个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
30
4
在阅读 StackOverflow、密码学、信息安全和 CloudHSM 论坛上的所有 CloudHSM 主题后,我提出了这个问题,但找不到任何有用的信息。任何想法或代码片段都是有帮助的。
我们有一个通过 X.509 证书向 Web 服务器请求的 Ruby 应用程序,我们应该在 CloudHSM 中生成/托管私钥。
我关注了CloudHSM documentation逐步配置TLS offloading via NGINX and Apache HTTPD为了了解它是如何工作的,现在我正在使用 CloudHSM 研究双向 TLS。
我的网络服务器需要客户端证书,我可以通过 cURL 验证:
curl --cert app-selfsigned.crt --key app-selfsigned.key -k https://127.0.0.1/index.html
我还可以使用此 Ruby 代码通过磁盘上的证书进行身份验证:
require 'faraday'
require 'openssl'
def ssl_options
cert_file = File.read "app-selfsigned.crt"
key_file = File.read "app-selfsigned.key"
ssl_options = {
verify: false,
client_cert: OpenSSL::X509::Certificate.new(cert_file),
client_key: OpenSSL::PKey::RSA.new(key_file)
}
end
def connection
dest = "https://127.0.0.1/"
connection = Faraday::Connection.new(dest, ssl: ssl_options)
connection.get
end
irb -I . -r rubytest.rb
connection
通过磁盘上的认证进行 cURL 和 Ruby 测试:
app-selfsigned.key key ,我该怎么做?1) 我可以通过 CloudHSM OpenSSL Dynamic Engine 做到这一点吗? ?如果是,即使安装了 cloudhsm 引擎 (/opt/cloudhsm/lib/libcloudhsm_openssl.so),我是否应该在我的代码中每次都加载和安装引擎?
2) 或者我应该通过 p11-kit 或 pkcs11-openssl 包和 p11tool 命令或 Ruby PKCS#11 使用 PKCS#11?
3) 我应该在我的 Ruby 应用程序中添加与 n3fips_password 相关的任何内容吗?
这是我尝试将 CloudHSM 与它一起使用的 Ruby 代码(我使用 FAKE PEM key 而不是真正的私钥来指向 CloudHSM 中带有标签 nginx-selfsigned_imported_key 的真正私钥):
require 'faraday'
require 'openssl'
def initialize_openssl
key_label = "nginx-selfsigned_imported_key"
# OpenSSL Engine:
OpenSSL::Engine.load
e = OpenSSL::Engine.by_id('cloudhsm')
e.ctrl_cmd("SO_PATH", "/opt/cloudhsm/lib/libcloudhsm_openssl.so")
e.ctrl_cmd("ID", "cloudhsm")
e.ctrl_cmd("LOAD")
e.load_private_key("CKA_LABEL=#{ key_label }")
end
def ssl_options
cert_file = File.read "app-selfsigned.crt"
key_file = File.read "app-selfsigned_fake_PEM.key"
{
verify: false,
client_cert: OpenSSL::X509::Certificate.new(cert_file),
client_key: OpenSSL::PKey::RSA.new(key_file)
}
end
def connection
dest = "https://127.0.0.1/"
Faraday::Connection.new(dest, ssl: ssl_options)
end
def connect
initialize_openssl
c = connection
c.get
end
irb -I . -r rubytest_cloudhsm.rb
initialize_openssl
但是我得到这个错误:
OpenSSL::Engine::EngineError: invalid cmd name
from /root/self-signed/app-selfsigned/rubytest_cloudhsm.rb:9:in `ctrl_cmd'
from /root/self-signed/app-selfsigned/rubytest_cloudhsm.rb:9:in `initialize_openssl'
from (irb):1
from /bin/irb:12:in `<main>'
逐行添加:
CloudHSM 的 Ruby 错误:
OpenSSL 动态引擎已成功安装:
export n3fips_password=<Crypto User Username>:<CU Password>
openssl engine -tt cloudhsm
# (cloudhsm) CloudHSM hardware engine support
# SDK Version: 2.03
# [ available ]
openssl engine -vvvv dynamic -pre SO_PATH:/opt/cloudhsm/lib/libcloudhsm_openssl.so -pre ID:cloudhsm -pre LOAD
# (dynamic) Dynamic engine loading support
# [Success]: SO_PATH:/opt/cloudhsm/lib/libcloudhsm_openssl.so
# [Success]: ID:cloudhsm
# [Success]: LOAD
# Loaded: (cloudhsm) CloudHSM hardware engine support
openssl speed -engine cloudhsm
# SDK Version: 2.03
# engine "cloudhsm" set.
# Doing md2 for 3s on 16 size blocks:
# 557992 md2's in 2.99s
openssl version
# OpenSSL 1.0.2k-fips 26 Jan 2017
rpm -qa | grep -i openssl
# openssl-1.0.2k-16.amzn2.1.1.x86_64
# openssl-libs-1.0.2k-16.amzn2.1.1.x86_64
OpenSSL CloudHSM 动态引擎共享对象位于正确的位置:
ls -ltrha /usr/lib64/openssl/engines/libcloudhsm.so
lrwxrwxrwx 1 root root 40 Aug 7 09:56 /usr/lib64/openssl/engines/libcloudhsm.so -> /opt/cloudhsm/lib/libcloudhsm_openssl.so
libcloudhsm_openssl.so:
操作系统:
cat /etc/os-release
# NAME="Amazon Linux"
# VERSION="2"
# ID="amzn"
# ID_LIKE="centos rhel fedora"
# VERSION_ID="2"
# PRETTY_NAME="Amazon Linux 2"
# ANSI_COLOR="0;33"
# CPE_NAME="cpe:2.3:o:amazon:amazon_linux:2"
# HOME_URL="https://amazonlinux.com/"
uname -a
# Linux hsm.example.net 4.14.133-113.112.amzn2.x86_64 #1 SMP Tue Jul 30 18:29:50 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
rpm -qa | grep -i cloudhsm-client
# cloudhsm-client-2.0.3-3.el7.x86_64
# cloudhsm-client-dyn-2.0.3-3.el6.x86_64
无论是否使用 CloudHSM 引擎,我都可以检查私钥和公钥:
app-selfsigned.crt: Public Key
app-selfsigned.key: Private key has been exported from CloudHSM
app-selfsigned_fake_PEM.key: Fake private key pointing to real private key inside CloudHSM generated by getCaviumPrivKey -k 14 -out app-selfsigned_fake_PEM.key
# Test without CloudHSM:
openssl s_server -cert app-selfsigned.crt -key app-selfsigned.key
# Using default temp DH parameters
# ACCEPT
openssl s_server -cert app-selfsigned.crt -key app-selfsigned_fake_PEM.key
# Using default temp DH parameters
# ACCEPT
# Test with CloudHSM engine
openssl s_server -cert app-selfsigned.crt -key app-selfsigned.key -engine cloudhsm
# SDK Version: 2.03
# engine "cloudhsm" set.
# Using default temp DH parameters
# ACCEPT
openssl s_server -cert app-selfsigned.crt -key app-selfsigned_fake_PEM.key -engine cloudhsm
# SDK Version: 2.03
# engine "cloudhsm" set.
# Using default temp DH parameters
# ACCEPT
app-selfsigned.crt 和 app-selfsigned_fake_PEM.key 通过 NGINX 进行 TLS 卸载:/etc/nginx/nginx.conf:
ssl_engine cloudhsm;
ssl_certificate "/etc/pki/nginx/app-selfsigned.crt";
ssl_certificate_key "/etc/pki/nginx/private/app-selfsigned_fake_PEM.key";
nginx -t
# SDK Version: 2.03
# nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
# nginx: configuration file /etc/nginx/nginx.conf test is successful
systemctl start nginx && systemctl status nginx
# Aug 13 11:21:33 hsm.example.net nginx[13046]: SDK Version: 2.03
通过 OpenSSL 检查证书文件:
openssl x509 -in app-selfsigned.crt -text -noout
# Serial Number: c7:c4:07:a6:78:22:2e:ff
# Subject: C=AA, ST=AA, L=AA, O=AA, OU=AA, CN=a.com/emailAddress=a@a.com
通过 Firefox 进行证书检查:
/opt/cloudhsm/bin/key_mgmt_util
loginHSM -u CU -s CUADMIN -p CUPASSWORD
findSingleKey -k 14
# Cfm3FindSingleKey returned: 0x00 : HSM Return: SUCCESS
getKeyInfo -k 14
# Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS
# Owned by user: 6
/opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
enable_e2e
loginHSM CU CUADMIN CUPASSWORD
getAttribute 14 0
# OBJ_ATTR_CLASS
# 0x00000003
# 3: Private key in a public–private key pair.
getAttribute 14 2
# OBJ_ATTR_PRIVATE
# 0x00000001
# 1: True. This attribute indicates whether unauthenticated users can list the attributes of the key. Since the CloudHSM PKCS#11 provider currently does not support public sessions, all keys (including public keys in a public-private key pair) have this attribute set to 1.
getAttribute 14 3
# OBJ_ATTR_LABEL
# nginx-selfsigned_imported_key
getAttribute 14 256
# OBJ_ATTR_KEY_TYPE
# 0x00000000
# 0: RSA.
如果您使用另一种语言的 CloudHSM 双向 TLS,请在此处粘贴您的代码,以便我了解想法并在 Ruby 中实现它。
提前致谢。
最佳答案
对于以后看到此问题的任何人,这里有一个示例 Ruby 代码适用于 Amazon CloudHSM:
require 'openssl'
require 'base64'
FAKE_KEY = "/root/ruby/ruby_key_inside_hsm/ruby_hsm_fake_private.key"
REAL_KEY = "/root/ruby/ruby_key_inside_hsm/ruby_hsm_real_private_exported.key"
PUB_KEY = "/root/ruby/ruby_key_inside_hsm/pubkey.pem"
STR = "test string"
def encrypt(str)
pubkey = OpenSSL::PKey::RSA.new(File.read(PUB_KEY))
Base64.encode64(pubkey.public_encrypt(str))
end
def decrypt(str, key)
OpenSSL::Engine.load
privkey = OpenSSL::PKey::RSA.new(File.read(key))
privkey.private_decrypt(Base64.decode64(str))
end
def estr
encrypt(STR)
end
def real_dec
decrypt(estr, REAL_KEY)
end
def hsm_dec
OpenSSL::Engine.load
OpenSSL::Engine.by_id('cloudhsm')
decrypt(estr, FAKE_KEY)
end
目前我们正在努力将其添加到生产环境中。
关于ruby-on-rails - 如何使用 CloudHSM 在 Ruby 中实现双向 TLS(客户端),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57475901/
30
4
0
sanitize 是什么意思在 Rails 中是什么意思? 我正在阅读 CanCanCan 的文档.它说: When using strong_parameters or Rails 4+, you
在过去的几个月里,我感觉自己对 Ruby on Rails (RoR) 开发的了解达到了极限。我为大/小客户和 friend /爱好项目开发了大大小小的应用程序。我知道如何开发这些应用程序,但开始感觉
我昨天参加了一个关于扩展 Rails 的聚会,其中一个主题是 Hexagonal Rails。然而,我只做了一年的 Rails,对 MVC 结构非常满意(也许太舒服了),所以我不太了解适配器和消息队列
我使用多个 Rails 应用程序,一些在 Rails 3.2/Ruby 2.0 上,一些在 Rails 2.3/Ruby 1.8.7 上。 他们的共同点是,随着他们的成长和添加更多的依赖项/ gem
这个问题在这里已经有了答案: Using Rails-UJS in JS modules (Rails 6 with webpacker) (5 个答案) 关闭 3 年前。 我正在尝试使用 UJS
我正在开发一个当前使用 Rails 1.2 的 Rails 应用程序,所以我现在离最新的稳定版本(Rails 2.3)还有很长的路要走。 我应该如何进行迁移到更新版本的 Rails 的过程? 我应该一
尝试按照 Ryan Bates Backbone.js 教程构建抽奖应用程序,但我已经遇到了第一段代码的问题。在 application.js 的 init 函数中,他初始化了 Raffler 路由的
我正在使用 Rails 3.2 并且我有一个数据库表,我想在其中找到符合以下条件的所有行: a = true and b = true and ( 0 true, :b =>
我有一个用户类和一个联系人,其中联系人是用户的子类。这两个类都存储在用户表中。 我的联系人可能有也可能没有电子邮件地址,而我的用户需要一个电子邮件地址(我的用户模型定义中有 validates_pre
我正在编写一个教程,我在其中演示了一些 rails 命令。在我的机器上 rails和 script/rails两者都同样有效。有“首选”形式吗?两者中哪一个更普遍? 最佳答案 当您运行 rails 时
我正在寻找有关通过我的应用程序前进的最佳方式的建议,这是我首次开始集成Elasticsearch。我是一名初学者,但是热衷于深入研究,以便原谅任何明显的错误! 我遵循了http://www.sitep
我刚刚用 Rails new 启动了一个新的 Rails 应用程序,将默认数据库设置更改为 PostgresSQL。我用 bin/rails s 启动服务器,结果很奇怪 2016-04-21 05:0
我收到一个参数并希望它是这样的字符串: "abc,efg" 或者像这样的数组 ["abc","efg"] 在第一种情况下,我想将它转换成一个数组,什么是好的方法? 这是我的想法 if params[:
我刚刚用 Rails new 启动了一个新的 Rails 应用程序,将默认数据库设置更改为 PostgresSQL。我用 bin/rails s 启动服务器,结果很奇怪 2016-04-21 05:0
我收到一个参数并希望它是这样的字符串: "abc,efg" 或者像这样的数组 ["abc","efg"] 在第一种情况下,我想将它转换成一个数组,什么是好的方法? 这是我的想法 if params[:
我有 Rails 4,这是我的默认版本(我仍然希望它是)。但我不想在我的电脑上添加 rails 3.2。在以下命令中:gem install rails -v 3.2.16 我有这个警告: railt
您好,我想使用 Sheevaplug 构建一个“Rails Brick”来自 Marvell(操作系统是开箱即用的 Ubuntu,但您可以在其上安装其他发行版)。它将成为家庭服务器和静音、低成本(99
我需要能够从 Rails 控制台发送我的 Rails 应用程序的 Postgres 数据库中所有未接受的邀请。 (我有一个名为 Invitations 的表,其中包含一个名为 accepted 的 b
validate :cannot_modify_if_locked, on: :update def cannot_modify_if_locked if self.locked erro
我正在学习教程(学习 Rails 播客),需要更改以下路由语法,以便它与 Rails 3.0 兼容。谁能帮忙? map.view_page ':name', :controller => 'viewe
我是一名优秀的程序员,十分优秀!