激活HSM

上一节我们完成了创建HSM和初始化的工作,这一节连接它并进行一些基础操作。

安装CloudHSM CLI

参考 https://docs.aws.amazon.com/cloudhsm/latest/userguide/gs_cloudhsm_cli-install.html 不同系统有不同的命令,例如AL2:

wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.x86_64.rpm
sudo yum install ./cloudhsm-cli-latest.el7.x86_64.rpm

配置连接cloudHSM的地址:

sudo /opt/cloudhsm/bin/configure-cli -a <The ENI IPv4 / IPv6 addresses of the HSMs>

地址可以在控制台找到:

image-20260226145646396

注册在配置前先要把安全组放通。参考上一节。

此时查看配置文件,这个ip已经自动配置上去:

image-20260226145838262

激活集群

集群初始化完成后,状态是 initialized,需要激活变成 active 才能使用:

image-20260226150108995

第一步:复制 CA 证书到客户端,把在初始化时上传的 Issuing certificate(CA 证书)复制到每台要连接 HSM 的 EC2:

# Linux 路径

/opt/cloudhsm/etc/customerCA.crt

# Windows 路径

C:\ProgramData\Amazon\CloudHSM\customerCA.crt

第二步:修改配置文件。确保配置文件指向正确的 CA 证书:

# 编辑配置文件
sudo vi /opt/cloudhsm/etc/cloudhsm-cli.cfg

# 确认 CA 证书文件名正确
# 比如: "hsm_ca_file": "/opt/cloudhsm/etc/customerCA.crt"

第三步:启动 CloudHSM CLI

/opt/cloudhsm/bin/cloudhsm-cli interactive

第四步:查看当前用户(可选)

aws-cloudhsm > user list

输出会显示 admin 是 unactivated-admin 状态:

{
  "users": [
    {
      "username": "admin",
      "role": "unactivated-admin",    ← 未激活状态
   
    }
  ]
}

image-20260226150607987

第五步:激活集群(关键)

aws-cloudhsm > cluster activate
Enter password: <设置新密码>
Confirm password: <确认密码>

成功输出:

{
  "error_code": 0,
  "data": "Cluster activation successful"
}

⚠️ 重要:这个密码是 admin 用户的密码,一定要记住!

第六步:验证激活成功

aws-cloudhsm > user list

输出会显示 admin 变成 admin 角色:

{
  "users": [
    {
      "username": "admin",
      "role": "admin",    ← 已激活!
      "locked": "false"
    }
  ]
}

image-20260226150729806

第七步:退出 CLI

aws-cloudhsm > quit

激活后,大概等2分钟,集群状态变成active:

image-20260226150959828

创建另一台HSM

此时页面上方提示我们,目前只有一个AZ建立了HSM,我们再添加一台:

image-20260226151054746

image-20260226151108319