Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Imposta l'autenticazione del quorum per AWS CloudHSM i funzionari crittografici
I seguenti argomenti descrivono i passaggi da completare per configurare il modulo di sicurezza hardware (HSM) in modo che i [responsabili AWS CloudHSM crittografici () possano utilizzare l'autenticazione quorum COs](understanding-users-cmu.md#crypto-officer). È necessario eseguire questi passaggi solo una volta quando si configura per la prima volta l'autenticazione del quorum per. COs Una volta completata questa procedura, consultare [Gestione degli utenti con autenticazione del quorum abilitata per AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md).
**Topics**
+ [
## Prerequisiti
](#quorum-crypto-officers-prerequisites)
+ [
## Passaggio 1. Creazione e registrazione di una chiave per la firma
](#quorum-crypto-officers-create-and-register-key)
+ [
## Passaggio 2. Impostazione del valore minimo del quorum sull'HSM
](#quorum-crypto-officers-set-quorum-minimum-value)
## Prerequisiti
Per comprendere questo esempio, è bene avere familiarità con lo [strumento a riga di comando cloudhsm\$1mgmt\$1util (CMU)](cloudhsm_mgmt_util.md). In questo esempio, il AWS CloudHSM cluster ne ha due HSMs, ognuna con la stessa COs caratteristica, come illustrato nel seguente output del **listUsers** comando. Per ulteriori informazioni sulla creazione degli utenti, vedere [Utenti HSM](manage-hsm-users.md).
```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 NO 0 NO
4 CO officer2 NO 0 NO
5 CO officer3 NO 0 NO
6 CO officer4 NO 0 NO
7 CO officer5 NO 0 NO
Users on server 1(10.0.1.4):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 NO 0 NO
4 CO officer2 NO 0 NO
5 CO officer3 NO 0 NO
6 CO officer4 NO 0 NO
7 CO officer5 NO 0 NO
```
## Passaggio 1. Creazione e registrazione di una chiave per la firma
Per utilizzare l'autenticazione del quorum, ogni CO deve eseguire *tutti* i seguenti passaggi:
**Topics**
+ [
### Creazione di una coppia di chiavi RSA
](#mofn-key-pair-create)
+ [
### Creazione e firma di un token di registrazione
](#mofn-registration-token)
+ [
### Registrazione della chiave pubblica con HSM
](#mofn-register-key)
### Creazione di una coppia di chiavi RSA
Esistono molti modi diversi per creare e proteggere una coppia di chiavi. Gli esempi a seguire mostrano come eseguire questa operazione con [OpenSSL](https://www.openssl.org/).
**Example - Creazione di una chiave privata con OpenSSL**
L'esempio seguente spiega come utilizzare OpenSSL per creare una chiave RSA a 2.048 bit protetta da una passphrase. Per utilizzare questo esempio, *officer1.key* sostituitelo con il nome del file in cui desiderate memorizzare la chiave.
```
$ openssl genrsa -out -aes256 2048
Generating RSA private key, 2048 bit long modulus
.....................................+++
.+++
e is 65537 (0x10001)
Enter pass phrase for officer1.key:
Verifying - Enter pass phrase for officer1.key:
```
Successivamente, genera la chiave pubblica utilizzando la chiave privata appena creata.
**Example - Creazione di una chiave pubblica con OpenSSL**
L'esempio seguente dimostra come utilizzare OpenSSL per creare una chiave pubblica dalla chiave privata appena creata.
```
$ openssl rsa -in officer1.key -outform PEM -pubout -out officer1.pub
Enter pass phrase for officer1.key:
writing RSA key
```
### Creazione e firma di un token di registrazione
Crea un token e firmalo con la chiave privata appena generata nella fase precedente.
**Example - Creazione di un token**
Il token di registrazione è semplicemente un file con dati casuali che non supera la dimensione massima di 245 byte. Firma il token con la chiave privata per dimostrare di avere accesso alla chiave privata. Il comando seguente utilizza echo per reindirizzare una stringa in un file.
```
$ echo > officer1.token
```
Firma il token e salvalo in un file di firma. Avrai bisogno del token firmato, del token non firmato e della chiave pubblica per registrare il CO come utente MofN nell'HSM.
**Example - Firma del token**
Utilizza OpenSSL e la chiave privata per firmare il token di registrazione e creare il file di firma.
```
$ openssl dgst -sha256 \
-sign officer1.key \
-out officer1.token.sig officer1.token
```
### Registrazione della chiave pubblica con HSM
Dopo aver creato una chiave, il CO deve registrare la parte pubblica della chiave (chiave pubblica) con l'HSM.
**Per registrare una chiave pubblica con l'HSM**
1. Per avviare lo strumento a riga di comando cloudhsm\$1mgmt\$1util, utilizza il comando seguente.
```
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
```
1. Utilizza il comando **loginHSM** per effettuare l'accesso all'HSM come CO. Per ulteriori informazioni, consulta [Gestione degli utenti HSM con CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).
1. Utilizza il comando **[registerQuorumPubKey](cloudhsm_mgmt_util-registerQuorumPubKey.md)** per registrare una chiave pubblica. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando **help registerQuorumPubKey**.
**Example - Registrazione di una chiave pubblica nell'HSM**
L'esempio seguente mostra come usare il comando **registerQuorumPubKey** nello strumento a riga di comando cloudhsm\$1mgmt\$1util per registrare una chiave pubblica CO con HSM. Per utilizzare questo comando, il CO deve accedere all'HSM. Sostituire questi valori con i propri valori:
```
aws-cloudhsm > registerQuorumPubKey CO
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************
Do you want to continue(y/n)? y
registerQuorumPubKey success on server 0(10.0.2.14)
```
****
Il percorso a un file che contiene un token di registrazione non firmato. Può contenere qualsiasi dato casuale con dimensioni massime del file pari a 245 byte.
Obbligatorio: sì
****
Il percorso di un file che contiene l'hash firmato dal meccanismo SHA256 \$1PKCS del token di registrazione.
Obbligatorio: sì
****
Il percorso al file che contiene la chiave pubblica di una coppia di chiavi simmetriche RSA-2048. Utilizza la chiave privata per firmare il token di registrazione.
Obbligatorio: sì
Dopo aver COs registrato le proprie chiavi pubbliche, l'output del **listUsers** comando lo mostra nella `MofnPubKey` colonna, come mostrato nell'esempio seguente.
```
aws-cloudhsm > listUsers
Users on server 0(10.0.2.14):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 YES 0 NO
4 CO officer2 YES 0 NO
5 CO officer3 YES 0 NO
6 CO officer4 YES 0 NO
7 CO officer5 YES 0 NO
Users on server 1(10.0.1.4):
Number of users found:7
User Id User Type User Name MofnPubKey LoginFailureCnt 2FA
1 PRECO admin NO 0 NO
2 AU app_user NO 0 NO
3 CO officer1 YES 0 NO
4 CO officer2 YES 0 NO
5 CO officer3 YES 0 NO
6 CO officer4 YES 0 NO
7 CO officer5 YES 0 NO
```
## Passaggio 2. Impostazione del valore minimo del quorum sull'HSM
*Per utilizzare l'autenticazione quorum per COs, un CO deve accedere all'HSM e quindi impostare il *valore minimo del quorum, noto anche come valore* m.* Questo è il numero minimo di approvazioni CO necessarie per l'esecuzione delle operazioni di gestione degli utenti HSM. Qualsiasi CO sull'HSM può impostare il valore minimo del quorum, compresi quelli COs che non hanno registrato una chiave per la firma. È possibile modificare il valore minimo del quorum in qualsiasi momento; per ulteriori informazioni, consultare [Modifica del valore minimo](quorum-authentication-crypto-officers-change-minimum-value.md).
**Per impostare il valore minimo del quorum sull'HSM**
1. Per avviare lo strumento a riga di comando cloudhsm\$1mgmt\$1util, utilizza il comando seguente.
```
$ /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
```
1. Utilizza il comando **loginHSM** per effettuare l'accesso all'HSM come CO. Per ulteriori informazioni, consulta [Gestione degli utenti HSM con CloudHSM Management Utility (CMU)](manage-hsm-users-cmu.md).
1. Utilizzare il comando **setMValue** per impostare il valore minimo del quorum. Per ulteriori informazioni, vedi l'esempio seguente oppure utilizza il comando **help setMValue**.
**Example - Impostazione del valore minimo del quorum sull'HSM**
Questo esempio utilizza un valore minimo del quorum pari a due. È possibile scegliere qualsiasi valore da due (2) a otto (8), fino al numero totale di COs sull'HSM. In questo esempio, l'HSM ne ha sei COs, quindi il valore massimo possibile è sei.
Per utilizzare il comando di esempio seguente, sostituite il numero finale (*2*) con il valore minimo del quorum preferito.
```
aws-cloudhsm > setMValue 3 <2>
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************
Do you want to continue(y/n)? y
Setting M Value(2) for 3 on 2 nodes
```
Nell'esempio precedente, il primo numero (3) identifica il *servizio HSM* di cui si sta impostando il valore minimo del quorum.
La tabella seguente elenca gli identificatori del servizio HSM con i relativi nomi, descrizioni e comandi inclusi nel servizio.
| Identificatori servizio | Nome del servizio | Descrizione del servizio | Comandi HSM |
| --- | --- | --- | --- |
| 3 | USER\$1MGMT | Gestione degli utenti HSM | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-first-time-setup.html) |
| 4 | MISC\$1CO | Servizio per CO vario | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/cloudhsm/latest/userguide/quorum-authentication-crypto-officers-first-time-setup.html) |
Per ottenere il valore minimo del quorum per un servizio, utilizzare il comando **getMValue**, come nell'esempio seguente.
```
aws-cloudhsm > getMValue 3
MValue of service 3[USER_MGMT] on server 0 : [2]
MValue of service 3[USER_MGMT] on server 1 : [2]
```
L'output del comando **getMValue** precedente mostra che il valore minimo del quorum per le operazioni di gestione degli utenti HSM (servizio 3) è ora due.
Una volta completata questa procedura, consultare [Gestione degli utenti con autenticazione del quorum abilitata per AWS CloudHSM Management Utility](quorum-authentication-crypto-officers.md).