本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS CloudHSM 用戶端 SDK 5 設定工具
使用 AWS CloudHSM 用戶端 SDK 5 設定工具更新用戶端組態檔案。
用戶端 SDK 5 中的每個元件都包含一個設定工具,其中包含設定工具檔案名稱中的元件指示項。例如,用戶端 SDK 5 的 PKCS \$111 程式庫包含一個名為 Linux `configure-pkcs11` 或 Windows `configure-pkcs11.exe` 的設定工具。
**Topics**
+ [語法](configure-tool-syntax5.md)
+ [Parameters](configure-tool-params5.md)
+ [範例](configure-tool-examples5.md)
+ [引導 OpenSSL 供應商](configure-openssl-provider.md)
+ [進階組態](configure-sdk5-advanced-configs.md)
+ [相關主題](configure-tool-seealso5.md)
# AWS CloudHSM 用戶端 SDK 5 組態語法
下表說明 用戶端 SDK 5 AWS CloudHSM 組態檔案的語法。如需這些參數的詳細資訊,請參閱 [AWS CloudHSM 用戶端 SDK 5 組態參數](configure-tool-params5.md)。
------
#### [ PKCS \$111 ]
```
Usage: configure-pkcs11[ .exe ] [OPTIONS]
Options:
--disable-certificate-storage
Disables Certificate Storage
--enable-certificate-storage
Enables Certificate Storage
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ OpenSSL ]
```
Usage: configure-dyn[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ KSP ]
```
Usage: configure-ksp.exe [OPTIONS]
Options:
-a ...
The address of the HSM instance
--server-client-cert-file
The client certificate used for TLS client-server mutual authentication
--server-client-key-file
The client private key used for TLS client-server mutual authentication
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
--enable-sdk3-compatibility-mode
Enables key file usage for KSP
--disable-sdk3-compatibility-mode
Disables key file usage for KSP
-h, --help
Print help
```
------
#### [ JCE ]
```
Usage: configure-jce[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ CloudHSM CLI ]
```
Usage: configure-cli[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
#### [ OpenSSL Provider ]
```
Usage: configure-openssl-provider[ .exe ] [OPTIONS]
Options:
-a ...
The address of the HSM instance
--cluster-id
The id of the cluster containing the HSM instance(s)
--disable-key-availability-check
Disables key availability check during key use
--enable-key-availability-check
Enables key availability check during key use
--disable-validate-key-at-init
Disables parameter validation during initialization of crypto operations
--enable-validate-key-at-init
Enables parameter validation during initialization of crypto operations
--endpoint
Specify the AWS CloudHSM API Endpoint
--region
The region of the cluster
--hsm-ca-cert
The HSM CA certificate file
--log-type
The log type [possible values: term, file]
--log-file
The log file
--log-level
The logging level [possible values: error, warn, info, debug, trace]
--log-rotation
The log rotation interval [possible values: never, hourly, daily]
--default-retry-mode
The default method of retry to use for certain non-terminal failures [possible values: off, standard]
--client-cert-hsm-tls-file
The client certificate used for TLS client-hsm mutual authentication
--client-key-hsm-tls-file
The client private key used for TLS client-hsm mutual authentication
-h, --help
Print help
```
------
# AWS CloudHSM 用戶端 SDK 5 組態參數
以下是設定 AWS CloudHSM 用戶端 SDK 5 的參數清單。
**-a ****
將指定的 IP 地址新增至用戶端 SDK 5 設定檔案。從叢集輸入 HSM 的任何 ENI IP 地址。如需如何使用此選項的詳細資訊,請參閱[引導用戶端 SDK 5](cluster-connect.md#sdk8-connect)。
必要:是
**--hsm-ca-cert ****
儲存用於將 EC2 用戶端執行個體連接到叢集的憑證授權機構 (CA) 憑證目錄的路徑。您可在初始化叢集時建立此檔案。按照預設,系統會在下列位置尋找此檔案:
Linux
```
/opt/cloudhsm/etc/customerCA.crt
```
Windows
```
C:\ProgramData\Amazon\CloudHSM\customerCA.crt
```
如需有關初始化叢集或放置憑證的詳細資訊,請參閱 [在每個 EC2 執行個體上安裝發行憑證](cluster-connect.md#place-hsm-cert) 和 [在 中初始化叢集 AWS CloudHSM](initialize-cluster.md)。
必要:否
**--cluster-id ****
進行 `DescribeClusters` 呼叫以尋找叢集中與叢集 ID 關聯的所有 HSM 彈性網路介面 (ENI) IP 地址。系統會將 ENI IP 地址新增至 AWS CloudHSM 組態檔案。
如果您在無法存取公有網際網路的 VPC 中使用來自 EC2 執行個體的 `--cluster-id` 參數,則必須建立要連線的介面 VPC 端點 AWS CloudHSM。如需 VPC 端點的詳細資訊,請參閱 [AWS CloudHSM 和 VPC 端點](cloudhsm-vpc-endpoint.md)。
必要:否
**--endpoint ****
指定用於進行`DescribeClusters`呼叫的 AWS CloudHSM API 端點。您必須結合 `--cluster-id` 設定此選項。
必要:否
**--region ****
指您叢集的區域。您必須結合 `--cluster-id` 設定此選項。
如果您未提供 `--region` 參數,系統會嘗試讀取 `AWS_DEFAULT_REGION` 或 `AWS_REGION` 環境變數來選擇區域。如果未設定這些變數,則除非您在 `AWS_CONFIG_FILE` 環境變數中指定了不同的檔案,否則系統會檢查 AWS config 檔案中 (通常是 `~/.aws/config`) 與您的設定檔相關聯的區域。如果未設定上述任何變數,系統會預設為 `us-east-1` 區域。
必要:否
**--client-cert-hsm-tls-file ****
用於 TLS 用戶端-HSM 交互身分驗證的用戶端憑證路徑。
只有在您已使用 CloudHSM CLI 在 HSM 上註冊至少一個信任錨點時,才使用此選項。您必須結合 `--client-key-hsm-tls-file` 設定此選項。
必要:否
**--client-key-hsm-tls-file ****
用於 TLS 用戶端-HSM 交互身分驗證的用戶端金鑰路徑。
只有在您已使用 CloudHSM CLI 在 HSM 上註冊至少一個信任錨點時,才使用此選項。您必須結合 `--client-cert-hsm-tls-file` 設定此選項。
必要:否
**--log-level ****
指定系統應寫入日誌檔的最低日誌層級。每個層級包括以前的層級,錯誤作為最低層級,追蹤為最高層級。這表示如果您指定錯誤,系統只會將錯誤寫入日誌。如果您指定追蹤,系統會將錯誤、警告、資訊 (info) 和偵錯訊息寫入日誌檔。如需詳細資訊,請參閱[用戶端 SDK 5 記錄](hsm-client-logs.md#sdk5-logging)。
必要:否
**--log-rotation ****
指系統輪換日誌檔的頻率。如需詳細資訊,請參閱[用戶端 SDK 5 記錄](hsm-client-logs.md#sdk5-logging)。
必要:否
**--log-file ****
指系統將寫入日誌檔的位置。如需詳細資訊,請參閱[用戶端 SDK 5 記錄](hsm-client-logs.md#sdk5-logging)。
必要:否
**--log-type ****
指系統是否將日誌寫入檔案或終端。如需詳細資訊,請參閱[用戶端 SDK 5 記錄](hsm-client-logs.md#sdk5-logging)。
必要:否
**-h \$1 --help**
顯示幫助。
必要:否
**--disable-key-availability-check **
停用金鑰可用性仲裁的旗標。使用此旗標表示 AWS CloudHSM 應該停用金鑰可用性規定人數,而且您只能使用叢集中一個 HSM 上存在的金鑰。如需有關使用此旗標設定金鑰可用性仲裁的詳細資訊,請參閱 [管理用戶端金鑰耐久性設定](working-client-sync.md#setting-file-sdk8)。
必要:否
**--enable-key-availability-check **
啟動金鑰可用性仲裁的旗標。使用此旗標表示 AWS CloudHSM 應該使用金鑰可用性規定人數,而且在叢集中的兩個 HSMs 上存在這些金鑰之前,都不允許您使用金鑰。如需有關使用此旗標設定金鑰可用性仲裁的詳細資訊,請參閱 [管理用戶端金鑰耐久性設定](working-client-sync.md#setting-file-sdk8)。
預設啟用。
必要:否
**--disable-validate-key-at-init **
指定您可以跳過初始化呼叫來驗證後續呼叫之金鑰的權限,以此改善效能。請謹慎使用。
背景:PKCS \$111 程式庫中的某些機制支援多部分操作,其中初始化呼叫會驗證您是否可以將金鑰用於後續呼叫。這一操作需要對 HSM 進行驗證呼叫,這會增加整體操作的延遲。此選項可讓您停用後續呼叫,並可能改善效能。
必要:否
**--disable-validate-key-at-init **
指您應該使用初始化呼叫來驗證後續呼叫的金鑰權限。此為預設選項。使用 `disable-validate-key-at-init` 暫停這些初始化呼叫後,再使用 `enable-validate-key-at-init` 恢復這些初始化呼叫。
必要:否
# AWS CloudHSM 用戶端 SDK 5 組態範例
這些範例示範如何使用 AWS CloudHSM 用戶端 SDK 5 的設定工具。
## 引導用戶端 SDK 5
**Example**
此範例使用 `-a` 參數來更新用戶端 SDK 5 的 HSM 資料。若要使用此 `-a` 參數,您必須擁有叢集中其中一個 HSM 的 IP 地址。
**為用戶端 SDK 5 引導 Linux EC2 執行個體**
+ 使用 設定工具來指定叢集中 HSM 的 IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 -a
```
**為用戶端 SDK 5 引導 Windows EC2 執行個體**
+ 使用 設定工具來指定叢集中 HSM 的 IP 地址。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" -a
```
**為用戶端 SDK 5 引導 Linux EC2 執行個體**
+ 使用 設定工具來指定叢集中 HSM 的 IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-dyn -a
```
**為用戶端 SDK 5 引導 Linux EC2 執行個體**
+ 使用 設定工具來指定叢集中 HSM 的 IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider -a
```
**為用戶端 SDK 5 引導 Windows EC2 執行個體**
+ 使用 設定工具來指定叢集中 HSM 的 IP 地址。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" -a
```
**為用戶端 SDK 5 引導 Linux EC2 執行個體**
+ 使用 設定工具來指定叢集中 HSM 的 IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-jce -a
```
**為用戶端 SDK 5 引導 Windows EC2 執行個體**
+ 使用 設定工具來指定叢集中 HSM 的 IP 地址。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" -a
```
**為用戶端 SDK 5 引導 Linux EC2 執行個體**
+ 使用設定工具指定叢集中 HSM 的 IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-cli -a
```
**為用戶端 SDK 5 引導 Windows EC2 執行個體**
+ 使用設定工具指定叢集中 HSM 的 IP 地址。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a
```
您可以使用 `–-cluster-id` 參數來代替 `-a `。若要查看使用 `–-cluster-id` 的需求,請參閱 [AWS CloudHSM 用戶端 SDK 5 設定工具](configure-sdk-5.md)。
如需 `-a` 參數的詳細資訊,請參閱 [AWS CloudHSM 用戶端 SDK 5 組態參數](configure-tool-params5.md)。
## 指定用戶端 SDK 5 的叢集、區域和端點
**Example**
此範例會使用 `cluster-id` 參數,以 `DescribeClusters` 撥打呼叫的方式來啟動用戶端 SDK 5。
**使用 `cluster-id` 為用戶端 SDK 5 啟動 Linux EC2 執行個體**
+ 使用叢集 ID `cluster-1234567`來指定叢集中 HSM 的 IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id
```
**使用 `cluster-id` 為用戶端 SDK 5 啟動 Windows EC2 執行個體**
+ 使用叢集 ID `cluster-1234567`來指定叢集中 HSM 的 IP 地址。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --cluster-id
```
**使用 `cluster-id` 為用戶端 SDK 5 啟動 Linux EC2 執行個體**
+ 使用叢集 ID `cluster-1234567`來指定叢集中 HSM 的 IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id
```
**使用 `cluster-id` 為用戶端 SDK 5 啟動 Windows EC2 執行個體**
+ 使用叢集 ID `cluster-1234567`來指定叢集中 HSM 的 IP 地址。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --cluster-id
```
**使用 `cluster-id` 為用戶端 SDK 5 啟動 Linux EC2 執行個體**
+ 使用叢集 ID `cluster-1234567`來指定叢集中 HSM 的 IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id
```
**使用 `cluster-id` 為用戶端 SDK 5 啟動 Windows EC2 執行個體**
+ 使用叢集 ID `cluster-1234567`來指定叢集中 HSM 的 IP 地址。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --cluster-id
```
**使用 `cluster-id` 為用戶端 SDK 5 啟動 Linux EC2 執行個體**
+ 使用叢集 ID `cluster-1234567`來指定叢集中 HSM 的 IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id
```
**使用 `cluster-id` 為用戶端 SDK 5 啟動 Windows EC2 執行個體**
+ 使用叢集 ID `cluster-1234567`來指定叢集中 HSM 的 IP 地址。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id
```
您可以將 `--region` 和 `--endpoint` 參數與 `cluster-id` 參數結合使用,以指定系統進行 `DescribeClusters` 呼叫的方式。例如,如果叢集區域與設定為 AWS CLI 預設的區域不同,則應使用該 `--region` 參數來使用該區域。此外,您可以指定用於呼叫的 AWS CloudHSM API 端點,這對於各種網路設定而言可能是必要的,例如使用不使用預設 DNS 主機名稱的 VPC 介面端點 AWS CloudHSM。
**使用自訂端點和區域啟動 Linux EC2 執行個體**
+ 使用 設定工具指定叢集中具有自訂區域和端點的 HSM IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --cluster-id --region --endpoint
```
**使用端點和區域啟動 Windows EC2 執行個體**
+ 使用 設定工具指定叢集中具有自訂區域和端點的 HSM IP 地址。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --cluster-id --region --endpoint
```
**使用自訂端點和區域啟動 Linux EC2 執行個體**
+ 使用 設定工具指定叢集中具有自訂區域和端點的 HSM IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-dyn --cluster-id --region --endpoint
```
**使用端點和區域啟動 Windows EC2 執行個體**
+ 使用 設定工具指定叢集中具有自訂區域和端點的 HSM IP 地址。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --cluster-id --region --endpoint
```
**使用自訂端點和區域啟動 Linux EC2 執行個體**
+ 使用 設定工具指定叢集中具有自訂區域和端點的 HSM IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-jce --cluster-id --region --endpoint
```
**使用端點和區域啟動 Windows EC2 執行個體**
+ 使用 設定工具指定叢集中具有自訂區域和端點的 HSM IP 地址。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --cluster-id --region --endpoint
```
**使用自訂端點和區域啟動 Linux EC2 執行個體**
+ 使用 設定工具指定叢集中具有自訂區域和端點的 HSM IP 地址。
```
$ sudo /opt/cloudhsm/bin/configure-cli --cluster-id --region --endpoint
```
**使用端點和區域啟動 Windows EC2 執行個體**
+ 使用 設定工具指定叢集中具有自訂區域和端點的 HSM IP 地址。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --cluster-id --region --endpoint
```
如需 `--cluster-id`、`--region` 和 `--endpoint` 參數的詳細資訊,請參閱 [AWS CloudHSM 用戶端 SDK 5 組態參數](configure-tool-params5.md)。
## 更新 TLS client-HSM 交互身分驗證的用戶端憑證和金鑰
**Example**
此範例示範如何使用 `--client-cert-hsm-tls-file`和 `--client-key-hsm-tls-file` 參數,透過指定 的自訂金鑰和 SSL 憑證來重新設定 SSL AWS CloudHSM
**使用自訂憑證和金鑰搭配 Linux 上的用戶端 SDK 5 進行 TLS 用戶端-HSM 交互身分驗證**
1. 將您的金鑰和憑證複製到適當的目錄。
```
$ sudo cp ssl-client.pem
$ sudo cp ssl-client.key
```
1. 使用設定工具來指定 `ssl-client.pem` 和 `ssl-client.key`。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**在 Windows 上使用自訂憑證和金鑰與用戶端 SDK 5 進行 TLS 用戶端-HSM 交互身分驗證**
1. 將您的金鑰和憑證複製到適當的目錄。
```
cp ssl-client.pem
cp ssl-client.key
```
1. 使用 PowerShell 解譯器時,請使用設定工具來指定 `ssl-client.pem` 和 `ssl-client.key`。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**使用自訂憑證和金鑰搭配 Linux 上的用戶端 SDK 5 進行 TLS 用戶端-HSM 交互身分驗證**
1. 將您的金鑰和憑證複製到適當的目錄。
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. 使用設定工具來指定 `ssl-client.pem` 和 `ssl-client.key`。
```
$ sudo /opt/cloudhsm/bin/configure-dyn \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**在 Windows 上使用自訂憑證和金鑰與用戶端 SDK 5 進行 TLS 用戶端-HSM 交互身分驗證**
1. 將您的金鑰和憑證複製到適當的目錄。
```
cp ssl-client.pem
cp ssl-client.key
```
1. 使用 PowerShell 解譯器時,請使用設定工具來指定 `ssl-client.pem` 和 `ssl-client.key`。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**使用自訂憑證和金鑰搭配 Linux 上的用戶端 SDK 5 進行 TLS 用戶端-HSM 交互身分驗證**
1. 將您的金鑰和憑證複製到適當的目錄。
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. 使用設定工具來指定 `ssl-client.pem` 和 `ssl-client.key`。
```
$ sudo /opt/cloudhsm/bin/configure-jce \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**在 Windows 上使用自訂憑證和金鑰與用戶端 SDK 5 進行 TLS 用戶端-HSM 交互身分驗證**
1. 將您的金鑰和憑證複製到適當的目錄。
```
cp ssl-client.pem
cp ssl-client.key
```
1. 使用 PowerShell 解譯器時,請使用設定工具來指定 `ssl-client.pem` 和 `ssl-client.key`。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
**使用自訂憑證和金鑰搭配 Linux 上的用戶端 SDK 5 進行 TLS 用戶端-HSM 交互身分驗證**
1. 將您的金鑰和憑證複製到適當的目錄。
```
$ sudo cp ssl-client.pem
sudo cp ssl-client.key
```
1. 使用設定工具來指定 `ssl-client.pem` 和 `ssl-client.key`。
```
$ sudo /opt/cloudhsm/bin/configure-cli \
--client-cert-hsm-tls-file \
--client-key-hsm-tls-file
```
**在 Windows 上使用自訂憑證和金鑰與用戶端 SDK 5 進行 TLS 用戶端-HSM 交互身分驗證**
1. 將您的金鑰和憑證複製到適當的目錄。
```
cp ssl-client.pem
cp ssl-client.key
```
1. 使用 PowerShell 解譯器時,請使用設定工具來指定 `ssl-client.pem` 和 `ssl-client.key`。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" `
--client-cert-hsm-tls-file `
--client-key-hsm-tls-file
```
如需 `--client-cert-hsm-tls-file` 和 `--client-key-hsm-tls-file` 參數的詳細資訊,請參閱 [AWS CloudHSM 用戶端 SDK 5 組態參數](configure-tool-params5.md)。
## 停用用戶端金鑰耐久性設定
**Example**
此範例使用 `--disable-key-availability-check` 參數來停用用戶端金鑰耐久性設定。如要使用單一 HSM 執行叢集,您必須停用用戶端金鑰耐久性設定。
**在 Linux 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
```
**在 Windows 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
```
**在 Linux 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
```
**在 Linux 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --disable-key-availability-check
```
**在 Windows 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
```
**在 Linux 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
```
**在 Windows 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
```
**在 Linux 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
```
**在 Windows 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
```
如需 `--disable-key-availability-check` 參數的詳細資訊,請參閱 [AWS CloudHSM 用戶端 SDK 5 組態參數](configure-tool-params5.md)。
## 管理日誌選項
**Example**
用戶端 SDK 5 會使用 `log-file`、`log-level`、`log-rotation` 和 `log-type` 參數來管理記錄。
若要為 AWS Fargate 或 AWS Lambda 等無伺服器環境設定開發套件,建議您將 AWS CloudHSM 日誌類型設定為 `term`。用戶端日誌將輸出到 `stderr` 並會擷取到為該環境設定的 CloudWatch Logs 日誌群組中。
**預設日誌位置**
+ 如果您未指定檔案的位置,系統會將日誌寫入下列預設位置:
Linux
```
/opt/cloudhsm/run/cloudhsm-pkcs11.log
```
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-pkcs11.log
```
**設定日誌層級,並將其他日誌選項設定為預設值**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-level info
```
**設定檔案日誌選項**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type file --log-file --log-rotation daily --log-level info
```
**設定終端日誌選項**
+
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --log-type term --log-level info
```
**預設日誌位置**
+ 如果您未指定檔案的位置,系統會將日誌寫入下列預設位置:
Linux
```
stderr
```
**設定日誌層級,並將其他日誌選項設定為預設值**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-level info
```
**設定檔案日誌選項**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-type file --log-file --log-rotation daily --log-level info
```
**設定終端日誌選項**
+
```
$ sudo /opt/cloudhsm/bin/configure-dyn --log-type term --log-level info
```
**預設日誌位置**
+ 如果您未指定檔案的位置,系統會將日誌寫入下列預設位置:
Linux
```
stderr
```
**設定日誌層級,並將其他日誌選項設定為預設值**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-level info
```
**設定檔案日誌選項**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-type file --log-file --log-rotation daily --log-level info
```
**設定終端日誌選項**
+
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --log-type term --log-level info
```
**預設日誌位置**
+ 如果您未指定檔案的位置,系統會將日誌寫入下列預設位置:
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-ksp.log
```
**設定日誌層級,並將其他日誌選項設定為預設值**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-level info
```
**設定檔案日誌選項**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-type file --log-file --log-rotation daily --log-level info
```
**設定終端日誌選項**
+
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --log-type term --log-level info
```
**預設日誌位置**
+ 如果您未指定檔案的位置,系統會將日誌寫入下列預設位置:
Linux
```
/opt/cloudhsm/run/cloudhsm-jce.log
```
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-jce.log
```
**設定日誌層級,並將其他日誌選項設定為預設值**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-level info
```
**設定檔案日誌選項**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-type file --log-file --log-rotation daily --log-level info
```
**設定終端日誌選項**
+
```
$ sudo /opt/cloudhsm/bin/configure-jce --log-type term --log-level info
```
**預設日誌位置**
+ 如果您未指定檔案的位置,系統會將日誌寫入下列預設位置:
Linux
```
/opt/cloudhsm/run/cloudhsm-cli.log
```
Windows
```
C:\Program Files\Amazon\CloudHSM\cloudhsm-cli.log
```
**設定日誌層級,並將其他日誌選項設定為預設值**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-level info
```
**設定檔案日誌選項**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-type file --log-file --log-rotation daily --log-level info
```
**設定終端日誌選項**
+
```
$ sudo /opt/cloudhsm/bin/configure-cli --log-type term --log-level info
```
如需 `log-file`、`log-level`、`log-rotation` 和 `log-type` 參數的詳細資訊,請參閱 [AWS CloudHSM 用戶端 SDK 5 組態參數](configure-tool-params5.md)。
## 放置用戶端 SDK 5 的簽發憑證
**Example**
此範例使用 `--hsm-ca-cert` 參數來更新用戶端 SDK 5 的簽發憑證位置。
**將用戶端 SDK 5 的簽發憑證安裝於 Linux 上**
+ 使用設定工具指定簽發憑證的位置。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --hsm-ca-cert
```
**將用戶端 SDK 5 的簽發憑證安裝於 Windows 上**
+ 使用設定工具指定簽發憑證的位置。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --hsm-ca-cert
```
**將用戶端 SDK 5 的簽發憑證安裝於 Linux 上**
+ 使用設定工具指定簽發憑證的位置。
```
$ sudo /opt/cloudhsm/bin/configure-dyn --hsm-ca-cert
```
**將用戶端 SDK 5 的簽發憑證安裝於 Linux 上**
+ 使用設定工具指定簽發憑證的位置。
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --hsm-ca-cert
```
**將用戶端 SDK 5 的簽發憑證安裝於 Windows 上**
+ 使用設定工具指定簽發憑證的位置。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --hsm-ca-cert
```
**將用戶端 SDK 5 的簽發憑證安裝於 Linux 上**
+ 使用設定工具指定簽發憑證的位置。
```
$ sudo /opt/cloudhsm/bin/configure-jce --hsm-ca-cert
```
**將用戶端 SDK 5 的簽發憑證安裝於 Windows 上**
+ 使用設定工具指定簽發憑證的位置。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --hsm-ca-cert
```
**將用戶端 SDK 5 的簽發憑證安裝於 Linux 上**
+ 使用設定工具指定簽發憑證的位置。
```
$ sudo /opt/cloudhsm/bin/configure-cli --hsm-ca-cert
```
**將用戶端 SDK 5 的簽發憑證安裝於 Windows 上**
+ 使用設定工具指定簽發憑證的位置。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --hsm-ca-cert
```
如需 `--hsm-ca-cert` 參數的詳細資訊,請參閱 [AWS CloudHSM 用戶端 SDK 5 組態參數](configure-tool-params5.md)。
# 引導 OpenSSL 供應商
使用 configure-openssl-provider 工具來引導您的 OpenSSL 提供者安裝,並將其連接到您的 AWS CloudHSM 叢集。
**引導 OpenSSL 供應商**
1. 使用叢集中 HSM 的 IP 地址執行 configure-openssl-provider 命令:
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider -a
```
以叢集中任何 HSM 的 IP *地址取代 *。
1. 檢查 OpenSSL 提供者是否可以連線至您的叢集,以驗證組態:
```
$ openssl list -providers -provider-path /opt/cloudhsm/lib -provider cloudhsm
```
如需組態參數的詳細資訊,請參閱 [AWS CloudHSM 用戶端 SDK 5 組態參數](configure-tool-params5.md)。
# 用戶端 SDK 5 設定工具的進階組態
AWS CloudHSM 用戶端 SDK 5 設定工具包含進階組態,這些組態不屬於大多數客戶使用的一般功能。進階組態提供額外的功能。
**重要**
變更組態後,您需要重新啟動應用程式才能使變更生效。
+ PKCS \$111 的進階組態
+ [適用於 的 PKCS \$111 程式庫的多個槽組態 AWS CloudHSM](pkcs11-library-configs-multi-slot.md)
+ [的 PKCS \$111 程式庫重試命令 AWS CloudHSM](pkcs11-library-configs-retry.md)
+ OpenSSL 的進階組態
+ [的 OpenSSL 重試命令 AWS CloudHSM](openssl-library-configs-retry.md)
+ KSP 的進階組態
+ [適用於 金鑰儲存提供者 (KSP) 的 SDK3 相容性模式 AWS CloudHSM](ksp-library-configs-sdk3-compatibility-mode.md)
+ 適用於 JCE 的進階組態
+ [使用 JCE 提供者連線至多個 AWS CloudHSM 叢集](java-lib-configs-multi.md)
+ [重試適用於 的 JCE 命令 AWS CloudHSM](java-lib-configs-retry.md)
+ [使用 JCE for 擷取金鑰 AWS CloudHSM](java-lib-configs-getencoded.md)
+ AWS CloudHSM 命令列界面 (CLI) 的進階組態
+ [使用 CloudHSM CLI 連線至多個叢集](cloudhsm_cli-configs-multi-cluster.md)
# AWS CloudHSM 用戶端 SDK 5 相關主題
請參閱下列相關主題,進一步了解 AWS CloudHSM 用戶端 SDK 5。
+ [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) API 操作
+ [describe-clusters](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/describe-clusters.html) AWS CLI
+ [Get-HSM2Cluster](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-HSM2Cluster.html) PowerShell cmdlet
+ [引導用戶端 SDK 5](cluster-connect.md#sdk8-connect)
+ [引導 OpenSSL 供應商](configure-openssl-provider.md)
+ [AWS CloudHSM VPC 端點](cloudhsm-vpc-endpoint.md)
+ [管理用戶端 SDK 5 金鑰持久性設定](working-client-sync.md#setting-file-sdk8)
+ [用戶端 SDK 5 記錄](hsm-client-logs.md#sdk5-logging)
+ [設定 mTLS (建議)](getting-started-setup-mtls.md)