Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Importieren Sie einen privaten Schlüssel mit AWS CloudHSM KMU
<a name="key_mgmt_util-importPrivateKey"></a>

Verwenden Sie den **importPrivateKey** Befehl in AWS CloudHSM key\$1mgmt\$1util, um einen asymmetrischen privaten Schlüssel aus einer Datei in ein Hardware-Sicherheitsmodul (HSM) zu importieren. Das HSM erlaubt keinen direkten Import von Schlüsseln im Klartext. Der Befehl verschlüsselt den privaten Schlüssel mit einem von Ihnen angegebenen AES-Wrapping-Schlüssel und entpackt den Schlüssel innerhalb des HSM. [Wenn Sie versuchen, einem Zertifikat einen AWS CloudHSM Schlüssel zuzuordnen, finden Sie weitere Informationen in diesem Thema.](ksp-library-associate-key-certificate.md)

**Anmerkung**  
Sie können einen passwortgeschützten PEM-Schlüssel nicht mithilfe eines symmetrischen oder privaten Schlüssels importieren.

Sie müssen einen AES-Wrapping-Schlüssel angeben, der `OBJ_ATTR_UNWRAP`- und `OBJ_ATTR_ENCRYPT`-Attributwerte `1` hat. Mit dem Befehl [**getAttribute**](key_mgmt_util-getAttribute.md) können Sie nach den Attributen eines Schlüssels suchen.

**Anmerkung**  
 Dieser Befehl bietet keine Option, um den importierten Schlüssel als nicht exportierbar zu markieren. 

Bevor Sie einen key\$1mgmt\$1util-Befehl ausführen, müssen Sie [key\$1mgmt\$1util starten](key_mgmt_util-setup.md#key_mgmt_util-start) und sich am HSM als Crypto-Benutzer (CU) [anmelden](key_mgmt_util-log-in.md).

## Syntax
<a name="importPrivateKey-syntax"></a>

```
importPrivateKey -h

importPrivateKey -l <label>
                 -f <key-file>
                 -w <wrapping-key-handle>
                 [-sess]
                 [-id <key-id>]
                 [-m_value <0...8>]
                 [min_srv <minimum-number-of-servers>]
                 [-timeout <number-of-seconds>]
                 [-u <user-ids>]
                 [-wk <wrapping-key-file>]
                 [-attest]
```

## Beispiele
<a name="importPrivateKey-examples"></a>

In diesem Beispiel wird gezeigt, wie Sie mit **importPrivateKey** einen privaten Schlüssel in ein HSM importieren.

**Example : Importieren eines privaten Schlüssels**  
Dieser Befehl importiert den privaten Schlüssel aus einer Datei mit dem Namen `rsa2048.key`, der Bezeichnung `rsa2048-imported` und einem Verpackungsschlüssel mit dem Handle `524299`. Wenn der Befehl erfolgreich ausgeführt wurde, gibt **importPrivateKey** ein Schlüssel-Handle für den importierten Schlüssel sowie eine Erfolgsmeldung zurück.  

```
Command: importPrivateKey -f rsa2048.key -l rsa2048-imported -w 524299

BER encoded key length is 1216

Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS

Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS

Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS

Private Key Unwrapped.  Key Handle: 524301

Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```

## Parameters
<a name="importPrivateKey-parameters"></a>

Dieser Befehl erfordert die folgenden Parameter.

**`-h`**  
Zeigt die Befehlszeilenhilfe für den Befehl an.  
Erforderlich: Ja

**`-l`**  
Gibt die benutzerdefinierte Bezeichnung des privaten Schlüssels an.  
Erforderlich: Ja

**`-f`**  
Gibt den Dateinamen des zu importierenden Schlüssels an.  
Erforderlich: Ja

**`-w`**  
Gibt das Schlüssel-Handle des Verpackungsschlüssels an. Dieser Parameter muss angegeben werden. Nutzen Sie den Befehl [**findKey**](key_mgmt_util-findKey.md), um Schlüssel-Handles zu suchen.  
Ermitteln Sie mithilfe von [**getAttribute**](key_mgmt_util-getAttribute.md) den Wert des `OBJ_ATTR_WRAP`-Attributs (262), um zu bestimmen, ob ein Schlüssel als Verpackungsschlüssel verwendet werden kann. Um einen Wrapping-Schlüssel zu erstellen, verwenden Sie [**genSymKey**](key_mgmt_util-genSymKey.md), um einen AES-Schlüssel (Typ 31) zu generieren.  
Wenn Sie den Parameter `-wk` zum Angeben eines externen Entpackungsschlüssels verwenden, wird der `-w`-Verpackungsschlüssel während des Imports zum Verpacken, nicht aber zum Entpacken des Schlüssels verwendet.  
Erforderlich: Ja

**`-sess`**  
Gibt den importierten Schlüssel als Sitzungsschlüssel an.  
Standard: Der importierte Schlüssel wird im Cluster als persistenter Schlüssel (Token) bereitgehalten.  
Erforderlich: Nein

**`-id`**  
Gibt die ID des zu importierenden Schlüssels an.  
Standard : Kein ID-Wert.  
Erforderlich: Nein

**`-m_value`**  
Gibt die Anzahl der Benutzer an, die einen kryptografischen Vorgang genehmigen müssen, der den importierten Schlüssel verwendet. Geben Sie einen Wert zwischen **0** und **8** ein.  
Dieser Parameter ist nur gültig, wenn der `-u`-Parameter im Befehl den Schlüssel für ausreichend Benutzer freigibt, um die `m_value`-Anforderung zu erfüllen.  
Standard: 0  
Erforderlich: Nein

**`-min_srv`**  
Gibt die Mindestanzahl HSMs an, mit der der importierte Schlüssel synchronisiert wird, bevor der Wert des `-timeout` Parameters abläuft. Falls der Schlüssel nicht in der zulässigen vorgegebenen Zeit mit der angegebenen Anzahl von Servern synchronisiert wird, wird er nicht erstellt.  
AWS CloudHSM synchronisiert automatisch jeden Schlüssel mit jedem HSM im Cluster. Um Ihren Prozess zu beschleunigen, setzen Sie den Wert von `min_srv` auf weniger als die Anzahl von HSMs im Cluster und legen Sie einen niedrigen Timeout-Wert fest. Beachten Sie jedoch, dass einige Anfragen möglicherweise keinen Schlüssel generieren.  
Standard: 1  
Erforderlich: Nein

**`-timeout`**  
Gibt an, wie viele Sekunden auf die Synchronisierung des Schlüssels gewartet werden soll, HSMs wenn der `min-serv` Parameter enthalten ist. Wenn keine Anzahl angegeben ist, wird die Abfrage ohne zeitliche Einschränkung fortgesetzt.  
Standard: keine Einschränkung  
Erforderlich: Nein

**`-u`**  
Gibt die Liste der Benutzer an, für die der importierte private Schlüssel freigegeben werden soll. Dieser Parameter gibt anderen HSM-Kryptobenutzern (CUs) die Erlaubnis, den importierten Schlüssel für kryptografische Operationen zu verwenden.  
Geben Sie eine durch Kommas getrennte Liste von HSM-Benutzern ein, z. B. IDs `-u 5,6` Fügen Sie die HSM-Benutzer-ID des aktuellen Benutzers nicht ein. [Um den HSM-Benutzer IDs von CUs auf dem HSM zu finden, verwenden Sie ListUsers.](key_mgmt_util-listUsers.md)  
Standard: Nur der aktuelle Benutzer kann den importierten Schlüssel verwenden.  
Erforderlich: Nein

**`-wk`**  
Gibt den Schlüssel an, mit dem der Schlüssel, der importiert wird, verpackt werden soll. Geben Sie den Pfad und den Namen einer Datei an, die einen Klartext-AES-Schlüssel enthält.  
Wenn Sie diesen Parameter einschließen, verwendet **importPrivateKey** den Schlüssel in der `-wk`-Datei, um den zu importierenden Schlüssel zu verpacken. Außerdem wird der vom `-w`-Parameter angegebene Schlüssel zum Entpacken verwendet.  
Standard: Verwenden Sie den im `-w`-Parameter angegeben Verpackungsschlüssel für das Verpacken und Entpacken von Schlüsseln.  
Erforderlich: Nein

**`-attest`**  
Überprüft die Firmware-Antwort, um sicherzustellen, dass die Firmware, auf der der Cluster ausgeführt wird, nicht beeinträchtigt wurde.  
Erforderlich: Nein

## Verwandte Themen
<a name="importPrivateKey-seealso"></a>
+ [wrapKey](key_mgmt_util-wrapKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)
+ [genSymKey](key_mgmt_util-genSymKey.md)
+ [exportPrivateKey](key_mgmt_util-exportPrivateKey.md)