As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Armazenamento de certificados com a biblioteca PKCS \$111
<a name="pkcs11-certificate-storage"></a>

 A biblioteca AWS CloudHSM PKCS \$111 é compatível com o armazenamento de certificados de chave pública como “objetos públicos” (conforme definido no PKCS \$111 2.40) em clusters hsm2m.medium. Esse atributo permite que sessões públicas e privadas do PKCS \$111 criem, recuperem, modifiquem e excluam certificados de chave pública. 

 Para usar o armazenamento de certificados com a biblioteca PKCS \$111, você precisa habilitá-lo na configuração do seu cliente. Depois de habilitado, você pode gerenciar objetos de certificado de suas aplicações PKCS \$111. As operações que se aplicam tanto ao certificado quanto aos objetos de chave, como [C\$1 FindObjects](http://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/os/pkcs11-base-v2.40-os.html#_Toc323205461), retornarão resultados do armazenamento da chave e do certificado. 

**Topics**
+ [Ativar o armazenamento de certificados](pkcs11-certificate-storage-configuration.md)
+ [API de armazenamento de certificados](pkcs11-certificate-storage-api.md)
+ [Atributos de certificado](pkcs11-certificate-storage-attributes.md)
+ [Logs de auditoria de armazenamento de certificados](pkcs11-certificate-storage-audit-logs.md)

# Ativar o armazenamento de certificados
<a name="pkcs11-certificate-storage-configuration"></a>

 Você pode ativar o armazenamento de certificados em clusters hsm2m.medium usando a ferramenta de configuração da biblioteca PKCS \$111. Esse atributo só está disponível no SDK versões 5.13 e posteriores. Para obter uma lista de operações que oferecem suporte ao tipo de objeto de certificado, consulte [Operações da API de armazenamento de certificados](pkcs11-certificate-storage-api.md). 

 Para ativar o armazenamento de certificados, siga estas etapas para seu sistema operacional: 

------
#### [ Linux ]
+ 

****Ativar o armazenamento de certificados****  
Execute este comando: .

  ```
  $ sudo /opt/cloudhsm/bin/configure-pkcs11 --enable-certificate-storage
  ```

------
#### [ Windows ]
+ 

****Ativar o armazenamento de certificados****  
Abra um prompt de comando e execute o seguinte comando:

  ```
  PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --enable-certificate-storage
  ```

------

# Operações da API de armazenamento de certificados
<a name="pkcs11-certificate-storage-api"></a>

 As seguintes operações do PKCS \$111 oferecem suporte ao tipo de objeto certificado (`CKO_CERTIFICATE`): 

## Operações gerais de certificado
<a name="general-certificate-operations"></a>

**`C_CreateObject`**  
Cria um objeto de certificado.

**`C_DestroyObject`**  
Exclui um objeto de certificado existente.

**`C_GetAttributeValue`**  
Obtém o valor de um ou mais atributos de um objeto de certificado.

**`C_SetAttributeValue`**  
Atualiza o valor de um ou mais atributos de um objeto de certificado.

## Operações de pesquisa de objetos de certificado
<a name="certificate-object-search-operations"></a>

**`C_FindObjectsInit`**  
Inicia uma pesquisa por objetos de certificado.

**`C_FindObjects`**  
Continua uma pesquisa por objetos de certificado.

**`C_FindObjectsFinal`**  
Encerra uma pesquisa por objetos de certificado.

# Atributos de armazenamento de certificados
<a name="pkcs11-certificate-storage-attributes"></a>

 A tabela a seguir lista os atributos do objeto de certificado compatíveis e seus valores: 


| Atributo | Valor padrão  | Description | 
| --- | --- | --- | 
| `CKA_CLASS` | Obrigatório | Deve ser `CKO_CERTIFICATE`. | 
| `CKA_TOKEN` | Verdadeiro |  Deve ser `True`. | 
| `CKA_MODIFIABLE` | Verdadeiro | Deve ser `True`. | 
| `CKA_PRIVATE` | Falso | Deve ser `False`. | 
| `CKA_LABEL` | Vazio | Limite de 127 caracteres. | 
| `CKA_COPYABLE` | Falso | Deve ser `False`. | 
| `CKA_DESTROYABLE` | Verdadeiro | Deve ser `True`. | 
| `CKA_CERTIFICATE_TYPE` | Obrigatório | Deve ser `CKC_X_509`. | 
| `CKA_TRUSTED` | Falso | Deve ser `False`. | 
| `CKA_CERTIFICATE_CATEGORY` | `CK_CERTIFICATE_CATEGORY_UNSPECIFIED` | Deve ser `CK_CERTIFICATE_CATEGORY_UNSPECIFIED`. | 
| `CKA_CHECK_VALUE` | Derivado de `CKA_VALUE` | Definido automaticamente com base em `CKA_VALUE`. | 
| `CKA_START_DATE` | Vazio | A data “não antes de” do certificado. | 
| `CKA_END_DATE` | Vazio | A data “não depois de” do certificado. | 
| `CKA_PUBLIC_KEY_INFO` | Vazio | O tamanho máximo é de 16 kilobytes. | 
| `CKA_SUBJECT` | Obrigatório | O assunto do certificado. | 
| `CKA_ID` | Vazio | O tamanho máximo é 128 bytes. A exclusividade não é imposta. | 
| `CKA_ISSUER` | Vazio | O emissor do certificado. | 
| `CKA_SERIAL_NUMBER` | Vazio | O número de série do certificado. | 
| `CKA_VALUE` | Obrigatório | O tamanho máximo é de 32 kilobytes. | 

# Logs de auditoria de armazenamento de certificados
<a name="pkcs11-certificate-storage-audit-logs"></a>

 O AWS CloudHSM grava registros de auditoria para operações de armazenamento de certificados que modificam dados em um stream de log separado do CloudWatch Amazon Events dentro do grupo de registros do seu cluster CloudWatch . Esse fluxo de logs é nomeado para o cluster, não para um HSM específico dentro do cluster. 

 Para obter informações sobre como acessar os registros de auditoria CloudWatch, consulte[Trabalhando com Amazon CloudWatch Logs e AWS CloudHSM Audit Logs](get-hsm-audit-logs-using-cloudwatch.md). 

## Campos de entrada de log
<a name="pkcs11-certificate-storage-audit-logs-fields"></a>

`object_handle`  
O identificador exclusivo do objeto do certificado.

`op_code`  
A operação executada ou tentada. Possíveis valores:  
+ `CreateObject`
+ `DestroyObject`
+ `SetAttributeValues`

`response`  
`OK` se a operação foi bem-sucedida ou um dos seguintes tipos de erro:  
+ `DuplicateAttribute`
+ `InvalidAttributeValue`
+ `ObjectNotFound`
+ `MaxObjectsReached`
+ `InternalFailure`

`attributes`  
Os atributos modificados, se houver.

`timestamp`  
O tempo em que a operação ocorreu, em milissegundos, desde a época do Unix.

## Exemplos de log de auditoria
<a name="pkcs11-certificate-storage-audit-logs-examples"></a>

### CreateObject exemplo
<a name="pkcs11-certificate-storage-audit-logs-examples-create"></a>

```
{
    "object_handle": 463180677312929947,
    "op_code": "CreateObject",
    "response": "OK",
    "attributes": null,
    "timestamp": 1725482483671
}
```

### DestroyObject exemplo
<a name="pkcs11-certificate-storage-audit-logs-examples-delete"></a>

```
{
    "object_handle": 463180677312929947,
    "op_code": "DestroyObject",
    "response": "OK",
    "attributes": null,
    "timestamp": 1725482484559
}
```

### SetAttributeValues exemplo
<a name="pkcs11-certificate-storage-audit-logs-examples-set"></a>

```
{
    "object_handle": 463180678453346687,
    "op_code": "SetAttributeValues",
    "response": "OK",
    "attributes": [
        "Label"
    ],
    "timestamp": 1725482488004
}
```

### Exemplo malsucedido CreateObject
<a name="pkcs11-certificate-storage-audit-logs-examples-error"></a>

```
{
    "object_handle": null,
    "op_code": "CreateObject",
    "response": "MaxObjectsReached",
    "attributes": null,
    "timestamp": 1726084937125
}
```