Syntax Beispiele Parameter Verwandte Themen

Exportieren Sie einen privaten AWS CloudHSM Schlüssel mit KMU

Verwenden Sie den exportPrivateKey Befehl in AWS CloudHSM key_mgmt_util, um einen asymmetrischen privaten Schlüssel aus einem Hardware-Sicherheitsmodul () in eine Datei zu exportieren. HSM Das erlaubt HSM keinen direkten Export von Schlüsseln im Klartext. Der Befehl umschließt den privaten Schlüssel mithilfe eines von Ihnen angegebenen AES Umschließungsschlüssels, entschlüsselt die umschlossenen Bytes und kopiert den privaten Klartext-Schlüssel in eine Datei.

Durch den exportPrivateKey Befehl wird der Schlüssel nicht aus dem entferntHSM, seine Schlüsselattribute werden nicht geändert und Sie werden auch nicht daran gehindert, den Schlüssel für weitere kryptografische Operationen zu verwenden. Sie können den gleichen Schlüssel mehrmals exportieren.

Sie können nur private Schlüssel exportieren, die den OBJ_ATTR_EXTRACTABLE-Attributwert 1 haben. Sie müssen einen AES Umschließungsschlüssel angeben, der einen Wert OBJ_ATTR_WRAP 1 und ein OBJ_ATTR_DECRYPT Attribut hat. Mit dem Befehl getAttribute können Sie nach den Attributen eines Schlüssels suchen.

Bevor Sie einen key_mgmt_util-Befehl ausführen, müssen Sie key_mgmt_util starten und sich als Crypto-Benutzer (CU) anmelden. HSM

Syntax


exportPrivateKey -h

exportPrivateKey -k <private-key-handle
                 -w <wrapping-key-handle>
                 -out <key-file>
                 [-m <wrapping-mechanism>]
                 [-wk <wrapping-key-file>]

Beispiele

Dieses Beispiel zeigt, wie Sie einen privaten Schlüssel aus einem exportieren. exportPrivateKey HSM

Beispiel : Exportieren eines privaten Schlüssels

Dieser Befehl exportiert einen privaten Schlüssel mit Handle 15 unter Verwendung eines Wrapping-Schlüssels mit Handle 16 in eine PEM Datei mit dem NamenexportKey.pem. Wird der Befehl erfolgreich ausgeführt, gibt exportPrivateKey eine Erfolgsmeldung zurück.


Command: exportPrivateKey -k 15 -w 16 -out exportKey.pem

Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

PEM formatted private key is written to exportKey.pem

Parameter

Dieser Befehl erfordert die folgenden Parameter.

-h

Zeigt die Befehlszeilenhilfe für den Befehl an.

Erforderlich: Ja

-k

Gibt das Schlüssel-Handle des zu exportierenden privaten Schlüssels an.

Erforderlich: Ja

-w

Gibt das Schlüssel-Handle des Verpackungsschlüssels an. Dieser Parameter muss angegeben werden. Nutzen Sie den Befehl findKey, um Schlüssel-Handles zu suchen.

Ermitteln Sie mithilfe von getAttribute den Wert des OBJ_ATTR_WRAP-Attributs (262), um zu bestimmen, ob ein Schlüssel als Verpackungsschlüssel verwendet werden kann. Um einen Umschließungsschlüssel zu erstellen, verwenden Sie, genSymKeyum einen AES Schlüssel zu erstellen (geben Sie 31 ein).

Wenn Sie den Parameter -wk zum Angeben eines externen Entpackungsschlüssels verwenden, wird der -w-Verpackungsschlüssel während des Exports zum Verpacken, nicht aber zum Entpacken des Schlüssels verwendet.

Erforderlich: Ja

-out

Gibt den Namen der Datei an, in die der exportierte private Schlüssel geschrieben werden soll.

Erforderlich: Ja

-m

Gibt den Verpackungsmechanismus an, mit dem der zu exportierende private Schlüssel verpackt werden soll. Der einzige gültige Wert ist 4. Dieser repräsentiert den NIST_AES_WRAP mechanism.-Mechanismus.

Standard: 4 (NIST_AES_WRAP)

Erforderlich: Nein

-wk

Gibt den Schlüssel an, mit dem der zu exportierende Schlüssel entpackt werden soll. Geben Sie den Pfad und den Namen einer Datei ein, die einen AES Klartext-Schlüssel enthält.

Wenn Sie diesen Parameter einschließen, verwendet exportPrivateKey den Schlüssel in der -w-Datei, um den zu exportierenden Schlüssel zu verpacken. Zum Entpacken wird der über den -wk-Parameter angegebene Schlüssel verwendet.

Standard: Verwenden Sie den im -w-Parameter angegeben Verpackungsschlüssel für das Verpacken und Entpacken von Schlüsseln.

Erforderlich: Nein