本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # SSL/TLS 卸載搭配 AWS CloudHSM 的運作方式 為了建立 HTTPS 連線,您的 Web 伺服器會與用戶端進行交握程序。在此程序中,伺服器會將部分密碼編譯處理卸載至 AWS CloudHSM 叢集中的 HSMs,如下圖所示。圖片下方有每個處理步驟的說明。 **注意** 以下圖片和程序假設伺服器驗證和金鑰交換使用 RSA。使用 Diffie–Hellman 代替 RSA 時,程序略有不同。 ![用戶端和伺服器之間進行 TLS 交握程序的圖片,包括加密卸載到 HSM。](http://docs.aws.amazon.com/zh_tw/cloudhsm/latest/userguide/images/ssl-offload-handshake-process.png) 1. 用戶端傳送 hello 訊息到伺服器。 1. 伺服器回應 hello 訊息並傳送伺服器的憑證。 1. 用戶端執行下列動作: 1. 確認 SSL/TLS 伺服器憑證是由客戶端信任的根憑證簽署。 1. 從伺服器憑證擷取公開金鑰。 1. 產生前置主機秘密,並使用伺服器的公有金鑰對其進行加密。 1. 將加密的前置主機秘密傳送至伺服器。 1. 若要解密用戶端的前置主機秘密,伺服器會將其傳送至 HSM。HSM 使用 HSM 中的私有金鑰來解密前置主機秘密,然後將前置主機秘密傳送至伺服器。用戶端和伺服器各自獨立地使用前置主機秘密和來自 hello 訊息的一些資訊來計算主要秘密。 1. 交握程序結束。在剩下來的工作階段中,在用戶端和伺服器之間傳送的所有訊息都會使用主要秘密的衍生產品加密。 若要了解如何使用 設定 SSL/TLS 卸載 AWS CloudHSM,請參閱下列其中一個主題: + [AWS CloudHSM 使用 NGINX 或 Apache 搭配 OpenSSL 在 Linux 上卸載 SSL/TLS](third-offload-linux-openssl.md) + [AWS CloudHSM 在 Linux 上使用 Tomcat 搭配 JSSE 的 SSL/TLS 卸載](third-offload-linux-jsse.md) + [AWS CloudHSM 在 Windows 上使用 IIS 搭配 KSP 的 SSL/TLS 卸載](ssl-offload-windows.md)