (IIS)**.
1. Di jendela **Manajer Layanan Informasi Internet (IIS)**, klik dua kali nama server Anda. Kemudian, klik dua kali **Situs**. Pilih situs web Anda.
1. Pilih **Pengaturan SSL**. Lalu, di sisi kanan jendela, pilih **Ikatan**.
1. Di jendela **Ikatan Situs**, pilih **Tambahkan**.
1. Untuk **Jenis**, pilih **HTTPS**. Untuk **Sertifikat SSL**, pilih sertifikat HTTPS yang Anda buat di akhir [langkah sebelumnya tutorial ini](#ssl-offload-windows-create-csr-and-certificate).
**catatan**
Jika Anda mengalami kesalahan selama pengikatan sertifikat ini, mulai ulang server Anda dan coba lagi langkah ini.
1. Pilih **OK**.
Setelah memperbarui konfigurasi server web, buka [Langkah 4: Aktifkan lalu lintas HTTPS dan verifikasi sertifikat](#ssl-offload-enable-traffic-and-verify-certificate-windows).
## Langkah 4: Aktifkan lalu lintas HTTPS dan verifikasi sertifikat
Setelah Anda mengonfigurasi server web untuk SSL/TLS dibongkar AWS CloudHSM, tambahkan instance server web Anda ke grup keamanan yang memungkinkan lalu lintas HTTPS masuk. Hal ini memungkinkan klien, seperti peramban web, untuk membuat koneksi HTTPS dengan server web Anda. Kemudian buat koneksi HTTPS ke server web Anda dan verifikasi bahwa itu menggunakan sertifikat yang Anda konfigurasikan untuk SSL/TLS dibongkar. AWS CloudHSM
**Topics**
+ [Aktifkan koneksi HTTPS masuk](#ssl-offload-add-security-group-windows)
+ [Verifikasi bahwa HTTPS menggunakan sertifikat yang Anda konfigurasikan](#ssl-offload-verify-https-connection-windows)
### Aktifkan koneksi HTTPS masuk
Untuk menyambungkan ke server web Anda dari klien (seperti peramban web), buat grup keamanan yang mengizinkan koneksi HTTPS masuk. Secara khusus, ini harus mengizinkan koneksi TCP masuk pada port 443. Tetapkan grup keamanan ini ke server web Anda.
**Untuk membuat grup keamanan untuk HTTPS dan menetapkannya ke server web Anda**
1. Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Pilih **Grup keamanan** di panel navigasi.
1. Pilih **Buat grup keamanan**.
1. Untuk **Buat Grup Keamanan**, lakukan hal berikut:
1. Untuk **Nama grup keamanan**, ketik nama untuk grup keamanan yang Anda buat.
1. (Opsional) Ketik deskripsi grup keamanan yang Anda buat.
1. Untuk **VPC**, pilih VPC yang berisi instans Amazon EC2 server web Anda.
1. Pilih **Tambahkan Aturan**.
1. Untuk **Type**, pilih **HTTPS** dari jendela drop-down.
1. Untuk **Sumber**, masukkan lokasi sumber.
1. Pilih **Buat grup keamanan**.
1. Di panel navigasi, pilih **Instans**.
1. Pilih kotak centang di samping instans server web Anda.
1. Pilih menu tarik-turun **Tindakan** di bagian atas halaman. Pilih **Keamanan** dan kemudian **Ubah Grup Keamanan**.
1. Untuk **grup keamanan terkait**, pilih kotak pencarian dan pilih grup keamanan yang Anda buat untuk HTTPS. Kemudian pilih **Tambahkan Grup Keamanan**.
1. Pilih **Simpan**.
### Verifikasi bahwa HTTPS menggunakan sertifikat yang Anda konfigurasikan
Setelah menambahkan server web ke grup keamanan, Anda dapat memverifikasi bahwa SSL/TLS offload menggunakan sertifikat yang ditandatangani sendiri. Anda dapat melakukan ini dengan peramban web atau dengan alat seperti [OpenSSL s\_client](https://www.openssl.org/docs/manmaster/man1/s_client.html).
**Untuk memverifikasi SSL/TLS offload dengan browser web**
1. Gunakan browser web untuk terhubung ke server web Anda menggunakan nama DNS publik atau alamat IP server. Pastikan URL di bilah alamat dimulai dengan https://. Misalnya, **https://ec2-52-14-212-67.us-east-2.compute.amazonaws.com/**.
**Tip**
Anda dapat menggunakan layanan DNS seperti Amazon Route 53 untuk merutekan nama domain situs web Anda (misalnya, https://www.example.com/) ke server web Anda. Untuk informasi selengkapnya, lihat [Perutean Lalu Lintas ke Instans Amazon EC2](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html)dalam *Panduan Developer Amazon Route 53 * atau dalam dokumentasi untuk layanan DNS Anda.
1. Gunakan peramban web Anda untuk melihat sertifikat server web. Untuk informasi lebih lanjut, lihat hal berikut:
+ Para Mozilla Firefox, lihat [Lihat Sertifikat](https://support.mozilla.org/en-US/kb/secure-website-certificate#w_view-a-certificate) di situs web Dukung Mozilla.
+ Untuk Google Chrome, lihat [Memahami Masalah Keamanan](https://developers.google.com/web/tools/chrome-devtools/security) pada Alat Google Tools untuk Pengembang Web.
Peramban web lain mungkin memiliki fitur serupa yang dapat Anda gunakan untuk melihat sertifikat server web.
1. Pastikan bahwa SSL/TLS sertifikat adalah salah satu yang Anda konfigurasi server web Anda untuk digunakan.
**Untuk memverifikasi SSL/TLS offload dengan OpenSSL s\_client**
1. Jalankan perintah OpenSSL berikut untuk terhubung ke server web Anda menggunakan HTTPS. Ganti {{}} dengan nama DNS publik atau alamat IP server web Anda.
```
openssl s_client -connect {{}}:443
```
**Tip**
Anda dapat menggunakan layanan DNS seperti Amazon Route 53 untuk merutekan nama domain situs web Anda (misalnya, https://www.example.com/) ke server web Anda. Untuk informasi selengkapnya, lihat [Perutean Lalu Lintas ke Instans Amazon EC2](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-ec2-instance.html)dalam *Panduan Developer Amazon Route 53 * atau dalam dokumentasi untuk layanan DNS Anda.
1. Pastikan bahwa SSL/TLS sertifikat adalah salah satu yang Anda konfigurasi server web Anda untuk digunakan.
Anda sekarang memiliki situs web yang diamankan dengan HTTPS. Kunci pribadi untuk server web disimpan dalam HSM di AWS CloudHSM cluster Anda.
Untuk menambahkan penyeimbang beban, lihat[Tambahkan penyeimbang beban dengan Elastic Load Balancing AWS CloudHSM untuk (opsional)](third-offload-add-lb.md).