Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS CloudHSM Befehlszeilenschnittstelle (CLI)
**CloudHSM CLI** hilft Administratoren bei der Verwaltung von Benutzern und Krypto-Benutzern bei der Verwaltung von Schlüsseln in ihrem Cluster in. AWS CloudHSM Die CLI enthält Tools, mit denen Benutzer erstellt, gelöscht und aufgelistet, Benutzerkennwörter geändert und die Benutzer-Multi-Faktor-Authentifizierung (MFA) aktualisiert werden können. Sie umfasst auch Befehle zum Generieren, Löschen, Importieren und Exportieren von Schlüsseln, zum Abrufen und Festlegen von Attributen, zum Suchen von Schlüsseln und zum Ausführen kryptografischer Operationen.
Eine definierte Liste von CloudHSM-CLI-Benutzern finden Sie unter [HSM-Benutzerverwaltung mit CloudHSM CLI](manage-hsm-users-chsm-cli.md). Eine definierte Liste von Schlüsselattributen für die CloudHSM-CLI finden Sie unter. [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md) Informationen zur Verwendung der CloudHSM-CLI zur Verwaltung von Schlüsseln finden Sie unter. [Schlüsselverwaltung mit CloudHSM CLI](manage-keys-chsm-cli.md)
Informationen zum schnellen Einstieg finden Sie unter [Erste Schritte mit der AWS CloudHSM Befehlszeilenschnittstelle (CLI)](cloudhsm_cli-getting-started.md). Detaillierte Informationen über die CloudHSM-CLI-Befehle und Beispiele zu ihrer Verwendung finden Sie unter [Referenz für CloudHSM-CLI-Befehle](cloudhsm_cli-reference.md).
**Topics**
+ [Unterstützte Plattformen](cloudhsm-cli-support.md)
+ [Erste Schritte](cloudhsm_cli-getting-started.md)
+ [Befehlsmodi](cloudhsm_cli-modes.md)
+ [Schlüsselattribute](cloudhsm_cli-key-attributes.md)
+ [Erweiterte -Konfigurationen](cloudhsm_cli-configs.md)
+ [Referenz](cloudhsm_cli-reference.md)
# AWS CloudHSM Von der Befehlszeilenschnittstelle (CLI) unterstützte Plattformen
In diesem Thema werden die Linux- und Windows-Plattformen beschrieben, die von der AWS CloudHSM CLI unterstützt werden.
## Linux-Support
| Unterstützte Plattformen | X86\$164-Architektur | ARM-Architektur |
| --- | --- | --- |
| Amazon Linux 2 | Ja | Ja |
| Amazon Linux 2023 | Ja | Ja |
| Red Hat Enterprise Linux 8 (8.3\$1) | Ja | Ja |
| RedHat Enterprise Linux 9 (9,2 und höher) | Ja | Ja |
| RedHat Enterprise Linux 10 (10.0\$1) | Ja | Ja |
| Ubuntu 22.04 LTS | Ja | Ja |
| Ubuntu 24.04 LTS | Ja | Ja |
+ SDK 5.16 war die letzte Version, die Unterstützung für die Ubuntu 20.04 LTS-Plattform bot. [Weitere Informationen finden Sie auf der Ubuntu-Website.](https://ubuntu.com/blog/ubuntu-20-04-lts-end-of-life-standard-support-is-coming-to-an-end-heres-how-to-prepare)
+ SDK 5.12 war die letzte Version, die CentOS 7 (7.8\$1) Plattformunterstützung bot. Weitere Informationen finden Sie auf der [CentOS-Website](https://blog.centos.org/2023/04/end-dates-are-coming-for-centos-stream-8-and-centos-linux-7/).
+ SDK 5.12 war die letzte Version, die Unterstützung für die Plattform Red Hat Enterprise Linux 7 (7.8\$1) bot. Weitere Informationen finden Sie auf der [Red](https://www.redhat.com/en/technologies/linux-platforms/enterprise-linux/rhel-7-end-of-maintenance) Hat Website.
+ SDK 5.4.2 war die letzte Version, die CentOS 8-Plattformunterstützung bot. Weitere Informationen finden Sie auf der [CentOS-Website](https://www.centos.org/centos-linux-eol/).
## Windows-Unterstützung
+ Microsoft Windows Server 2016
+ Microsoft Windows Server 2019
+ Microsoft Windows Server 2022
+ Microsoft Windows Server 2025
# Erste Schritte mit der AWS CloudHSM Befehlszeilenschnittstelle (CLI)
Mit der CloudHSM CLI Command Line Interface (CLI) können Sie Benutzer in Ihrem AWS CloudHSM Cluster verwalten. Verwenden Sie dieses Thema, um mit grundlegenden Benutzerverwaltungsaufgaben des Hardware Security Module (HSM) zu beginnen, z. B. Benutzer erstellen, Benutzer auflisten und CloudHSM CLI mit dem Cluster verbinden.
**Topics**
+ [Installieren Sie die CloudHSM-CLI](w2aac23c15c13b7.md)
+ [Verwenden Sie die CloudHSM-CLI](cloudhsm_cli-getting-started-use.md)
# Installieren Sie die CloudHSM-CLI
Verwenden Sie die folgenden Befehle, um die CloudHSM-CLI für herunterzuladen und zu installieren. AWS CloudHSM
------
#### [ Amazon Linux 2023 ]
Amazon Linux 2023 auf x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.amzn2023.x86_64.rpm
```
Amazon Linux 2023 zur ARM64 Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Amzn2023/cloudhsm-cli-latest.amzn2023.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.amzn2023.aarch64.rpm
```
------
#### [ Amazon Linux 2 ]
Amazon Linux 2 auf x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el7.x86_64.rpm
```
Amazon Linux 2 zur ARM64 Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL7/cloudhsm-cli-latest.el7.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el7.aarch64.rpm
```
------
#### [ RHEL 10 (10.0\$1) ]
RHEL 10 auf der x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el10.x86_64.rpm
```
RHEL 10 zur Architektur: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL10/cloudhsm-cli-latest.el10.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el10.aarch64.rpm
```
------
#### [ RHEL 9 (9.2\$1) ]
RHEL 9 auf der x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el9.x86_64.rpm
```
RHEL 9 zur Architektur: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL9/cloudhsm-cli-latest.el9.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el9.aarch64.rpm
```
------
#### [ RHEL 8 (8.3\$1) ]
RHEL 8 auf x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.x86_64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el8.x86_64.rpm
```
RHEL 8 zur ARM64 Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/EL8/cloudhsm-cli-latest.el8.aarch64.rpm
```
```
$ sudo yum install ./cloudhsm-cli-latest.el8.aarch64.rpm
```
------
#### [ Ubuntu 24.04 LTS ]
Ubuntu 24.04 LTS auf der x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_amd64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u24.04_amd64.deb
```
Ubuntu 24.04 LTS zur Architektur: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Noble/cloudhsm-cli_latest_u24.04_arm64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u24.04_arm64.deb
```
------
#### [ Ubuntu 22.04 LTS ]
Ubuntu 22.04 LTS auf der x86\$164-Architektur:
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_amd64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u22.04_amd64.deb
```
Ubuntu 22.04 LTS zur Architektur: ARM64
```
$ wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Jammy/cloudhsm-cli_latest_u22.04_arm64.deb
```
```
$ sudo apt install ./cloudhsm-cli_latest_u22.04_arm64.deb
```
------
#### [ Windows Server 2022 ]
Öffnen Sie Windows Server 2022 auf einer x86\$164-Architektur PowerShell als Administrator und führen Sie den folgenden Befehl aus:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
#### [ Windows Server 2019 ]
Öffnen Sie Windows Server 2019 auf einer x86\$164-Architektur PowerShell als Administrator und führen Sie den folgenden Befehl aus:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
#### [ Windows Server 2016 ]
Öffnen Sie Windows Server 2016 auf einer x86\$164-Architektur PowerShell als Administrator und führen Sie den folgenden Befehl aus:
```
PS C:\> wget https://s3.amazonaws.com/cloudhsmv2-software/CloudHsmClient/Windows/AWSCloudHSMCLI-latest.msi -Outfile C:\AWSCloudHSMCLI-latest.msi
```
```
PS C:\> Start-Process msiexec.exe -ArgumentList '/i C:\AWSCloudHSMCLI-latest.msi /quiet /norestart /log C:\client-install.txt' -Wait
```
------
Verwenden Sie die folgenden Befehle, um CloudHSM-CLI zu konfigurieren.
**So bootstrappen Sie eine Linux-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Configure-Tool, um die IP-Adresse der HSM(s) in Ihrem Cluster anzugeben.
```
$ sudo /opt/cloudhsm/bin/configure-cli -a
```
**So bootstrappen Sie eine Windows-EC2-Instance für Client-SDK 5**
+ Verwenden Sie das Configure-Tool, um die IP-Adresse der HSM(s) in Ihrem Cluster anzugeben.
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" -a
```
# Verwenden Sie die CloudHSM-CLI
Verwenden Sie die folgenden Befehle, um die CloudHSM-CLI zu starten und zu verwenden.
1. Verwenden Sie den folgenden Befehl, um die CloudHSM-CLI zu starten.
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
1. Verwenden Sie den **login**-Befehl, um sich beim Cluster anzumelden. Alle Benutzer können diesen Befehl verwenden.
Mit dem Befehl im folgenden Beispiel wird *admin* angemeldet, das Standard-[Admin](understanding-users.md)-Konto. Sie legen das Passwort für diesen Benutzer nach der [Aktivierung des Clusters](activate-cluster.md) fest.
```
aws-cloudhsm > login --username admin --role admin
```
Sie werden vom System aufgefordert, Ihr Passwort einzugeben. Sie geben das Passwort ein und die Ausgabe zeigt, dass der Befehl erfolgreich war.
```
Enter password:
{
"error_code": 0,
"data": {
"username": "admin",
"role": "admin"
}
}
```
1. Führen Sie den **user list**-Befehl aus, um alle Benutzer im Cluster aufzulisten.
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
}
]
}
}
```
1. Verwenden Sie **user create**, um einen CU-Benutzer mit dem Namen **example\$1user** zu erstellen.
Sie können erstellen CUs , weil Sie sich in einem vorherigen Schritt als Admin-Benutzer angemeldet haben. Nur Admin-Benutzer können Benutzerverwaltungsaufgaben wie das Erstellen und Löschen von Benutzern und das Ändern der Passwörter anderer Benutzer ausführen.
```
aws-cloudhsm > user create --username example_user --role crypto-user
Enter password:
Confirm password:
{
"error_code": 0,
"data": {
"username": "example_user",
"role": "crypto-user"
}
}
```
1. Verwenden Sie **user list**, um alle Benutzer im Cluster aufzulisten.
```
aws-cloudhsm > user list
{
"error_code": 0,
"data": {
"users": [
{
"username": "admin",
"role": "admin",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "example_user",
"role": "crypto_user",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
},
{
"username": "app_user",
"role": "internal(APPLIANCE_USER)",
"locked": "false",
"mfa": [],
"cluster-coverage": "full"
}
]
}
}
```
1. Verwenden Sie den **logout** Befehl, um sich vom AWS CloudHSM Cluster abzumelden.
```
aws-cloudhsm > logout
{
"error_code": 0,
"data": "Logout successful"
}
```
1. Verwenden Sie den **quit**-Befehl, um die CLI zu stoppen.
```
aws-cloudhsm > quit
```
# Befehlsmodi in der CloudHSM-CLI
In der CloudHSM-CLI können Sie Befehle auf zwei verschiedene Arten ausführen: im Einzelbefehlsmodus und im interaktiven Modus. Der interaktive Modus ist für Benutzer konzipiert, und der Einzelbefehlsmodus ist für Skripts konzipiert.
**Anmerkung**
Alle Befehle funktionieren im interaktiven Modus und im Einzelbefehlsmodus.
## interaktiver Modus
Verwenden Sie die folgenden Befehle, um den interaktiven CloudHSM-CLI-Modus zu starten
------
#### [ Linux ]
```
$ /opt/cloudhsm/bin/cloudhsm-cli interactive
```
------
#### [ Windows ]
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive
```
------
Wenn Sie die CLI im interaktiven Modus verwenden, können Sie sich mit dem **login**-Befehl bei einem Benutzerkonto anmelden.
```
aws-cloudhsm > login --username --role ROLE>
```
Um alle CloudHSM-CLI-Befehle auszuführen, führen Sie den folgenden Befehl aus:
```
aws-cloudhsm > help
```
Um die Syntax für einen CloudHSM-CLI-Befehl anzufordern, führen Sie den folgenden Befehl aus:
```
aws-cloudhsm > help
```
Um eine Liste der Benutzer auf dem zu erhalten HSMs, geben Sie ein**user list**.
```
aws-cloudhsm > user list
```
Um Ihre CloudHSM-CLI-Sitzung zu beenden, führen Sie den folgenden Befehl aus:
```
aws-cloudhsm > quit
```
## Einzelbefehlsmodus
**Anmerkung**
Wenn Sie den Einzelbefehlsmodus verwenden, müssen Sie alle Sonderzeichen in Umgebungsvariablen und Befehlszeilenargumenten maskieren, die von Ihrer Shell interpretiert werden könnten.
Wenn Sie die CloudHSM-CLI im Einzelbefehlsmodus ausführen, müssen Sie zwei Umgebungsvariablen setzen, um die Anmeldedaten bereitzustellen: CLOUDHSM\$1PIN und CLOUDHSM\$1ROLE:
```
$ export CLOUDHSM_ROLE=admin
```
```
$ export CLOUDHSM_PIN=admin_username:admin_password
```
Danach können Sie Befehle mit den in Ihrer Umgebung gespeicherten Anmeldeinformationen ausführen.
```
$ cloudhsm-cli user change-password --username alice --role crypto-user
Enter password:
Confirm password:
{
"error_code": 0,
"data": {
"username": "alice",
"role": "crypto-user"
}
}
```
# Schlüsselattribute für CloudHSM-CLI
In diesem Thema wird beschrieben, wie Sie die CloudHSM-CLI zum Festlegen von Schlüsselattributen verwenden. Ein Schlüsselattribut in der CloudHSM-CLI kann den Typ eines Schlüssels definieren, wie ein Schlüssel funktionieren kann oder wie ein Schlüssel beschriftet wird. Einige Attribute definieren eindeutige Merkmale (z. B. den Typ eines Schlüssels). Andere Attribute können auf true oder false gesetzt werden. Wenn Sie sie ändern, wird entweder ein Teil der Funktionalität des Schlüssels aktiviert oder deaktiviert.
Beispiele zur Verwendung von Schlüsselattributen finden Sie in den Befehlen, die unter dem übergeordneten Befehl [Die Schlüsselkategorie in CloudHSM CLI](cloudhsm_cli-key.md) aufgeführt sind.
Die folgenden Themen enthalten zusätzliche Informationen zu Schlüsselattributen in der CloudHSM-CLI.
**Topics**
+ [Unterstützte Attribute](cloudhsm_cli-key-attributes-table.md)
+ [Prüfwert](chsm-cli-key-attribute-details.md)
+ [Verwandte Themen](chsm_cli-key-attributes-seealso.md)
# Unterstützte Attribute für CloudHSM CLI
Als bewährte Methode legen Sie nur Werte für Attribute fest, die Sie einschränken möchten. Wenn Sie keinen Wert angeben, verwendet CloudHSM-CLI den in der folgenden Tabelle angegebenen Standardwert.
In der folgenden Tabelle sind die wichtigsten Attribute, möglichen Werte, Standardwerte und zugehörige Hinweise für die CloudHSM-CLI aufgeführt. Eine leere Zelle in der Spalte **Wert** gibt an, dass dem Attribut kein spezifischer Standardwert zugewiesen ist.
****
| CloudHSM-CLI-Attribut | Wert | Modifizierbar mit [key set-attribute](cloudhsm_cli-key-set-attribute.md) | Kann bei der Schlüsselerstellung eingestellt werden |
| --- | --- | --- | --- |
| always-sensitive | Der Wert ist `True`, wenn `sensitive` immer auf `True` gesetzt wurde und sich nie geändert hat. | Nein | Nein |
| check-value | Der Prüfwert des Schlüssels. Weitere Informationen finden Sie unter [Weitere Details](chsm-cli-key-attribute-details.md). | Nein | Nein |
| class | Die möglichen Werte lauten: `secret-key`, `public-key` und `private-key`. | Nein | Ja |
| curve | Elliptische Kurve, die zur Generierung des EC-Schlüsselpaars verwendet wird. Gültige Werte:`secp224r1`,`secp256r1`,, `prime256v1``secp384r1`, und `secp256k1` `secp521r1` `ed25519` `ed25519`wird nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt. | Nein | Einstellbar mit EC, nicht einstellbar mit RSA |
| decrypt | Standard: `False` | Ja | Ja |
| derive | Standard: `False` | Derive kann für hsm2m.medium-Instances festgelegt werden. Es kann nicht für RSA-Schlüssel auf hsm1.medium-Instances festgelegt werden. | Ja |
| destroyable | Standard: `True` | Ja | Ja |
| ec-point | Bei EC-Schlüsseln die DER-Kodierung des ANSI ECPoint X9.62-Werts „Q“ in einem Hexadezimalformat. Für andere Schlüsseltypen ist dieses Attribut nicht vorhanden. | Nein | Nein |
| encrypt | Standard: `False` | Ja | Ja |
| extractable | Standard: `True` | Nein | Ja |
| id | Standard: leer | Die ID kann auf hsm2m.medium-Instanzen festgelegt werden. Sie kann nicht auf hsm1.medium-Instances festgelegt werden. | Ja |
| key-length-bytes | Erforderlich für die Generierung eines AES-Schlüssels.Gültige Werte: `16`, `24` und `32` Byte. | Nein | Nein |
| key-type | Die möglichen Werte lauten: `aes`, `rsa` und `ec`. | Nein | Ja |
| label | Standard: leer | Ja | Ja |
| local | Standard: `True` für Schlüssel, die im HSM generiert wurden, `False` für Schlüssel, die in das HSM importiert wurden. | Nein | Nein |
| modifiable | Standard: `True` | Kann von „wahr“ auf „falsch“ geändert werden, aber nicht von „falsch“ auf „wahr“. | Ja |
| modulus | Der Modulus, der zum Generieren eines RSA-Schlüsselpaares verwendet wurde. Für andere Schlüsseltypen ist dieses Attribut nicht vorhanden. | Nein | Nein |
| modulus-size-bits | Erforderlich für die Generierung eines RSA-Schlüsselpaars.Der Mindestwert ist `2048`. | Nein | Einstellbar mit RSA, nicht einstellbar mit EC |
| never-extractable | Der Wert ist `True`, wenn extrahierbar noch nie auf `False` gesetzt wurde. Der Wert ist `False`, wenn extrahierbar jemals auf `True` gesetzt wurde. | Nein | Nein |
| private | Standard: `True` | Nein | Ja |
| public-exponent | Erforderlich für die Generierung eines RSA-Schlüsselpaars.Gültige Werte: Bei diesem Wert muss es sich eine ungerade Zahl gleich oder größer als `65537` handeln. | Nein | Einstellbar mit RSA, nicht einstellbar mit EC |
| sensitive | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes-table.html) | Nein | Einstellbar mit privaten Schlüsseln, nicht einstellbar mit öffentlichen Schlüsseln. |
| sign | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes-table.html) | Ja | Ja |
| token | Standard: `True` | Kann von falsch zu wahr geändert werden, aber nicht von wahr zu falsch. | Ja |
| trusted | Standard: `False` | Nur Admin-Benutzer können diesen Parameter festlegen. | Nein |
| unwrap | Standard: False | Ja | Ja, außer für öffentliche Schlüssel. |
| unwrap-template | Für die Werte sollte die Attributvorlage verwendet werden, die auf jeden Schlüssel angewendet wird, der mit diesem Schlüssel zum Packen entpackt wird. | Ja | Nein |
| verify | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/cloudhsm_cli-key-attributes-table.html) | Ja | Ja |
| wrap | Standard: False | Ja | Ja, außer für private Schlüssel. |
| wrap-template | Für die Werte sollte die Attributvorlage verwendet werden, die dem Schlüssel entspricht, der mit diesem Schlüssel zum Packen gepackt wurde. | Ja | Nein |
| wrap-with-trusted | Standard: `False` | Ja | Ja |
# Wert in CloudHSM CLI überprüfen
Der *Prüfwert* in der CloudHSM-CLI ist ein 3-Byte-Hash oder eine Prüfsumme eines Schlüssels, der generiert wird, wenn das HSM einen Schlüssel importiert oder generiert. Sie können einen Prüfwert auch außerhalb des HSM berechnen, z. B. nachdem Sie einen Schlüssel exportiert haben. Anschließend können Sie die Prüfwerte vergleichen, um die Identität und Integrität des Schlüssels zu bestätigen. Um den Prüfwert eines Schlüssels zu ermitteln, verwenden Sie die [Schlüsselliste](cloudhsm_cli-key-list.md) mit dem verbose-Flag.
AWS CloudHSM verwendet die folgenden Standardmethoden, um einen Prüfwert zu generieren:
+ **Symmetrische Schlüssel**: Die ersten 3 Byte des Ergebnisses der Verschlüsselung eines Nullblocks mit dem Schlüssel.
+ **Asymmetrische Schlüsselpaare**: Die ersten 3 Byte des SHA-1-Hashs des öffentlichen Schlüssels.
+ **HMAC-Schlüssel**: KCV für HMAC-Schlüssel wird derzeit nicht unterstützt.
# Verwandte Themen für CloudHSM CLI
In den folgenden Themen finden Sie weitere Informationen zur CloudHSM-CLI.
+ [Die Schlüsselkategorie in CloudHSM CLI](cloudhsm_cli-key.md)
+ [Referenz für CloudHSM-CLI-Befehle](cloudhsm_cli-reference.md)
# Erweiterte Konfigurationen für CloudHSM CLI
Die AWS CloudHSM Befehlszeilenschnittstelle (CLI) umfasst die folgende erweiterte Konfiguration, die nicht Teil der allgemeinen Konfigurationen ist, die die meisten Kunden verwenden. Diese Konfigurationen bieten zusätzliche Funktionen.
+ [Verbindung zu mehreren Clustern herstellen](cloudhsm_cli-configs-multi-cluster.md)
# Verbindung zu mehreren Clustern mit CloudHSM CLI herstellen
Mit AWS CloudHSM Client SDK 5 können Sie die CloudHSM-CLI so konfigurieren, dass Verbindungen zu mehreren CloudHSM-Clustern von einer einzigen CLI-Instanz aus möglich sind.
In den folgenden Themen wird beschrieben, wie Sie die CloudHSM CLI Multi-Cluster-Funktionalität verwenden, um eine Verbindung mit mehreren Clustern herzustellen.
**Topics**
+ [Voraussetzungen](cloudhsm_cli-multi-cluster-prereqs.md)
+ [Konfigurieren Sie die Multi-Cluster-Funktionalität](cloudhsm_cli-multi-cluster-config-run.md)
+ [Fügen Sie einen Cluster hinzu](cloudhsm_cli-multi-cluster-add-cluster.md)
+ [Entfernen Sie einen Cluster](cloudhsm_cli-multi-cluster-remove-cluster.md)
+ [Interagieren Sie mit Clustern](cloudhsm_cli-multi-cluster-usage.md)
# Voraussetzungen für mehrere Cluster AWS CloudHSM
Bevor Sie Ihren Cluster so konfigurieren, dass er eine Verbindung AWS CloudHSM zu mehreren Clustern herstellt, müssen Sie die folgenden Voraussetzungen erfüllen:
+ Zwei oder mehr AWS CloudHSM Cluster, zu denen Sie eine Verbindung herstellen möchten, zusammen mit ihren Clusterzertifikaten.
+ Eine EC2 Instance mit Sicherheitsgruppen, die korrekt konfiguriert sind, um eine Verbindung zu allen oben genannten Clustern herzustellen. Weitere Informationen zum Einrichten eines Clusters und der Client-Instanz finden Sie unter [Erste Schritte mit AWS CloudHSM](getting-started.md).
+ Um die Multi-Cluster-Funktionalität einzurichten, müssen Sie die CloudHSM-CLI bereits heruntergeladen und installiert haben. Wenn Sie dies noch nicht getan haben, lesen Sie die Anweisungen unter [Erste Schritte mit der AWS CloudHSM Befehlszeilenschnittstelle (CLI)](cloudhsm_cli-getting-started.md).
+ Sie können nicht auf einen Cluster zugreifen, der mit konfiguriert ist, `./configure-cli[.exe] -a` da er nicht mit einem verknüpft ist. `cluster-id` Sie können ihn neu konfigurieren, indem Sie `config-cli add-cluster` wie in diesem Handbuch beschrieben vorgehen.
# Konfigurieren Sie die CloudHSM-CLI für Multi-Cluster-Funktionalität
Gehen Sie folgendermaßen vor, um Ihre CloudHSM-CLI für Multi-Cluster-Funktionalität zu konfigurieren:
1. Identifizieren Sie die Cluster, mit denen Sie eine Verbindung herstellen möchten.
1. Fügen Sie diese Cluster mithilfe des `add-cluster` Unterbefehls [configure-cli](configure-sdk-5.md) wie unten beschrieben zu Ihrer CloudHSM CLI-Konfiguration hinzu.
1. Starten Sie alle CloudHSM CLI-Prozesse neu, damit die neue Konfiguration wirksam wird.
# Fügen Sie Ihrer Konfiguration einen Cluster hinzu AWS CloudHSM
Wenn Sie eine Verbindung zu mehreren Clustern herstellen, verwenden Sie den `configure-cli add-cluster` Befehl, um Ihrer Konfiguration einen Cluster hinzuzufügen.
## Syntax
```
configure-cli add-cluster [OPTIONS]
--cluster-id
[--region ]
[--endpoint ]
[--hsm-ca-cert ]
[--client-cert-hsm-tls-file ]
[--client-key-hsm-tls-file ]
[-h, --help]
```
## Beispiele
### Fügen Sie mithilfe des `cluster-id`-Parameters einen Cluster hinzu
**Example**
Verwenden Sie den `configure-cli add-cluster` zusammen mit dem `cluster-id`-Parameter, um Ihrer Konfiguration einen Cluster (mit der ID von `cluster-1234567`) hinzuzufügen.
```
$ sudo /opt/cloudhsm/bin/configure-cli add-cluster --cluster-id
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" add-cluster --cluster-id
```
**Tipp**
Wenn die Verwendung von `configure-cli add-cluster` mit dem `cluster-id`-Parameter nicht dazu führt, dass der Cluster hinzugefügt wird, finden Sie im folgenden Beispiel eine längere Version dieses Befehls, die auch die Parameter `--region` und `--endpoint` zur Identifizierung des hinzugefügten Clusters erfordert. Wenn zum Beispiel die Region des Clusters eine andere ist als die, die als Standard für Ihre AWS CLI konfiguriert ist, sollten Sie den `--region`-Parameter verwenden, um die richtige Region zu verwenden. Darüber hinaus haben Sie die Möglichkeit, den AWS CloudHSM API-Endpunkt anzugeben, der für den Anruf verwendet werden soll. Dies kann für verschiedene Netzwerkkonfigurationen erforderlich sein, z. B. für die Verwendung von VPC-Schnittstellenendpunkten, für die nicht den Standard-DNS-Hostnamen verwendet wird. AWS CloudHSM
### Fügen Sie einen Cluster mit den Parametern `cluster-id`, `endpoint`, und `region` hinzu
**Example**
Verwenden Sie `configure-cli add-cluster` zusammen mit den Parametern `cluster-id`, `endpoint` und `region`, um Ihrer Konfiguration einen Cluster (mit der ID von `cluster-1234567`) hinzuzufügen.
```
$ sudo /opt/cloudhsm/bin/configure-cli add-cluster --cluster-id --region --endpoint
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" add-cluster --cluster-id --region --endpoint
```
Weitere Hinweise zu den Parametern `--cluster-id`, `--region` und `--endpoint` finden Sie unter [AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md).
## Parameters
**--cluster-id ****
Führt einen `DescribeClusters`-Aufruf aus, um alle IP-Adressen der HSM-Elastic-Network-Schnittstelle (ENI) im Cluster mit der Cluster-ID zu finden. Das System fügt die ENI-IP-Adressen zu den AWS CloudHSM Konfigurationsdateien hinzu.
Wenn Sie den `--cluster-id` Parameter von einer EC2 Instance innerhalb einer VPC verwenden, die keinen Zugriff auf das öffentliche Internet hat, müssen Sie einen VPC-Schnittstellen-Endpunkt erstellen, mit dem Sie eine Verbindung herstellen können. AWS CloudHSM Weitere Informationen über VPC-Endpunkte finden Sie unter [AWS CloudHSM und VPC-Endpunkte](cloudhsm-vpc-endpoint.md).
Erforderlich: Ja
**--endpoint ****
Geben Sie den AWS CloudHSM API-Endpunkt an, der für den `DescribeClusters` Aufruf verwendet wird. Sie müssen diese Option in Kombination mit `--cluster-id` festlegen.
Erforderlich: Nein
**--hsm-ca-cert ****
Gibt den Dateipfad zum HSM-CA-Zertifikat an.
Erforderlich: Nein
**--region ****
Geben Sie die Region Ihres Clusters an. Sie müssen diese Option in Kombination mit `--cluster-id` festlegen.
Wenn Sie den `--region`-Parameter nicht angeben, wählt das System die Region aus, indem es versucht, die Umgebungsvariablen `AWS_DEFAULT_REGION` oder `AWS_REGION` zu lesen. Wenn diese Variablen nicht festgelegt sind, überprüft das System die Region, die Ihrem Profil in Ihrer AWS-Config-Datei zugeordnet ist (normalerweise `~/.aws/config`), sofern Sie in der `AWS_CONFIG_FILE`-Umgebungsvariable keine andere Datei angegeben haben. Wenn keine der oben genannten Optionen festgelegt ist, verwendet das System standardmäßig die `us-east-1`-Region.
Erforderlich: Nein
**-- -Datei client-cert-hsm-tls ****
Pfad zum Client-Zertifikat, das für die gegenseitige Authentifizierung zwischen TLS Client und HSM verwendet wird.
Verwenden Sie diese Option nur, wenn Sie mindestens einen Vertrauensanker auf HSM mit CloudHSM CLI registriert haben. Sie müssen diese Option in Kombination mit `--client-key-hsm-tls-file` festlegen.
Erforderlich: Nein
**-- -Datei client-key-hsm-tls ****
Pfad zum Client-Schlüssel, der für die gegenseitige Authentifizierung zwischen TLS Client und HSM verwendet wird.
Verwenden Sie diese Option nur, wenn Sie mindestens einen Vertrauensanker auf HSM mit CloudHSM CLI registriert haben. Sie müssen diese Option in Kombination mit `--client-cert-hsm-tls-file` festlegen.
Erforderlich: Nein
# Entfernen Sie einen Cluster aus Ihrer Konfiguration AWS CloudHSM
Wenn Sie mit der CloudHSM-CLI eine Verbindung zu mehreren Clustern herstellen, verwenden Sie den `configure-cli remove-cluster` Befehl, um einen Cluster aus Ihrer Konfiguration zu entfernen.
## Syntax
```
configure-cli remove-cluster [OPTIONS]
--cluster-id
[-h, --help]
```
## Beispiele
### Entfernen Sie mithilfe des `cluster-id`-Parameters einen Cluster
**Example**
Verwenden Sie den `configure-cli remove-cluster` zusammen mit dem `cluster-id`-Parameter, um aus Ihrer Konfiguration einen Cluster (mit der ID von `cluster-1234567`) zu entfernen.
```
$ sudo /opt/cloudhsm/bin/configure-cli remove-cluster --cluster-id
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" remove-cluster --cluster-id
```
Weitere Informationen zum Parameter `--cluster-id` erhalten Sie unter [AWS CloudHSM Konfigurationsparameter für das Client-SDK 5](configure-tool-params5.md).
## Parameter
**--cluster-id ****
Die ID des Clusters, der aus der Konfiguration entfernt werden soll.
Erforderlich: Ja
# Interagieren Sie mit mehreren Clustern in AWS CloudHSM
Nachdem Sie mehrere Cluster mit der CloudHSM-CLI konfiguriert haben, verwenden Sie den `cloudhsm-cli` Befehl, um mit ihnen zu interagieren.
## Beispiele
### `cluster-id`Bei Verwendung des interaktiven Modus einen Standard festlegen
**Example**
Verwenden Sie den [interaktiver Modus](cloudhsm_cli-modes.md#cloudhsm_cli-mode-interactive) zusammen mit dem `cluster-id` Parameter, um einen Standardcluster (mit der ID von`cluster-1234567`) aus Ihrer Konfiguration festzulegen.
```
$ cloudhsm-cli interactive --cluster-id
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" interactive --cluster-id
```
### Einstellung von`cluster-id`, wenn ein einzelner Befehl ausgeführt wird
**Example**
Verwenden Sie den `cluster-id` Parameter, um den Cluster (mit der ID von`cluster-1234567`) festzulegen, von [Liste HSMs mit CloudHSM CLI](cloudhsm_cli-cluster-hsm-info.md) dem aus Sie abrufen möchten.
```
$ cloudhsm-cli cluster hsm-info --cluster-id
```
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\cloudhsm-cli.exe" cluster hsm-info --cluster-id
```
# Referenz für CloudHSM-CLI-Befehle
CloudHSM CLI unterstützt Administratoren bei der Verwaltung von Benutzern in ihrem Cluster. AWS CloudHSM CloudHSM-CLI kann in zwei Modi ausgeführt werden: im interaktiven Modus und im Einzelbefehlsmodus. Informationen zum schnellen Einstieg finden Sie unter [Erste Schritte mit der AWS CloudHSM Befehlszeilenschnittstelle (CLI)](cloudhsm_cli-getting-started.md).
Um die meisten CloudHSM-CLI-Befehle auszuführen, müssen Sie die CloudHSM-CLI starten und sich beim HSM anmelden. Wenn Sie etwas hinzufügen oder löschen HSMs, aktualisieren Sie die Konfigurationsdateien für CloudHSM CLI. Andernfalls sind die Änderungen, die Sie vornehmen, möglicherweise nicht für alle HSMs Mitglieder des Clusters wirksam.
Die folgenden Themen beschreiben Befehle in CloudHSM-CLI.
| Befehl | Description | Benutzertyp |
| --- | --- | --- |
| [activate](cloudhsm_cli-cluster-activate.md) | Aktiviert ein CloudHSM-Cluster und bestätigt, dass das Cluster neu ist. Dies muss geschehen, bevor andere Operationen ausgeführt werden können. | Nicht aktivierter Admin |
| [hsm-info](cloudhsm_cli-cluster-hsm-info.md) | Listen Sie die HSMs in Ihrem Cluster auf. | Alle [1](#cli-ref-1), auch nicht authentifizierte Benutzer. Eine Anmeldung ist nicht erforderlich. |
| [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) | Generiert eine Signatur mithilfe eines privaten EC-Schlüssels und des ECDSA-Signaturmechanismus. | Crypto-Benutzer (Crypto User, CU) |
| [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) | Generiert eine Signatur unter Verwendung eines privaten Ed25519-Schlüssels und des HashEd DSA-Signaturmechanismus. | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) | Generiert eine Signatur unter Verwendung eines privaten RSA-Schlüssels und des RSA-PKCS-Signaturmechanismus. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) | Generiert eine Signatur unter Verwendung eines privaten RSA-Schlüssels und des Signaturmechanismus. RSA-PKCS-PSS | CU |
| [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) | Bestätigt, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde. Überprüft, ob die Signatur mithilfe des ECDSA-Signaturmechanismus generiert wurde. Vergleicht eine signierte Datei mit einer Quelldatei und ermittelt anhand eines bestimmten öffentlichen ECDSA-Schlüssels und Signaturmechanismus, ob die beiden kryptografisch verwandt sind. | CU |
| [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) | Überprüft HashEd DSA-Signaturen mithilfe eines öffentlichen Ed25519-Schlüssels. | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) | Bestätigt, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde. Überprüft, ob die Signatur mithilfe des RSA-PKCS-Signaturmechanismus generiert wurde. Vergleicht eine signierte Datei mit einer Quelldatei und bestimmt anhand eines bestimmten öffentlichen RSA-Schlüssels und Signaturmechanismus, ob die beiden kryptografisch verwandt sind. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) | Bestätigt, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde. Überprüft, ob die Signatur mithilfe des RSA-PKCS-PSS Signaturmechanismus generiert wurde. Vergleicht eine signierte Datei mit einer Quelldatei und ermittelt anhand eines bestimmten öffentlichen RSA-Schlüssels und Signaturmechanismus, ob die beiden kryptografisch verwandt sind. | CU |
| [key delete](cloudhsm_cli-key-delete.md) | Löscht einen Schlüssel aus Ihrem Cluster. AWS CloudHSM | CU |
| [key generate-file](cloudhsm_cli-key-generate-file.md) | Generiert eine Schlüsseldatei in Ihrem AWS CloudHSM Cluster. | CU |
| [Schlüssel generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) | Generiert ein asymmetrisches RSA-Schlüsselpaar in Ihrem AWS CloudHSM Cluster. | CU |
| [Schlüssel ec generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) | Generiert ein asymmetrisches key pair mit elliptischen Kurven (EC) in Ihrem Cluster. AWS CloudHSM | CU |
| [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md) | Generiert einen symmetrischen AES-Schlüssel in Ihrem Cluster. AWS CloudHSM | CU |
| [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md) | Generiert einen symmetrischen Generic Secret-Schlüssel in Ihrem AWS CloudHSM Cluster. | CU |
| [Schlüssel importieren (PEM)](cloudhsm_cli-key-import-pem.md) | Importiert einen Schlüssel im PEM-Format in ein HSM. Sie können ihn verwenden, um öffentliche und außerhalb des HSM erstellte Schlüssel zu importieren. | CU |
| [key list](cloudhsm_cli-key-list.md) | Findet alle Schlüssel für den aktuellen Benutzer in Ihrem AWS CloudHSM Cluster. | CU |
| [Schlüssel replizieren](cloudhsm_cli-key-replicate.md) | Replizieren Sie einen Schlüssel von einem Quellcluster auf einen geklonten Zielcluster. | CU |
| [key set-attribute](cloudhsm_cli-key-set-attribute.md) | Legt die Attribute der Schlüssel in Ihrem AWS CloudHSM Cluster fest. | CUs kann diesen Befehl ausführen, Admins können das vertrauenswürdige Attribut festlegen. |
| [key share](cloudhsm_cli-key-share.md) | Teilt sich einen Schlüssel mit anderen Mitgliedern CUs Ihres AWS CloudHSM Clusters. | CU |
| [key unshare](cloudhsm_cli-key-unshare.md) | Macht die gemeinsame Nutzung eines Schlüssels mit anderen CUs in Ihrem AWS CloudHSM Cluster rückgängig. | CU |
| [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md) | Entpackt einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des AES-GCM-Entpackungsmechanismus in den Cluster. | CU |
| [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md) | Entpackt einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des Entpackungsmechanismus in den Cluster. AES-NO-PAD | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md) | Entpackt einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des AES-PAD-Entpackungsmechanismus. PKCS5 | CU |
| [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md) | Entpackt einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des Entpackungsmechanismus in den Cluster. AES-ZERO-PAD | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md) | Entpackt mithilfe des AES-Wrapping-Schlüssels und des Entpackungsmechanismus einen Payload-Schlüssel in den Cluster. CLOUDHSM-AES-GCM | CU |
| [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md) | Entpackt einen Payload-Schlüssel mithilfe eines privaten RSA-Schlüssels und des RSA-AES-Entpackungsmechanismus. | CU |
| [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md) | Entpackt einen Payload-Schlüssel mithilfe des privaten RSA-Schlüssels und des RSA-OAEP-Entpackungsmechanismus. | CU |
| [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md) | Entpackt einen Payload-Schlüssel mithilfe des privaten RSA-Schlüssels und des RSA-PKCS-Entpackungsmechanismus. | CU |
| [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md) | Wrappt einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem HSM und des AES-GCM-Wrapping-Mechanismus ein. | CU |
| [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md) | Umschließt einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem HSM und dem Wrapping-Mechanismus. AES-NO-PAD | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md) | Umschließt einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem HSM und des AES-PAD-Wrapping-Mechanismus. PKCS5 | CU |
| [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md) | Umschließt einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem HSM und dem Wrapping-Mechanismus. AES-ZERO-PAD | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md) | Umschließt einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem HSM und dem Wrapping-Mechanismus. CLOUDHSM-AES-GCM | CUs |
| [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md) | Umschließt einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem HSM und des RSA-AES-Wrapping-Mechanismus. | CU |
| [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md) | Umschließt einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem HSM und des RSA-OAEP-Wrapping-Mechanismus. | CU |
| [ Umschließen eines Schlüssels mit RSA-PKCS mithilfe der CloudHSM-CLIrsa-pkcs Der **key wrap rsa-pkcs** Befehl umschließt einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem HSM und des Wrapping-Mechanismus. `RSA-PKCS` Verwenden Sie den **key wrap rsa-pkcs** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu verpacken. `RSA-PKCS` Das Attribut des Payload-Schlüssels `extractable` muss auf gesetzt sein. `true` Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden. Um den **key wrap rsa-pkcs** Befehl verwenden zu können, benötigen Sie zunächst einen RSA-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können ein RSA-Schlüsselpaar mit dem [Die generate-asymmetric-pair Kategorie in CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) Befehl und dem auf `true` gesetzten `wrap` Attribut generieren. Benutzertyp Die folgenden Benutzertypen können diesen Befehl ausführen. Crypto-Benutzer () CUs Voraussetzungen Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein. Syntax
```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [...] --wrapping-filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--payload-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
--wrapping-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
--path
Path to the binary file where the wrapped key data will be saved
--wrapping-approval
File path of signed quorum token file to approve operation for wrapping key
--payload-approval
File path of signed quorum token file to approve operation for payload key
-h, --help
Print help
``` Beispiel Dieses Beispiel zeigt, wie der **key wrap rsa-pkcs** Befehl mit einem öffentlichen RSA-Schlüssel verwendet wird.
**Example**
```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
"error_code": 0,
"data": {
"payload_key_reference": "0x00000000001c08f1",
"wrapping_key_reference": "0x00000000007008da",
"wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
}
``` Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
******
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.
Erforderlich: Ja
******
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.
Erforderlich: Nein
******
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.
Erforderlich: Ja
******
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.
******
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist. Verwandte Themen [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md) [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md) ](cloudhsm_cli-key-wrap-rsa-pkcs.md) | Umschließt einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem HSM und des RSA-PKCS-Wrapping-Mechanismus. | CU |
| [login](cloudhsm_cli-login.md) | Melden AWS CloudHSM Sie sich bei Ihrem Cluster an. | Administrator, Crypto-Benutzer (CU) und Appliance-Benutzer (AU) |
| [logout](cloudhsm_cli-logout.md) | Melden Sie sich von Ihrem AWS CloudHSM Cluster ab. | Administrator, CU und Appliance-Benutzer (AU) |
| [quorum token-sign delete](cloudhsm_cli-qm-token-del.md) | Löscht ein oder mehrere Token für einen vom Quorum autorisierten Dienst. | Admin. |
| [quorum token-sign generate](cloudhsm_cli-qm-token-gen.md) | Generiert ein Token für einen vom Quorum autorisierten Dienst. | Admin. |
| [quorum token-sign list](cloudhsm_cli-qm-token-list.md) | Listet alle token-sign-Quorum-Token auf, die in Ihrem CloudHSM-Cluster vorhanden sind. | Alle [1](#cli-ref-1), auch nicht authentifizierte Benutzer. Eine Anmeldung ist nicht erforderlich. |
| [Quorum-Tokenzeichen list-quorum-values](cloudhsm_cli-qm-token-list-qm.md) | Listet die in Ihrem CloudHSM-Cluster festgelegten Quorumwerte auf. | Alle [1](#cli-ref-1), auch nicht authentifizierte Benutzer. Eine Anmeldung ist nicht erforderlich. |
| [Quorum-Tokenzeichen set-quorum-value](cloudhsm_cli-qm-token-set-qm.md) | Legt einen neuen Quorumwert für einen vom Quorum autorisierten Dienst fest. | Admin. |
| [user change-mfa](cloudhsm_cli-user-change-mfa.md) | Ändert die Strategie zur Multi-Faktor-Authentifizierung (MFA) eines Benutzers. | Admin, CU |
| [user change-password](cloudhsm_cli-user-change-password.md) | Ändert die Passwörter von Benutzern auf dem. HSMs Jeder Benutzer kann das eigene Passwort ändern. Admins können das Passwort jedes Benutzers ändern. | Admin, CU |
| [user create](cloudhsm_cli-user-create.md) | Erstellt einen Benutzer in Ihrem AWS CloudHSM Cluster. | Admin. |
| [user delete](cloudhsm_cli-user-delete.md) | Löscht einen Benutzer in Ihrem AWS CloudHSM Cluster. | Admin. |
| [user list](cloudhsm_cli-user-list.md) | Listet die Benutzer in Ihrem AWS CloudHSM Cluster auf. | Alle [1](#cli-ref-1), auch nicht authentifizierte Benutzer. Eine Anmeldung ist nicht erforderlich. |
| [user change-quorum token-sign register](cloudhsm_cli-user-chqm-token-reg.md) | Registriert die Quorumstrategie mit Quorum-token-sign für einen Benutzer. | Admin. |
**Anmerkungen**
+ [1] Alle Benutzer umfasst alle aufgelisteten Rollen und Benutzer, die nicht angemeldet sind.
# Die Cluster-Kategorie in CloudHSM CLI
In der CloudHSM-CLI **cluster** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen Befehl erstellen, der spezifisch für Cluster ist. Derzeit besteht die Cluster-Kategorie aus den folgenden Befehlen:
**Topics**
+ [activate](cloudhsm_cli-cluster-activate.md)
+ [hsm-info](cloudhsm_cli-cluster-hsm-info.md)
+ [mtls](cloudhsm_cli-cluster-mtls.md)
# Aktivieren Sie einen Cluster mit CloudHSM CLI
Verwenden Sie den **cluster activate** Befehl in der CloudHSM-CLI, um [einen neuen Cluster in zu aktivieren](activate-cluster.md). AWS CloudHSM Dieser Befehl muss ausgeführt werden, bevor der Cluster zum Ausführen von kryptografischen Operationen verwendet werden kann.
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Nicht aktivierter Admin
## Syntax
Dieser Befehl hat keine Parameter.
```
aws-cloudhsm > help cluster activate
Activate a cluster
This command will set the initial Admin password. This process will cause your CloudHSM cluster to
move into the ACTIVE state.
USAGE:
cloudhsm-cli cluster activate [OPTIONS] [--password ]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--password
Optional: Plaintext activation password If you do not include this argument you will be prompted for it
-h, --help
Print help (see a summary with '-h')
```
## Beispiel
Dieser Befehl aktiviert Ihr Cluster, indem er das anfängliche Passwort für Ihren Admin-Benutzer festlegt.
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
## Verwandte Themen
+ [user create](cloudhsm_cli-user-create.md)
+ [user delete](cloudhsm_cli-user-delete.md)
+ [user change-password](cloudhsm_cli-user-change-password.md)
# Liste HSMs mit CloudHSM CLI
Verwenden Sie den **cluster hsm-info** Befehl in der CloudHSM-CLI, um die Hardware-Sicherheitsmodule (HSMs) in Ihrem AWS CloudHSM Cluster aufzulisten. Sie müssen nicht bei CloudHSM-CLI angemeldet sein, um diesen Befehl auszuführen.
**Anmerkung**
Wenn Sie hinzufügen oder löschen HSMs, aktualisieren Sie die Konfigurationsdateien, die der AWS CloudHSM Client und die Befehlszeilentools verwenden. Andernfalls sind die Änderungen, die Sie vornehmen, möglicherweise nicht für alle Mitglieder HSMs des Clusters wirksam.
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Alle Benutzer. Sie müssen nicht angemeldet sein, um diesen Befehl auszuführen.
## Syntax
```
aws-cloudhsm > help cluster hsm-info
List info about each HSM in the cluster
Usage: cloudhsm-cli cluster hsm-info [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Beispiel
Dieser Befehl listet die HSMs vorhandenen Elemente in Ihrem AWS CloudHSM Cluster auf.
```
aws-cloudhsm > cluster hsm-info
{
"error_code": 0,
"data": {
"hsms": [
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000590",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000625",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000663",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
}
]
}
}
```
Diese Ausgabe hat die folgenden Attribute:
+ **Anbieter**: Der Name des Anbieters des HSM.
+ **Modell**: Die Modellnummer des HSM.
+ **Seriennummer**: Die Seriennummer des HSM. Dies kann sich aufgrund von Ersetzungen ändern.
+ **H ardware-version-major**: Die wichtigste Hardwareversion.
+ **H ardware-version-minor**: Die kleinere Hardwareversion.
+ **F irmware-version-major**: Die Haupt-Firmware-Version.
+ **F irmware-version-minor**: Die kleinere Firmware-Version.
+ **F irmware-build-number**: Die Build-Nummer der Firmware.
+ **Firmware-id**: Die Firmware-ID, die die Haupt- und Nebenversionen zusammen mit dem Build enthält.
+ **FIPS-Status**: Der FIPS-Modus des Clusters und der darin befindliche. HSMs Im FIPS-Modus lautet die Ausgabe „2 [FIPS-Modus mit Einzelfaktor-Authentifizierung]“. Im Nicht-FIPS-Modus lautet die Ausgabe „0 [Nicht-FIPS-Modus mit Einzelfaktor-Authentifizierung]“.
## Verwandte Themen
+ [Aktivieren Sie einen Cluster mit CloudHSM CLI](cloudhsm_cli-cluster-activate.md)
# Die Cluster-MTLS-Kategorie in der CloudHSM-CLI
In CloudHSM CLI **cluster mtls** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen Befehl erstellen, der spezifisch für Cluster ist. AWS CloudHSM Derzeit besteht diese Kategorie aus den folgenden Befehlen:
**Topics**
+ [deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [Erzwingung durchführen](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [register-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [Durchsetzung festlegen](cloudhsm_cli-cluster-mtls-set-enforcement.md)
# Einen Vertrauensanker mit der CloudHSM-CLI deregistrieren
Verwenden Sie den **cluster mtls deregister-trust-anchor** Befehl in der CloudHSM-CLI, um einen Vertrauensanker für gegenseitiges TLS zwischen Client und abzumelden. AWS CloudHSM
## Benutzertyp
Die folgenden Benutzer können diesen Befehl ausführen.
+ Admin.
## Voraussetzungen
+ Um diesen Befehl auszuführen, müssen Sie als Admin-Benutzer angemeldet sein.
## Syntax
```
aws-cloudhsm > help cluster mtls deregister-trust-anchor
Deregister a trust anchor for mtls
Usage: cluster mtls deregister-trust-anchor [OPTIONS] --certificate-reference [...]
Options:
--certificate-reference A hexadecimal or decimal certificate reference
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Beispiel
**Example**
Im folgenden Beispiel entfernt dieser Befehl einen Vertrauensanker aus dem HSM.
```
aws-cloudhsm > cluster mtls deregister-trust-anchor --certificate-reference 0x01
{
"error_code": 0,
"data": {
"message": "Trust anchor with reference 0x01 deregistered successfully"
}
}
```
Anschließend können Sie den **list-trust-anchors** Befehl ausführen, um zu bestätigen, dass der Vertrauensanker aus dem folgenden Verzeichnis abgemeldet wurde: AWS CloudHSM
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": []
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
** ** **
Eine hexadezimale oder dezimale Zertifikatsreferenz.
**Erforderlich**: Ja
Nachdem Sie einen Vertrauensanker im Cluster deregistriert haben, werden alle vorhandenen mTLS-Verbindungen, die das von diesem Vertrauensanker signierte Client-Zertifikat verwenden, gelöscht.
** ** **
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Quorumclusterdienstes größer als 1 ist.
## Verwandte Themen
+ [Cluster-MTLS reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [Cluster-MTLS list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [mTLS einrichten (empfohlen)](getting-started-setup-mtls.md)
# Holen Sie sich die mTLS-Durchsetzungsstufe mit der CloudHSM CLI
Verwenden Sie den **cluster mtls get-enforcement** Befehl in der CloudHSM-CLI, um die Durchsetzungsstufe für die Verwendung von gegenseitigem TLS zwischen Client und zu ermitteln. AWS CloudHSM
## Benutzertyp
Die folgenden Benutzer können diesen Befehl ausführen.
+ Admin.
+ Krypto-Benutzer () CUs
## Voraussetzungen
+ Um diesen Befehl ausführen zu können, müssen Sie als Admin-Benutzer oder Crypto-Benutzer (CUs) angemeldet sein.
## Syntax
```
aws-cloudhsm > help cluster mtls get-enforcement
Get the status of mtls enforcement in the cluster
Usage: cluster mtls get-enforcement [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Beispiel
**Example**
Im folgenden Beispiel listet dieser Befehl die Mtls-Erzwingungsstufe von auf AWS CloudHSM.
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "none"
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
## Verwandte Themen
+ [Durchsetzung von Cluster-MTLS-Sets](cloudhsm_cli-cluster-mtls-set-enforcement.md)
+ [mTLS einrichten (empfohlen)](getting-started-setup-mtls.md)
# Vertrauensanker mit CloudHSM CLI auflisten
Verwenden Sie den **cluster mtls list-trust-anchors** Befehl in der CloudHSM-CLI, um alle Vertrauensanker aufzulisten, die für gegenseitiges TLS zwischen Client und verwendet werden können. AWS CloudHSM
## Benutzertyp
Die folgenden Benutzer können diesen Befehl ausführen.
+ Alle Benutzer. Sie müssen nicht angemeldet sein, um diesen Befehl auszuführen.
## Syntax
```
aws-cloudhsm > help cluster mtls list-trust-anchors
List all trust anchors for mtls
Usage: cluster mtls list-trust-anchors [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Beispiel
**Example**
Im folgenden Beispiel listet dieser Befehl alle registrierten Vertrauensanker aus dem auf. AWS CloudHSM
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
},
{
"certificate-reference": "0x02",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
## Verwandte Themen
+ [Cluster-MTLS reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [Cluster-MTLS deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [mTLS einrichten (empfohlen)](getting-started-setup-mtls.md)
# Registrieren Sie einen Vertrauensanker mit CloudHSM CLI
Verwenden Sie den **cluster mtls register-trust-anchor** Befehl in der CloudHSM-CLI, um einen Vertrauensanker für gegenseitiges TLS zwischen Client und zu registrieren. AWS CloudHSM
## Benutzertyp
Die folgenden Benutzer können diesen Befehl ausführen.
+ Admin.
## Voraussetzungen
Der AWS CloudHSM akzeptiert Vertrauensanker mit den folgenden Schlüsseltypen:
****
| Schlüsseltyp | Description |
| --- | --- |
| EC | Die Kurven secp256r1 (P-256), secp384r1 (P-384) und secp521r1 (P-521). |
| RSA | 2048-Bit-, 3072-Bit- und 4096-Bit-RSA-Schlüssel. |
## Syntax
```
aws-cloudhsm > help cluster mtls register-trust-anchor
Register a trust anchor for mtls
Usage: cluster mtls register-trust-anchor [OPTIONS] --path [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--path Filepath of the trust anchor to register
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Beispiel
**Example**
Im folgenden Beispiel registriert dieser Befehl einen Vertrauensanker auf dem HSM. Die maximale Anzahl von Vertrauensankern, die registriert werden können, beträgt zwei (2).
```
aws-cloudhsm > cluster mtls register-trust-anchor --path /home/rootCA
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
Sie können dann den **list-trust-anchors** Befehl ausführen, um zu bestätigen, dass der Vertrauensanker registriert wurde auf AWS CloudHSM:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
** ** **
Dateipfad des zu registrierenden Vertrauensankers.
**Erforderlich**: Ja
AWS CloudHSM unterstützt die Registrierung von Zwischenzertifikaten als Vertrauensanker. In solchen Fällen muss die gesamte PEM-kodierte Zertifikatskettendatei im HSM registriert werden, wobei die Zertifikate in hierarchischer Reihenfolge angeordnet sind.
AWS CloudHSM unterstützt eine Zertifikatskette von 6980 Byte.
** ** **
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Quorumclusterdienstes größer als 1 ist.
## Verwandte Themen
+ [Cluster-MTLS deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [Cluster-MTLS list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [mTLS einrichten (empfohlen)](getting-started-setup-mtls.md)
# Legen Sie die mTLS-Durchsetzungsstufe mit der CloudHSM CLI fest
Verwenden Sie den **cluster mtls set-enforcement** Befehl in der CloudHSM-CLI, um die Durchsetzungsstufe für die Verwendung von gegenseitigem TLS zwischen Client und festzulegen. AWS CloudHSM
## Benutzertyp
Die folgenden Benutzer können diesen Befehl ausführen.
+ Admin mit dem Benutzernamen als Admin
## Voraussetzungen
Um diesen Befehl auszuführen:
+ Mindestens ein Vertrauensanker wurde erfolgreich auf dem registriert AWS CloudHSM.
+ Konfigurieren Sie die CloudHSM-CLI mit dem richtigen privaten Schlüssel und dem richtigen Client-Zertifikat und starten Sie die CloudHSM-CLI unter einer gegenseitigen TLS-Verbindung.
+ Sie müssen als Standard-Administrator mit dem Benutzernamen „admin“ angemeldet sein. Jeder andere Admin-Benutzer kann diesen Befehl nicht ausführen.
## Syntax
```
aws-cloudhsm > help cluster mtls set-enforcement
Set mtls enforcement policy in the cluster
Usage: cluster mtls set-enforcement [OPTIONS] --level [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--level Level to be set for mtls in the cluster [possible values: none, cluster]
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Beispiel
**Example**
Im folgenden Beispiel legt dieser Befehl die MTLS-Erzwingungsstufe des gewünschten AWS CloudHSM Clusters fest. Der Befehl set-enforcement kann nur in einer gegenseitigen TLS-Verbindung ausgeführt werden, wenn Sie als Admin-Benutzer mit dem Benutzernamen admin angemeldet sind. Weitere Informationen finden Sie unter [mTLS-Erzwingung einrichten](getting-started-setup-mtls.md#getting-start-setup-mtls-enforcement) für. AWS CloudHSM
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
Anschließend können Sie den **get-enforcement** Befehl ausführen, um zu bestätigen, dass die Erzwingungsstufe auf Cluster gesetzt wurde:
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "cluster"
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
** ** **
Stufe, die für MTLS im Cluster festgelegt werden soll.
**Zulässige Werte**
+ **Cluster**: Erzwingt die Verwendung von gegenseitigem TLS zwischen Client und AWS CloudHSM Cluster.
+ **none**: Erzwingen Sie nicht die Verwendung von gegenseitigem TLS zwischen Client und AWS CloudHSM Cluster.
**Erforderlich**: Ja
Nachdem Sie die mTLS-Nutzung im Cluster erzwungen haben, werden alle bestehenden Nicht-MTLS-Verbindungen gelöscht und Sie können nur mit mTLS-Zertifikaten eine Verbindung zum Cluster herstellen.
** ** **
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Quorumclusterdienstes größer als 1 ist.
## Verwandte Themen
+ [Erzwingung von Cluster-MTLS](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [mTLS einrichten (empfohlen)](getting-started-setup-mtls.md)
# Die Krypto-Kategorie in CloudHSM CLI
In der CloudHSM-CLI **crypto** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen Befehl erstellen, der für kryptografische Operationen spezifisch ist. Derzeit besteht diese Kategorie aus den folgenden Befehlen:
+ [sign](cloudhsm_cli-crypto-sign.md)
+ [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
+ [verify](cloudhsm_cli-crypto-verify.md)
+ [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
# Die Kategorie Kryptozeichen in CloudHSM CLI
In der CloudHSM-CLI **crypto sign** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen ausgewählten privaten Schlüssel in Ihrem AWS CloudHSM Cluster verwendet, um eine Signatur zu generieren. **crypto sign**hat die folgenden Unterbefehle:
+ [Generieren Sie eine Signatur mit dem ECDSA-Mechanismus in der CloudHSM-CLI](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [Generieren Sie eine Signatur mit dem HashEd DSA-Mechanismus in der CloudHSM-CLI](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [Generieren Sie eine Signatur mit dem RSA-PKCS-Mechanismus in der CloudHSM-CLI](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [Generieren Sie eine Signatur mit dem RSA-PKCS-PSS Mechanismus in CloudHSM CLI](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
Um sie verwenden zu können**crypto sign**, benötigen Sie einen privaten Schlüssel in Ihrem HSM. Sie können einen privaten Schlüssel mit den folgenden Befehlen generieren:
+ [Schlüssel generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [Schlüssel generate-asymmetric-pair RSA](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# Generieren Sie eine Signatur mit dem ECDSA-Mechanismus in der CloudHSM-CLI
Verwenden Sie den **crypto sign ecdsa** Befehl in der CloudHSM-CLI, um eine Signatur mithilfe eines privaten EC-Schlüssels und des ECDSA-Signaturmechanismus zu generieren.
Um den **crypto sign ecdsa** Befehl verwenden zu können, benötigen Sie zunächst einen privaten EC-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können mit dem [Generieren Sie ein asymmetrisches EC-Schlüsselpaar mit CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) Befehl, dessen `sign` Attribut auf gesetzt ist, einen privaten EC-Schlüssel generieren`true`.
Die resultierende ECDSA-Signatur wird in dem Format generiert`r||s`, in dem die Komponenten R und S als binäre Rohdaten verkettet und im Base64-codierten Format zurückgegeben werden.
**Anmerkung**
Signaturen können mit Unterbefehlen verifiziert werden. AWS CloudHSM [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Krypto-Benutzer () CUs
## Voraussetzungen
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
## Syntax
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Beispiel
Diese Beispiele zeigen, wie eine Signatur mithilfe des ECDSA-Signaturmechanismus und der `SHA256` Hash-Funktion generiert wird. **crypto sign ecdsa** Dieser Befehl verwendet einen privaten Schlüssel im HSM.
**Example Beispiel: Generieren Sie eine Signatur für Base-64-kodierte Daten**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
**Example Beispiel: Generieren Sie eine Signatur für eine Datendatei**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
******
Base64-kodierte Daten, die signiert werden sollen.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
******
Gibt den Speicherort der zu signierenden Daten an.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
******
Gibt die Hash-Funktion an.
Zulässige Werte:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Erforderlich: Ja
******
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form attr.key\$1attribute\$1name=KEY\$1ATTRIBUTE\$1VALUE, um einen passenden Schlüssel auszuwählen.
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI.
Erforderlich: Ja
******
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des privaten Schlüssels für den Schlüsselnutzungsdienst größer als 1 ist.
******
Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden.
Zulässige Werte:
+ RAW
+ Digest
## Verwandte Themen
+ [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Generieren Sie eine Signatur mit dem HashEd DSA-Mechanismus in der CloudHSM-CLI
**Wichtig**
HashEdDSA-Signaturvorgänge werden nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt.
Verwenden Sie den **crypto sign ed25519ph** Befehl in der CloudHSM-CLI, um eine Signatur mithilfe eines privaten Ed25519-Schlüssels und des HashEd DSA-Signaturmechanismus zu generieren. Weitere Informationen zu HashEd DSA finden Sie unter [NIST](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) SP 186-5, Abschnitt 7.8.
Um den **crypto sign ed25519ph** Befehl verwenden zu können, benötigen Sie zunächst einen privaten Ed25519-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können einen privaten Ed25519-Schlüssel generieren, indem Sie den [Generieren Sie ein asymmetrisches EC-Schlüsselpaar mit CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) Befehl verwenden, wobei der `curve` Parameter auf `ed25519` und das `sign` Attribut auf gesetzt ist. `true`
**Anmerkung**
Signaturen können AWS CloudHSM mit [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) Unterbefehlen verifiziert werden.
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Krypto-Benutzer () CUs
## Voraussetzungen
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
+ HashEdDSA-Signaturvorgänge werden nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt.
## Syntax
```
aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism
Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Beispiel
Diese Beispiele zeigen, wie eine Signatur mithilfe des **crypto sign ed25519ph** Ed25519PH-Signaturmechanismus und der Hash-Funktion generiert wird. `sha512` Dieser Befehl verwendet einen privaten Schlüssel im HSM.
**Example Beispiel: Generieren Sie eine Signatur für Base-64-kodierte Daten**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data YWJj
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
**Example Beispiel: Generieren Sie eine Signatur für eine Datendatei**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
******
Base64-kodierte Daten, die signiert werden sollen.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
******
Gibt den Speicherort der zu signierenden Daten an.
Erforderlich: Ja (sofern nicht über den Datenparameter angegeben)
******
Gibt die Hash-Funktion an. ED25519Ph unterstützt nur. SHA512
Zulässige Werte:
+ sha512
Erforderlich: Ja
******
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form attr.key\$1attribute\$1name=KEY\$1ATTRIBUTE\$1VALUE, um einen passenden Schlüssel auszuwählen.
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter. [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)
Erforderlich: Ja
******
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des privaten Schlüssels für den Schlüsselverwendungsdienst größer als 1 ist.
******
Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden.
Zulässige Werte:
+ RAW
+ Digest
Erforderlich: Ja
## Verwandte Themen
+ [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Generieren Sie eine Signatur mit dem RSA-PKCS-Mechanismus in der CloudHSM-CLI
Verwenden Sie den **crypto sign rsa-pkcs** Befehl in der CloudHSM-CLI, um eine Signatur mithilfe eines privaten RSA-Schlüssels und des RSA-PKCS-Signaturmechanismus zu generieren.
Um den **crypto sign rsa-pkcs** Befehl verwenden zu können, benötigen Sie zunächst einen privaten RSA-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können mit dem [Generieren Sie ein asymmetrisches RSA-Schlüsselpaar mit CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) Befehl, dessen `sign` Attribut auf gesetzt ist, einen privaten RSA-Schlüssel generieren. `true`
**Anmerkung**
Signaturen können AWS CloudHSM mit [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) Unterbefehlen verifiziert werden.
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Krypto-Benutzer () CUs
## Voraussetzungen
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
## Syntax
```
aws-cloudhsm > help crypto sign rsa-pkcs
Sign with the RSA-PKCS mechanism
Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Beispiel
Diese Beispiele zeigen, wie eine Signatur mithilfe des RSA-PKCS-Signaturmechanismus und `SHA256` der Hash-Funktion generiert wird. **crypto sign rsa-pkcs** Dieser Befehl verwendet einen privaten Schlüssel im HSM.
**Example Beispiel: Generieren Sie eine Signatur für Base-64-kodierte Daten**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
**Example Beispiel: Generieren Sie eine Signatur für eine Datendatei**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
******
Base64-kodierte Daten, die signiert werden sollen.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
******
Gibt den Speicherort der zu signierenden Daten an.
Erforderlich: Ja (sofern nicht in Form von Daten angegeben)
******
Spezifiziert die Hash-Funktion.
Zulässige Werte:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Erforderlich: Ja
******
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels.
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI.
Erforderlich: Ja
******
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des privaten Schlüssels für den Schlüsselnutzungsdienst größer als 1 ist.
******
Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden.
[Für RSA-PKCS müssen die Daten im DER-codierten Format übergeben werden, wie in RFC 8017, Abschnitt 9.2 spezifiziert](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)
Zulässige Werte:
+ RAW
+ Digest
## Verwandte Themen
+ [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Generieren Sie eine Signatur mit dem RSA-PKCS-PSS Mechanismus in CloudHSM CLI
Verwenden Sie den **crypto sign rsa-pkcs-pss** Befehl in der CloudHSM-CLI, um mithilfe eines privaten RSA-Schlüssels und des `RSA-PKCS-PSS` Signaturmechanismus eine Signatur zu generieren.
Um den **crypto sign rsa-pkcs-pss** Befehl verwenden zu können, benötigen Sie zunächst einen privaten RSA-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können mit dem [Generieren Sie ein asymmetrisches RSA-Schlüsselpaar mit CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) Befehl, dessen `sign` Attribut auf gesetzt ist, einen privaten RSA-Schlüssel generieren. `true`
**Anmerkung**
Signaturen können AWS CloudHSM mit [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md) Unterbefehlen verifiziert werden.
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Krypto-Benutzer () CUs
## Voraussetzungen
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
## Syntax
```
aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism
Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data >
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function [possible values: sha1, sha224, sha256, sha384, sha512]
--data-path The path to the file containing the data to be signed
--data Base64 Encoded data to be signed
--mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length The salt length
--approval Filepath of signed quorum token file to approve operation
--data-type The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help Print help
```
## Beispiel
Diese Beispiele zeigen, wie eine Signatur mithilfe des `RSA-PKCS-PSS` Signaturmechanismus und der `SHA256` Hash-Funktion generiert wird. **crypto sign rsa-pkcs-pss** Dieser Befehl verwendet einen privaten Schlüssel im HSM.
**Example Beispiel: Generieren Sie eine Signatur für Base-64-kodierte Daten**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
**Example Beispiel: Generieren Sie eine Signatur für eine Datendatei**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
******
Base64-kodierte Daten, die signiert werden sollen.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
******
Gibt den Speicherort der zu signierenden Daten an.
Erforderlich: Ja (sofern nicht in Form von Daten angegeben)
******
Spezifiziert die Hash-Funktion.
Zulässige Werte:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Erforderlich: Ja
******
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels.
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI.
Erforderlich: Ja
******
Spezifiziert die Funktion zur Maskengenerierung.
Die Hash-Funktion der Maskengenerierungsfunktion muss mit der Hash-Funktion des Signaturmechanismus übereinstimmen.
Zulässige Werte:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Erforderlich: Ja
******
Gibt die Länge des Salzes an.
Erforderlich: Ja
******
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des privaten Schlüssels für den Schlüsselverwendungsdienst größer als 1 ist.
******
Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden.
Zulässige Werte:
+ RAW
+ Digest
## Verwandte Themen
+ [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
## Verwandte Themen
+ [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Die Kategorie Crypto Verify in CloudHSM CLI
In der CloudHSM-CLI **crypto verify** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie bestätigt, ob eine Datei mit einem bestimmten Schlüssel signiert wurde. **crypto verify**hat die folgenden Unterbefehle:
+ [kryptoverifizieren (ecdsa)](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [kryptoverifizieren Sie ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [kryptoverifizieren Sie RSA-PKCS](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [kryptoverifizieren rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
Der **crypto verify** Befehl vergleicht eine signierte Datei mit einer Quelldatei und analysiert anhand eines bestimmten öffentlichen Schlüssels und Signierungsmechanismus, ob sie kryptografisch verwandt sind.
**Anmerkung**
Dateien können AWS CloudHSM mit dem Vorgang angemeldet werden. [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
# Überprüfen Sie eine mit dem ECDSA-Mechanismus signierte Signatur in der CloudHSM-CLI
Verwenden Sie den **crypto verify ecdsa** Befehl in der CloudHSM-CLI, um die folgenden Vorgänge abzuschließen:
+ Bestätigen Sie, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde.
+ Stellen Sie sicher, dass die Signatur mithilfe des ECDSA-Signaturmechanismus generiert wurde.
+ Vergleichen Sie eine signierte Datei mit einer Quelldatei und stellen Sie anhand eines bestimmten öffentlichen ECDSA-Schlüssels und Signaturmechanismus fest, ob die beiden kryptografisch verwandt sind.
+ Die ECDSA-Überprüfungsfunktion erwartet die Signatur in dem Format`r||s`, in dem die Komponenten R und S als binäre Rohdaten verkettet werden.
Um den **crypto verify ecdsa** Befehl verwenden zu können, benötigen Sie zunächst einen öffentlichen EC-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können einen öffentlichen EC-Schlüssel importieren, indem Sie den [Importieren Sie einen Schlüssel im PEM-Format mit der CloudHSM-CLI](cloudhsm_cli-key-import-pem.md) Befehl verwenden, dessen `verify` Attribut auf gesetzt ist`true`.
**Anmerkung**
Sie können in der CloudHSM-CLI eine Signatur mit [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) Unterbefehlen generieren.
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs
## Voraussetzungen
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
## Syntax
```
aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism
Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Beispiel
Diese Beispiele zeigen, wie eine Signatur verifiziert werden kann, die mithilfe des ECDSA-Signaturmechanismus und der `SHA256` Hash-Funktion generiert wurde. **crypto verify ecdsa** Dieser Befehl verwendet einen öffentlichen Schlüssel im HSM.
**Example Beispiel: Überprüfen Sie eine Base64-codierte Signatur mit Base64-codierten Daten**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Beispiel: Überprüfen Sie eine Signaturdatei mit einer Datendatei**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Beispiel: Nachweis einer falschen Signaturbeziehung**
Mit diesem Befehl wird überprüft, ob die unter befindlichen Daten mit einem öffentlichen Schlüssel mit der Bezeichnung signiert `/home/data` wurden. Dabei wird der ECDSA-Signaturmechanismus `ecdsa-public` verwendet, um die Signatur zu erzeugen, die sich in befindet. `/home/signature` Da die angegebenen Argumente keine echte Signaturbeziehung bilden, gibt der Befehl eine Fehlermeldung zurück.
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
******
Base64-kodierte Daten, die signiert werden sollen.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
******
Gibt den Speicherort der zu signierenden Daten an.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
******
Gibt die Hash-Funktion an.
Zulässige Werte:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Erforderlich: Ja
******
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels.
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI.
Erforderlich: Ja
******
Base64-kodierte Signatur.
Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben)
******
Gibt den Speicherort der Signatur an.
Erforderlich: Ja (sofern nicht im Signaturpfad angegeben)
******
Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden.
Zulässige Werte:
+ RAW
+ Digest
## Verwandte Themen
+ [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Überprüfen Sie eine mit dem HashEd DSA-Mechanismus signierte Signatur in der CloudHSM-CLI
**Wichtig**
HashEdVorgänge zur Überprüfung der DSA-Signatur werden nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt.
Verwenden Sie den **crypto verify ed25519ph** Befehl in der CloudHSM-CLI, um die folgenden Vorgänge abzuschließen:
+ Überprüfen Sie die Signaturen von Daten oder Dateien mithilfe eines bestimmten öffentlichen Ed25519-Schlüssels.
+ Vergewissern Sie sich, dass die Signatur mithilfe des HashEd DSA-Signaturmechanismus generiert wurde. Weitere Informationen zu HashEd DSA finden Sie unter [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Abschnitt 7.8.
Um den **crypto verify ed25519ph** Befehl verwenden zu können, benötigen Sie zunächst einen öffentlichen Ed25519-Schlüssel in Ihrem Cluster. AWS CloudHSM Sie können ein Ed25519-Schlüsselpaar mit dem [Generieren Sie ein asymmetrisches EC-Schlüsselpaar mit CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) Befehl generieren, bei dem der `curve` Parameter auf `ed25519` und das `verify` Attribut auf gesetzt ist`true`, oder einen öffentlichen Ed25519-Schlüssel mit dem [Importieren Sie einen Schlüssel im PEM-Format mit der CloudHSM-CLI](cloudhsm_cli-key-import-pem.md) Befehl importieren, bei dem das Attribut auf gesetzt ist. `verify` `true`
**Anmerkung**
Sie können in der CloudHSM-CLI eine Signatur mit [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md) Unterbefehlen generieren.
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs
## Voraussetzungen
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
+ HashEdVorgänge zur Überprüfung der DSA-Signatur werden nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt.
## Syntax
```
aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism
Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Beispiel
Diese Beispiele zeigen, wie eine Signatur verifiziert wird, **crypto verify ed25519ph** die mit dem Signaturmechanismus und der Hash-Funktion ED25519PH generiert wurde. `sha512` Dieser Befehl verwendet einen öffentlichen Ed25519-Schlüssel im HSM.
**Example Beispiel: Überprüfen Sie eine Base64-codierte Signatur mit Base64-codierten Daten**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data YWJj \
--signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Beispiel: Überprüfen Sie eine Signaturdatei mit einer Datendatei**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data-path data.txt \
--signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
******
Base64-kodierte Daten müssen verifiziert werden.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
******
Gibt den Speicherort der zu überprüfenden Daten an.
Erforderlich: Ja (sofern nicht über den Datenparameter angegeben)
******
Gibt die Hash-Funktion an. ED25519Ph unterstützt nur. SHA512
Zulässige Werte:
+ sha512
Erforderlich: Ja
******
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels.
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter. [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)
Erforderlich: Ja
******
Base64-kodierte Signatur.
Erforderlich: Ja (sofern nicht im Signaturpfad angegeben)
******
Gibt den Speicherort der Signatur an.
Erforderlich: Ja (sofern nicht über den Signaturparameter angegeben)
******
Gibt an, ob der Wert des Datenparameters als Teil des Überprüfungsalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden.
Zulässige Werte:
+ RAW
+ Digest
Erforderlich: Ja
## Verwandte Themen
+ [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
+ [Generieren Sie eine Signatur mit dem HashEd DSA-Mechanismus in der CloudHSM-CLI](cloudhsm_cli-crypto-sign-ed25519ph.md)
# Überprüfen Sie eine mit dem RSA-PKCS-Mechanismus signierte Signatur in der CloudHSM-CLI
Verwenden Sie den **crypto verify rsa-pkcs** Befehl in der CloudHSM-CLI, um die folgenden Vorgänge abzuschließen:
+ Bestätigen Sie, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde.
+ Stellen Sie sicher, dass die Signatur mithilfe des `RSA-PKCS` Signaturmechanismus generiert wurde.
+ Vergleicht eine signierte Datei mit einer Quelldatei und ermittelt anhand eines bestimmten öffentlichen RSA-Schlüssels und Signaturmechanismus, ob die beiden kryptografisch verwandt sind.
Um den **crypto verify rsa-pkcs** Befehl verwenden zu können, müssen Sie zunächst über einen öffentlichen RSA-Schlüssel in Ihrem Cluster verfügen. AWS CloudHSM
**Anmerkung**
Sie können mithilfe der CloudHSM-CLI mit den Unterbefehlen eine Signatur generieren. [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs
## Voraussetzungen
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
## Syntax
```
aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism
Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Beispiel
Diese Beispiele zeigen, wie eine Signatur verifiziert werden kann, die mithilfe des RSA-PKCS-Signaturmechanismus und `SHA256` der Hash-Funktion generiert wurde. **crypto verify rsa-pkcs** Dieser Befehl verwendet einen öffentlichen Schlüssel im HSM.
**Example Beispiel: Überprüfen Sie eine Base64-codierte Signatur mit Base64-codierten Daten**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Beispiel: Verifizieren Sie eine Signaturdatei mit einer Datendatei**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Beispiel: Beweisen Sie die Beziehung zwischen falschen Signaturen**
Mit diesem Befehl wird überprüft, ob die ungültigen Daten mit einem öffentlichen Schlüssel mit der Bezeichnung signiert wurden. Dabei wird der RSAKCS-Signaturmechanismus `rsa-public` verwendet, um die Signatur zu erzeugen, die sich in befindet. `/home/signature` Da die angegebenen Argumente keine echte Signaturbeziehung bilden, gibt der Befehl eine Fehlermeldung zurück.
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
******
Base64-kodierte Daten, die signiert werden sollen.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
******
Gibt den Speicherort der zu signierenden Daten an.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
******
Gibt die Hash-Funktion an.
Zulässige Werte:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Erforderlich: Ja
******
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels.
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI.
Erforderlich: Ja
******
Base64-kodierte Signatur.
Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben)
******
Gibt den Speicherort der Signatur an.
Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben)
******
Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden.
[Für RSA-PKCS müssen die Daten im DER-codierten Format übergeben werden, wie in RFC 8017, Abschnitt 9.2 spezifiziert](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)
Zulässige Werte:
+ RAW
+ Digest
## Verwandte Themen
+ [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Verifizieren Sie eine Signatur, die mit dem RSA-PKCS-PSS Mechanismus in der CloudHSM-CLI signiert wurde
Verwenden Sie den **crypto sign rsa-pkcs-pss** Befehl in der CloudHSM-CLI, um die folgenden Vorgänge abzuschließen.
+ Bestätigen Sie, dass eine Datei im HSM mit einem bestimmten öffentlichen Schlüssel signiert wurde.
+ Stellen Sie sicher, dass die Signatur mithilfe des RSA-PKCS-PSS Signaturmechanismus generiert wurde.
+ Vergleicht eine signierte Datei mit einer Quelldatei und ermittelt anhand eines bestimmten öffentlichen RSA-Schlüssels und Signaturmechanismus, ob die beiden kryptografisch verwandt sind.
Um den **crypto verify rsa-pkcs-pss** Befehl verwenden zu können, müssen Sie zunächst über einen öffentlichen RSA-Schlüssel in Ihrem Cluster verfügen. AWS CloudHSM Sie können einen öffentlichen RSA-Schlüssel mit dem Befehl key import pem (ADD UNWRAP LINK HERE) importieren, wobei das `verify` Attribut auf gesetzt ist. `true`
**Anmerkung**
Sie können mithilfe der CloudHSM-CLI mit den Unterbefehlen eine Signatur generieren. [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs
## Voraussetzungen
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
## Syntax
```
aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism
Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--mgf
The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length
The salt length
-h, --help
Print help
```
## Beispiel
Diese Beispiele zeigen, wie eine Signatur verifiziert werden kann, die mithilfe des RSA-PKCS-PSS Signaturmechanismus und der `SHA256` Hash-Funktion generiert wurde. **crypto verify rsa-pkcs-pss** Dieser Befehl verwendet einen öffentlichen Schlüssel im HSM.
**Example Beispiel: Überprüfen Sie eine Base64-codierte Signatur mit Base64-codierten Daten**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Beispiel: Verifizieren Sie eine Signaturdatei mit einer Datendatei**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Beispiel: Nachweis einer falschen Signaturbeziehung**
Mit diesem Befehl wird überprüft, ob die ungültigen Daten mit einem öffentlichen Schlüssel mit der Bezeichnung signiert wurden. Dabei wird der RSAPKCSPSS-Signaturmechanismus `rsa-public` verwendet, um die Signatur zu erzeugen, die sich in befindet. `/home/signature` Da die angegebenen Argumente keine echte Signaturbeziehung bilden, gibt der Befehl eine Fehlermeldung zurück.
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Argumente
******
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)
******
Base64-kodierte Daten, die signiert werden sollen.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
******
Gibt den Speicherort der zu signierenden Daten an.
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)
******
Gibt die Hash-Funktion an.
Zulässige Werte:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Erforderlich: Ja
******
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels.
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM CLI.
Erforderlich: Ja
******
Spezifiziert die Funktion zur Maskengenerierung.
Die Hash-Funktion der Maskengenerierungsfunktion muss mit der Hash-Funktion des Signaturmechanismus übereinstimmen.
Zulässige Werte:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Erforderlich: Ja
******
Base64-kodierte Signatur.
Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben)
******
Gibt den Speicherort der Signatur an.
Erforderlich: Ja (sofern nicht über den Signaturpfad angegeben)
******
Gibt an, ob der Wert des Datenparameters als Teil des Signaturalgorithmus gehasht werden soll. Wird `raw` für Daten ohne Hashwert verwendet; wird `digest` für Digests verwendet, die bereits gehasht wurden.
Zulässige Werte:
+ RAW
+ Digest
## Verwandte Themen
+ [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Die Schlüsselkategorie in CloudHSM CLI
In der CloudHSM-CLI **key** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen schlüsselspezifischen Befehl erstellen. Derzeit besteht diese Kategorie aus den folgenden Befehlen:
+ [delete](cloudhsm_cli-key-delete.md)
+ [generate-file](cloudhsm_cli-key-generate-file.md)
+ [key generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [Schlüssel rsa generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
+ [Schlüssel usw. generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-symmetric](cloudhsm_cli-key-generate-symmetric.md)
+ [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [PEM importieren](cloudhsm_cli-key-import-pem.md)
+ [list](cloudhsm_cli-key-list.md)
+ [Replikat](cloudhsm_cli-key-replicate.md)
+ [set-attribute](cloudhsm_cli-key-set-attribute.md)
+ [share](cloudhsm_cli-key-share.md)
+ [unshare](cloudhsm_cli-key-unshare.md)
+ [auspacken](cloudhsm_cli-key-unwrap.md)
+ [umwickeln](cloudhsm_cli-key-wrap.md)
# Löschen Sie einen Schlüssel mit CloudHSM CLI
Verwenden Sie den **key delete** Befehl in der CloudHSM-CLI, um einen Schlüssel aus einem AWS CloudHSM Cluster zu löschen. Sie können nur jeweils einen Schlüssel löschen. Das Löschen eines Schlüssels in einem Schlüsselpaar hat keine Auswirkungen auf den anderen Schlüssel in diesem Paar.
Nur der CU, der den Schlüssel erstellt hat und somit Eigentümer des Schlüssels ist, kann den Schlüssel löschen. Benutzer, die den Schlüssel gemeinsam nutzen, ihn aber nicht besitzen, können den Schlüssel für kryptografische Operationen verwenden, ihn aber nicht löschen.
## Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs
## Voraussetzungen
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
## Syntax
```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster
Usage: key delete [OPTIONS] --filter [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--filter [