Exportieren Sie geheime Schlüssel mit der KMU AWS CloudHSM

So exportieren Sie einen geheimen Schlüssel

1. Verwenden Sie den Befehl, um einen Wrapping-Schlüssel genSymKeyzu erstellen. Mit dem folgenden Befehl wird ein 128-Bit-AES-Schlüssel erstellt, der nur für die aktuelle Sitzung gilt.

   Command: genSymKey -t 31 -s 16 -sess -l export-wrapping-key
   Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
   
   Symmetric Key Created.  Key Handle: 524304
   
   Cluster Error Status
   Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

2. Verwenden Sie, abhängig vom Typ des geheimen Schlüssels, den Sie exportieren, einen der folgenden Befehle.

   • Verwenden Sie den exSymKeyBefehl, um einen symmetrischen Schlüssel zu exportieren. Der folgende Befehl exportiert einen AES-Schlüssel in eine Datei mit dem Namen aes256.key.exp. Verwenden Sie den Befehl exSymKey -h, um alle verfügbaren Optionen anzuzeigen.

     Command: exSymKey -k 524295 -out aes256.key.exp -w 524304
     Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS
     
     Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
     
     
     Wrapped Symmetric Key written to file "aes256.key.exp"

     Anmerkung

     Die Ausgabe des Befehls besagt, dass ein „Wrapped Symmetric Key“ in die Ausgabedatei geschrieben wurde. Die Ausgabedatei enthält jedoch einen Klartext-Schlüssel (nicht verpackt). Um einen verpackten (verschlüsselten) Schlüssel in eine Datei zu exportieren, verwenden Sie den Befehl wrapKey.

   • Um einem privaten Schlüssel zu exportieren, verwenden Sie den Befehl exportPrivateKey. Der folgende Befehl exportiert einen privaten Schlüssel in eine Datei mit dem Namen rsa2048.key.exp. Verwenden Sie den Befehl exportPrivateKey -h, um alle verfügbaren Optionen anzuzeigen.

     Command: exportPrivateKey -k 524296 -out rsa2048.key.exp -w 524304
     Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS
     
     Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
     
     PEM formatted private key is written to rsa2048.key.exp