Importieren Sie einen privaten Schlüssel mit AWS CloudHSM KMU - AWS CloudHSM
SyntaxBeispieleParameterVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Importieren Sie einen privaten Schlüssel mit AWS CloudHSM KMU

Verwenden Sie den importPrivateKey Befehl in AWS CloudHSM key_mgmt_util, um einen asymmetrischen privaten Schlüssel aus einer Datei in ein Hardware-Sicherheitsmodul () zu importieren. HSM Das erlaubt HSM keinen direkten Import von Schlüsseln im Klartext. Der Befehl verschlüsselt den privaten Schlüssel mit einem von Ihnen angegebenen AES Wrapping-Schlüssel und entpackt den darin enthaltenen Schlüssel. HSM Wenn Sie versuchen, einem Zertifikat einen AWS CloudHSM Schlüssel zuzuordnen, finden Sie weitere Informationen in diesem Thema.

Anmerkung

Sie können einen kennwortgeschützten PEM Schlüssel nicht mithilfe eines symmetrischen oder privaten Schlüssels importieren.

Sie müssen einen AES Wrapping-Schlüssel angeben, der einen Attributwert hatOBJ_ATTR_UNWRAP. OBJ_ATTR_ENCRYPT 1 Mit dem Befehl getAttribute können Sie nach den Attributen eines Schlüssels suchen.

Anmerkung

Dieser Befehl bietet keine Option, um den importierten Schlüssel als nicht exportierbar zu markieren.

Bevor Sie einen key_mgmt_util-Befehl ausführen, müssen Sie key_mgmt_util starten und sich als Crypto-Benutzer (CU) anmelden. HSM

Syntax

importPrivateKey -h

importPrivateKey -l <label>
                 -f <key-file>
                 -w <wrapping-key-handle>
                 [-sess]
                 [-id <key-id>]
                 [-m_value <0...8>]
                 [min_srv <minimum-number-of-servers>]
                 [-timeout <number-of-seconds>]
                 [-u <user-ids>]
                 [-wk <wrapping-key-file>]
                 [-attest]

Beispiele

Dieses Beispiel zeigt, wie Sie einen privaten Schlüssel in einen importieren. importPrivateKey HSM

Beispiel : Importieren eines privaten Schlüssels

Dieser Befehl importiert den privaten Schlüssel aus einer Datei mit dem Namen rsa2048.key, der Bezeichnung rsa2048-imported und einem Verpackungsschlüssel mit dem Handle 524299. Wenn der Befehl erfolgreich ausgeführt wurde, gibt importPrivateKey ein Schlüssel-Handle für den importierten Schlüssel sowie eine Erfolgsmeldung zurück.

Command: importPrivateKey -f rsa2048.key -l rsa2048-imported -w 524299

BER encoded key length is 1216

Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS

Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS

Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS

Private Key Unwrapped.  Key Handle: 524301

Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

Parameter

Dieser Befehl erfordert die folgenden Parameter.

-h

Zeigt die Befehlszeilenhilfe für den Befehl an.

Erforderlich: Ja

-l

Gibt die benutzerdefinierte Bezeichnung des privaten Schlüssels an.

Erforderlich: Ja

-f

Gibt den Dateinamen des zu importierenden Schlüssels an.

Erforderlich: Ja

-w

Gibt das Schlüssel-Handle des Verpackungsschlüssels an. Dieser Parameter muss angegeben werden. Nutzen Sie den Befehl findKey, um Schlüssel-Handles zu suchen.

Ermitteln Sie mithilfe von getAttribute den Wert des OBJ_ATTR_WRAP-Attributs (262), um zu bestimmen, ob ein Schlüssel als Verpackungsschlüssel verwendet werden kann. Um einen Wrapping-Schlüssel genSymKeyzu erstellen, verwenden Sie, um einen AES Schlüssel zu erstellen (Typ 31).

Wenn Sie den Parameter -wk zum Angeben eines externen Entpackungsschlüssels verwenden, wird der -w-Verpackungsschlüssel während des Imports zum Verpacken, nicht aber zum Entpacken des Schlüssels verwendet.

Erforderlich: Ja

-sess

Gibt den importierten Schlüssel als Sitzungsschlüssel an.

Standard: Der importierte Schlüssel wird im Cluster als persistenter Schlüssel (Token) bereitgehalten.

Erforderlich: Nein

-id

Gibt die ID des zu importierenden Schlüssels an.

Standard : Kein ID-Wert.

Erforderlich: Nein

-m_value

Gibt die Anzahl der Benutzer an, die einen kryptografischen Vorgang genehmigen müssen, der den importierten Schlüssel verwendet. Geben Sie einen Wert zwischen 0 und 8 ein.

Dieser Parameter ist nur gültig, wenn der -u-Parameter im Befehl den Schlüssel für ausreichend Benutzer freigibt, um die m_value-Anforderung zu erfüllen.

Standard: 0

Erforderlich: Nein

-min_srv

Gibt die Mindestanzahl HSMs an, mit der der importierte Schlüssel synchronisiert wird, bevor der Wert des -timeout Parameters abläuft. Falls der Schlüssel nicht in der zulässigen vorgegebenen Zeit mit der angegebenen Anzahl von Servern synchronisiert wird, wird er nicht erstellt.

AWS CloudHSM synchronisiert automatisch jeden Schlüssel mit jedem Schlüssel HSM im Cluster. Um Ihren Prozess zu beschleunigen, setzen Sie den Wert von min_srv auf weniger als die Anzahl von HSMs im Cluster und legen Sie einen niedrigen Timeout-Wert fest. Beachten Sie jedoch, dass einige Anfragen möglicherweise keinen Schlüssel generieren.

Standard: 1

Erforderlich: Nein

-timout

Gibt an, wie viele Sekunden auf die Synchronisierung des Schlüssels gewartet werden soll, HSMs wenn der min-serv Parameter enthalten ist. Wenn keine Anzahl angegeben ist, wird die Abfrage ohne zeitliche Einschränkung fortgesetzt.

Standard: keine Einschränkung

Erforderlich: Nein

-u

Gibt die Liste der Benutzer an, für die der importierte private Schlüssel freigegeben werden soll. Dieser Parameter gibt anderen HSM Kryptobenutzern (CUs) die Erlaubnis, den importierten Schlüssel für kryptografische Operationen zu verwenden.

Geben Sie eine durch Kommas getrennte HSM Benutzerliste einIDs, z. B. -u 5,6 Geben Sie nicht die HSM Benutzer-ID des aktuellen Benutzers an. Um den HSM Benutzer IDs von CUs on the zu findenHSM, verwenden Sie listUsers.

Standard: Nur der aktuelle Benutzer kann den importierten Schlüssel verwenden.

Erforderlich: Nein

-wk

Gibt den Schlüssel an, mit dem der Schlüssel, der importiert wird, verpackt werden soll. Geben Sie den Pfad und den Namen einer Datei ein, die einen AES Klartext-Schlüssel enthält.

Wenn Sie diesen Parameter einschließen, verwendet importPrivateKey den Schlüssel in der -wk-Datei, um den zu importierenden Schlüssel zu verpacken. Außerdem wird der vom -w-Parameter angegebene Schlüssel zum Entpacken verwendet.

Standard: Verwenden Sie den im -w-Parameter angegeben Verpackungsschlüssel für das Verpacken und Entpacken von Schlüsseln.

Erforderlich: Nein

-attest

Überprüft die Firmware-Antwort, um sicherzustellen, dass die Firmware, auf der der Cluster ausgeführt wird, nicht beeinträchtigt wurde.

Erforderlich: Nein

Verwandte Themen