기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에서 클러스터 HSM의 ID 및 신뢰성 확인 AWS CloudHSM (선택 사항)
클러스터를 초기화하려면 클러스터의 첫 번째 하드웨어 보안 모듈(HSM)에서 생성된 인증서 서명 요청(CSR)에 서명 AWS CloudHSM합니다. 이에 앞서 HSM의 ID와 신뢰성을 확인하고 싶을 수 있습니다.
**참고**
이 프로세스는 선택 사항입니다. 하지만 이 프로세스는 클러스터가 초기화될 때까지만 유효합니다. 클러스터가 초기화된 후에는 이 프로세스를 사용하여 인증서를 가져오거나 HSM을 확인할 수 없습니다.
다음 단계를 완료하여 클러스터의 첫 번째 HSM의 ID를 확인할 수 있습니다.
1. [인증서 및 CSR 가져오기](#get-certificates) – 이 단계에서는 HSM으로부터 세 개의 인증서와 CSR을 가져옵니다. 또한 루트 인증서 2개를 받습니다. 하나는에서 가져오 AWS CloudHSM 고 다른 하나는 HSM 하드웨어 제조업체에서 가져옵니다.
1. [인증서 체인 확인](#verify-certificate-chains) -이 단계에서는 두 개의 인증서 체인을 구성합니다. 하나는 AWS CloudHSM 루트 인증서이고 다른 하나는 제조업체 루트 인증서입니다. 그런 다음 이러한 인증서 체인을 사용하여 HSM 인증서를 확인하여 AWS CloudHSM 및 하드웨어 제조업체가 모두 HSM의 자격 증명과 신뢰성을 증명하는지 확인합니다.
1. [퍼블릭 키 비교](#compare-public-keys) – 이 단계에서는 HSM 인증서 및 클러스터 CSR에서 퍼블릭 키를 추출 및 비교하여 둘이 동일한지 확인합니다. 이렇게 하면 CSR가 신뢰할 수 있는 인증된 HSM에 의해 생성되었음에 안심할 수 있습니다.
다음 다이어그램은 CSR, 인증서 및 이들의 상호 관계를 보여줍니다. 다음에 나오는 목록은 각 인증서를 정의합니다.
![\[HSM 인증서 및 관계\]](http://docs.aws.amazon.com/ko_kr/cloudhsm/latest/userguide/images/hsm-certificate-relationships.png)
**AWS 루트 인증서**
이 인증서는 루트 인증서 AWS CloudHSM입니다.
**제조업체 루트 인증서**
이것은 하드웨어 제조업체의 루트 인증서입니다.
**AWS 하드웨어 인증서**
AWS CloudHSM 는 HSM 하드웨어가 플릿에 추가될 때이 인증서를 생성했습니다. 이 인증서는 하드웨어를 AWS CloudHSM 소유한를 어설션합니다.
**제조업체 하드웨어 인증서**
HSM 하드웨어 제조업체가 HSM 하드웨어를 생산할 때 이 인증서를 만들었습니다. 이 인증서는 제조업체가 하드웨어를 만들었음을 어셜션합니다.
**HSM 인증서**
HSM 인증서는 클러스터에서 처음 HSM을 생성할 때 FIPS 검증 하드웨어에 의해 생성됩니다. 이 인증서는 HSM 하드웨어가 HSM을 생성했음을 어셜션합니다.
**클러스터 CSR**
첫 번째 HSM이 클러스터 CSR을 생성합니다. [클러스터 CSR에 서명](initialize-cluster.md#sign-csr)할 때 클러스터를 클레임합니다. 그런 다음 서명된 CSR을 사용하여 [클러스터를 초기화](initialize-cluster.md#initialize)할 수 있습니다.
## 1단계. HSM에서 인증서 가져오기
HSM의 ID와 신뢰성을 확인하려면 CSR과 5개의 인증서를 얻는 것부터 시작합니다. HSM에서 세 개의 인증서를 가져옵니다.이 인증서는 [AWS CloudHSM 콘솔](https://console.aws.amazon.com/cloudhsm/), [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) 또는 AWS CloudHSM API에서 사용할 수 있습니다.
------
#### [ Console ]
**CSR 및 HSM 인증서를 가져오려면(콘솔)**
1. [https://console.aws.amazon.com/cloudhsm/home](https://console.aws.amazon.com/cloudhsm/home) AWS CloudHSM 콘솔을 엽니다.
1. 확인할 HSM의 클러스터 자격 증명 옆의 라디오 버튼을 선택합니다.
1. **작업**을 선택합니다. 드롭다운 메뉴에서 **초기화**를 선택합니다.
1. HSM을 생성하기 위한 [이전 단계](create-hsm.md)를 완료하지 않은 경우, 생성 중인 HSM의 가용 영역을 선택합니다. 그런 다음 **생성**을 선택합니다.
1. 인증서 및 CSR가 이미 있는 경우에는 이들을 다운로드할 수 있는 링크가 나타납니다.
![\[AWS CloudHSM 콘솔의 인증서 서명 요청 다운로드 페이지입니다.\]](http://docs.aws.amazon.com/ko_kr/cloudhsm/latest/userguide/images/download-csr-hsm-cert.png)
1. 각 링크를 선택하여 CSR 및 인증서를 다운로드하고 저장합니다. 후속 단계를 간소화하려면 모든 파일을 같은 디렉터리에 저장하고 기본 파일 이름을 사용합니다.
------
#### [ AWS CLI ]
**CSR 및 HSM 인증서를 가져오는 방법([AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/))**
+ 명령 프롬프트에서 **[describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html)** 명령을 네 번 실행하여 매번 CSR 및 다른 인증서를 추출하고 파일에 저장합니다.
1. 다음 명령을 실행하여 클러스터 CSR을 추출합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ClusterCsr' \
> _ClusterCsr.csr
```
1. 다음 명령을 실행하여 HSM 인증서를 추출합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.HsmCertificate' \
> _HsmCertificate.crt
```
1. 다음 명령을 실행하여 AWS 하드웨어 인증서를 추출합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.AwsHardwareCertificate' \
> _AwsHardwareCertificate.crt
```
1. 다음 명령을 실행하여 제조업체 하드웨어 인증서를 추출합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다.
```
$ aws cloudhsmv2 describe-clusters --filters clusterIds= \
--output text \
--query 'Clusters[].Certificates.ManufacturerHardwareCertificate' \
> _ManufacturerHardwareCertificate.crt
```
------
#### [ AWS CloudHSM API ]
**CSR 및 HSM 인증서 가져오기(AWS CloudHSM API)**
+ [https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) 요청을 전송한 다음, 응답에서 CSR 및 인증서를 추출하여 저장합니다.
------
## 2단계. 루트 인증서 가져오기
다음 단계에 따라 AWS CloudHSM 및 제조업체에 대한 루트 인증서를 가져옵니다. 루트 인증서 파일을 CSR 및 HSM 인증서 파일이 들어 있는 디렉터리에 저장합니다.
**AWS CloudHSM 및 제조업체 루트 인증서를 가져오려면**
1. AWS CloudHSM 루트 인증서 다운로드: [AWS\$1CloudHSM\$1Root-G1.zip](samples/AWS_CloudHSM_Root-G1.zip)
1. HSM 유형에 적합한 제조업체 루트 인증서를 다운로드합니다.
+ hsm1.medium 제조업체 루트 인증서: [liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquid_security_certificate.zip)
+ hsm2m.medium 제조업체 루트 인증서: [liquid\$1security\$1certificate.zip](https://www.marvell.com/content/dam/marvell/en/public-collateral/security-solutions/liquidsecurity2_ar_v1.zip)
**참고**
랜딩 페이지에서 각 인증서를 다운로드하려면 다음 링크를 사용합니다.
hsm1.medium의 [제조업체 루트 인증서](https://www.marvell.com/products/security-solutions/liquid-security-hsm-adapters-and-appliances/liquidsecurity-certificate.html) 랜딩 페이지
hsm2m.medium의 [제조업체 루트 인증서](https://www.marvell.com/products/security-solutions/nitrox-hs-adapters/liquidsecurity2-certificate-ls2-g-axxx-ar-f-bo-v1.html) 랜딩 페이지
[**Download Certificate**] 링크를 마우스 오른쪽 버튼으로 클릭한 후 [**Save Link As...**]를 선택해서 인증서 파일을 저장해야 할 수 있습니다.
1. 파일을 다운로드한 후 압축을 풉니다.
## 3단계. 인증서 체인 확인
이 단계에서는 두 개의 인증서 체인을 구성합니다. 하나는 AWS CloudHSM 루트 인증서이고 다른 하나는 제조업체 루트 인증서입니다. 그런 다음 OpenSSL을 사용하여 각 인증서 체인으로 HSM 인증서를 확인합니다.
인증서 체인을 생성하려면 Linux 셸을 엽니다. OpenSSL(대부분의 Linux 셸에서 제공)이 필요하고, 다운로드한 [루트 인증서](#get-root-certificates) 및 [HSM 인증서 파일](#get-certificates)이 필요합니다. 그러나이 단계에서는 AWS CLI 가 필요하지 않으며 쉘을 AWS 계정과 연결할 필요가 없습니다.
**AWS CloudHSM 루트 인증서로 HSM 인증서를 확인하려면**
1. 다운로드한 [루트 인증서](#get-root-certificates) 및 [HSM 인증서 파일](#get-certificates)을 저장한 디렉터리로 이동합니다. 다음 명령은 모든 인증서가 현재 디렉터리에 위치하고 기본 파일 이름을 사용한다고 가정합니다.
다음 명령을 사용하여 하드웨어 인증서와 AWS CloudHSM 루트 인증서를 순서대로 포함하는 AWS 인증서 체인을 생성합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다.
```
$ cat _AwsHardwareCertificate.crt \
AWS_CloudHSM_Root-G1.crt \
> _AWS_chain.crt
```
1. 다음 OpenSSL 명령을 사용하여 AWS 인증서 체인으로 HSM 인증서를 확인합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다.
```
$ openssl verify -CAfile _AWS_chain.crt _HsmCertificate.crt
_HsmCertificate.crt: OK
```
**제조업체 루트 인증서로 HSM 인증서를 확인하려면**
1. 다음 명령을 사용하여 제조업체 하드웨어 인증서와 제조업체 루트 인증서를 순서대로 포함시켜 인증서 체인을 생성합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다.
```
$ cat _ManufacturerHardwareCertificate.crt \
liquid_security_certificate.crt \
> _manufacturer_chain.crt
```
1. 다음 OpenSSL 명령을 사용하여 제조업체 인증서 체인으로 HSM 인증서를 확인합니다. **를 이전에 생성한 클러스터의 ID로 바꿉니다.
```
$ openssl verify -CAfile _manufacturer_chain.crt _HsmCertificate.crt
_HsmCertificate.crt: OK
```
## 4단계. 퍼블릭 키 추출 및 비교
OpenSSL을 사용하여 HSM 인증서 및 클러스터 CSR에서 퍼블릭 키를 추출 및 비교하여 둘이 동일한지 확인합니다.
퍼블릭 키를 비교하려면 Linux 셸을 사용합니다. 대부분의 Linux 셸에서 사용할 수 있는 OpenSSL이 필요하지만 AWS CLI 이 단계에서는이 필요하지 않습니다. 쉘을 AWS 계정과 연결할 필요가 없습니다.
**퍼블릭 키를 추출 및 비교하려면**
1. 다음 명령을 사용하여 HSM 인증서에서 퍼블릭 키를 추출합니다.
```
$ openssl x509 -in _HsmCertificate.crt -pubkey -noout > _HsmCertificate.pub
```
1. 다음 명령을 사용하여 클러스터 CSR에서 퍼블릭 키를 추출합니다.
```
$ openssl req -in _ClusterCsr.csr -pubkey -noout > _ClusterCsr.pub
```
1. 다음 명령을 사용하여 퍼블릭 키를 비교합니다. 퍼블릭 키들이 동일한 경우 다음 명령을 실행해도 출력이 생성되지 않습니다.
```
$ diff _HsmCertificate.pub _ClusterCsr.pub
```
HSM의 ID 및 신뢰성을 확인한 후에는 [클러스터 초기화](initialize-cluster.md)로 넘어갑니다.