Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Referencia para los comandos de la CLI de CloudHSM
La CLI de CloudHSM ayuda a los administradores a gestionar los usuarios de su clúster. AWS CloudHSM La CLI de CloudHSM se puede ejecutar en dos modos: modo interactivo y modo de comando único. Para un inicio rápido, consulte [Introducción a la interfaz de línea de AWS CloudHSM comandos (CLI)](cloudhsm_cli-getting-started.md).
Para ejecutar la mayoría de los comandos de la CLI de CloudHSM, debe iniciar la CLI de CloudHSM e iniciar sesión en el HSM. Si agrega o elimina HSMs, actualice los archivos de configuración para la CLI de CloudHSM. De lo contrario, es posible que los cambios que realice no sean efectivos para todos los miembros del HSMs clúster.
En los temas siguientes, se describen los comandos de la CLI de CloudHSM.
| Comando | Description (Descripción) | Tipo de usuario |
| --- | --- | --- |
| [activate](cloudhsm_cli-cluster-activate.md) | Activa un clúster de CloudHSM y confirma que el clúster es nuevo. Esto debe hacerse antes de poder realizar cualquier otra operación. | Administrador desactivado |
| [hsm-info](cloudhsm_cli-cluster-hsm-info.md) | Incluya los HSMs elementos en su clúster. | Todos [1](#cli-ref-1), incluidos los usuarios no autenticados. No es necesario iniciar sesión. |
| [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) | Genera una firma mediante una clave privada EC y el mecanismo de firma ECDSA. | Usuarios de criptografía (CU) |
| [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) | Genera una firma mediante una clave privada Ed25519 y el mecanismo de firma HashEd DSA. | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) | Genera una firma mediante una clave privada RSA y el mecanismo de firma RSA-PKCS. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) | Genera una firma mediante una clave privada RSA y el mecanismo de firma. RSA-PKCS-PSS | CU |
| [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) | Confirma que un archivo se ha firmado en el HSM con una clave pública determinada. Verifica que la firma se ha generado mediante el mecanismo de firma ECDSA. Compara un archivo firmado con un archivo de origen y determina si los dos están relacionados criptográficamente en función de una clave pública ecdsa y un mecanismo de firma determinados. | CU |
| [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) | Verifica las firmas de la HashEd DSA mediante una clave pública Ed25519. | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) | Confirma que un archivo se ha firmado en el HSM con una clave pública determinada. Verifica que la firma se ha generado mediante el mecanismo de firma RSA-PKCS. Compara un archivo firmado con un archivo de origen y determina si los dos están relacionados criptográficamente en función de una clave pública rsa y un mecanismo de firma determinados. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) | Confirma que un archivo se ha firmado en el HSM con una clave pública determinada. Verifica que la firma se haya generado mediante el mecanismo de firma. RSA-PKCS-PSS Compara un archivo firmado con un archivo de origen y determina si los dos están relacionados criptográficamente en función de una clave pública rsa y un mecanismo de firma determinados. | CU |
| [eliminar clave](cloudhsm_cli-key-delete.md) | Elimina una clave del clúster. AWS CloudHSM | CU |
| [key generate-file](cloudhsm_cli-key-generate-file.md) | Genera un archivo de claves en el AWS CloudHSM clúster. | CU |
| [clave generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) | Genera un key pair de claves RSA asimétrico en el clúster AWS CloudHSM . | CU |
| [clave, etc. generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) | Genera un key pair de curvas elípticas (EC) asimétricas en el clúster. AWS CloudHSM | CU |
| [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md) | Genera una clave AES simétrica en el clúster. AWS CloudHSM | CU |
| [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md) | Genera una clave secreta genérica simétrica en el clúster. AWS CloudHSM | CU |
| [key import pem](cloudhsm_cli-key-import-pem.md) | Importa una clave en formato PEM a un HSM. Puede utilizarlo para importar claves públicas que se han generado fuera del HSM. | CU |
| [key list](cloudhsm_cli-key-list.md) | Busca todas las claves del usuario actual presente en el AWS CloudHSM clúster. | CU |
| [key replicate](cloudhsm_cli-key-replicate.md) | Replica una clave de un clúster de origen a un clúster de destino clonado. | CU |
| [key set-attribute](cloudhsm_cli-key-set-attribute.md) | Establece los atributos de las claves AWS CloudHSM del clúster. | CUs puede ejecutar este comando, los administradores pueden establecer el atributo de confianza. |
| [key share](cloudhsm_cli-key-share.md) | Comparte una clave con otras CUs del AWS CloudHSM clúster. | CU |
| [key unshare](cloudhsm_cli-key-unshare.md) | Deja de compartir una clave con otras CUs personas del AWS CloudHSM clúster. | CU |
| [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md) | Desempaqueta una clave de carga útil en el clúster mediante la clave de empaquetado AES y el mecanismo de desempaquetado AES-GCM. | CU |
| [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md) | Desempaqueta una clave de carga útil en el clúster mediante la clave de empaquetado AES y el mecanismo de desempaquetado. AES-NO-PAD | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md) | Desempaqueta una clave de carga mediante la clave de empaquetado AES y el mecanismo de desempaquetado AES- -PAD. PKCS5 | CU |
| [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md) | Desempaqueta una clave de carga útil en el clúster mediante la clave de empaquetado AES y el mecanismo de desempaquetado. AES-ZERO-PAD | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md) | Desempaqueta una clave de carga útil en el clúster mediante la clave de empaquetado AES y el mecanismo de desempaquetado. CLOUDHSM-AES-GCM | CU |
| [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md) | Desempaqueta una clave de carga útil mediante una clave privada RSA y el mecanismo de desempaquetado RSA-AES. | CU |
| [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md) | Desempaqueta una clave de carga útil mediante la clave privada RSA y el mecanismo de desempaquetado RSA-OAEP. | CU |
| [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md) | Desempaqueta una clave de carga útil mediante la clave privada RSA y el mecanismo de desempaquetado RSA-PKCS. | CU |
| [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md) | Empaqueta una clave de carga útil mediante una clave AES en el HSM y el mecanismo de empaquetado AES-GCM. | CU |
| [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md) | Envuelve una clave de carga mediante una clave AES en el HSM y en el mecanismo de empaquetado. AES-NO-PAD | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md) | Envuelve una clave de carga mediante una clave AES en el HSM y el mecanismo de empaquetado AES- -PAD. PKCS5 | CU |
| [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md) | Envuelve una clave de carga mediante una clave AES en el HSM y en el mecanismo de empaquetado. AES-ZERO-PAD | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md) | Envuelve una clave de carga mediante una clave AES en el HSM y en el mecanismo de empaquetado. CLOUDHSM-AES-GCM | CUs |
| [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md) | Empaqueta una clave de carga útil mediante una clave pública RSA en el HSM y el mecanismo de empaquetado RSA-AES. | CU |
| [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md) | Empaqueta una clave de carga útil mediante una clave pública RSA en el HSM y el mecanismo de empaquetado RSA-OAEP. | CU |
| [ Empaquetar una clave con RSA-PKCS mediante la CLI de CloudHSMrsa-pkcs El comando **key wrap rsa-pkcs** empaqueta una clave de carga útil mediante una clave pública RSA en el HSM y el mecanismo de empaquetado `RSA-PKCS`. Use el comando **key wrap rsa-pkcs** de la CLI de CloudHSM para empaquetar una clave de carga útil mediante una clave pública RSA en el módulo de seguridad de hardware (HSM) y el mecanismo de empaquetado `RSA-PKCS`. El atributo `extractable` de la clave de carga útil se debe establecer en `true`. Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas. Para usar el **key wrap rsa-pkcs** comando, primero debe tener una clave RSA en el AWS CloudHSM clúster. Puede generar un par de claves de RSA con el comando [La generate-asymmetric-pair categoría en CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) y el atributo `wrap` establecido en `true`. Tipo de usuario Los tipos de usuarios siguientes pueden ejecutar este comando. Usuarios criptográficos () CUs Requisitos Para ejecutar este comando, debe iniciar sesión como CU. Sintaxis
```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [...] --wrapping-filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--payload-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
--wrapping-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
--path
Path to the binary file where the wrapped key data will be saved
--wrapping-approval
File path of signed quorum token file to approve operation for wrapping key
--payload-approval
File path of signed quorum token file to approve operation for payload key
-h, --help
Print help
``` Ejemplo En el ejemplo, se muestra cómo usar el comando **key wrap rsa-pkcs** mediante una clave pública RSA.
**Example**
```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
"error_code": 0,
"data": {
"payload_key_reference": "0x00000000001c08f1",
"wrapping_key_reference": "0x00000000007008da",
"wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
}
``` Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
******
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de carga útil.
Obligatorio: sí
******
Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.
Obligatorio: no
******
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de empaquetado.
Obligatorio: sí
******
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de encapsulado. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de encapsulado es mayor que 1.
******
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de carga útil. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de carga útil es mayor que 1. Temas relacionados [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md) [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md) ](cloudhsm_cli-key-wrap-rsa-pkcs.md) | Empaqueta una clave de carga útil mediante una clave pública RSA en el HSM y el mecanismo de empaquetado RSA-PKCS. | CU |
| [login](cloudhsm_cli-login.md) | Inicie sesión en su clúster. AWS CloudHSM | Administrador, usuario de criptografía (CU) y usuario de dispositivos (AU) |
| [logout](cloudhsm_cli-logout.md) | Cierre sesión en su AWS CloudHSM clúster. | Administrador, CU y usuario de dispositivos (AU) |
| [quorum token-sign delete](cloudhsm_cli-qm-token-del.md) | Elimina uno o más tokens de un servicio autorizado de cuórum. | Administrador |
| [quorum token-sign generate](cloudhsm_cli-qm-token-gen.md) | Genera un token para un servicio autorizado de cuórum. | Administrador |
| [quorum token-sign list](cloudhsm_cli-qm-token-list.md) | Muestra todos los tokens de cuórum con firma de token presentes en el clúster de CloudHSM. | Todos [1](#cli-ref-1), incluidos los usuarios no autenticados. No es necesario iniciar sesión. |
| [signo simbólico de quórum list-quorum-values](cloudhsm_cli-qm-token-list-qm.md) | Muestra los valores de quórum establecidos en el clúster de CloudHSM. | Todos [1](#cli-ref-1), incluidos los usuarios no autenticados. No es necesario iniciar sesión. |
| [signo simbólico de quórum set-quorum-value](cloudhsm_cli-qm-token-set-qm.md) | Establece un nuevo valor de quorum para un servicio autorizado de cuórum. | Administrador |
| [user change-mfa](cloudhsm_cli-user-change-mfa.md) | Cambia la estrategia de autenticación multifactor (MFA) de un usuario. | Administrador, CU |
| [user change-password](cloudhsm_cli-user-change-password.md) | Cambia las contraseñas de los usuarios del. HSMs Cualquier usuario puede cambiar su propia contraseña. Los CO pueden cambiar la contraseña de cualquier persona. | Administrador, CU |
| [user create](cloudhsm_cli-user-create.md) | Crea un usuario en el AWS CloudHSM clúster. | Administrador |
| [user delete](cloudhsm_cli-user-delete.md) | Elimina un usuario del AWS CloudHSM clúster. | Administrador |
| [user list](cloudhsm_cli-user-list.md) | Muestra los usuarios del AWS CloudHSM clúster. | Todos [1](#cli-ref-1), incluidos los usuarios no autenticados. No es necesario iniciar sesión. |
| [user change-quorum token-sign register](cloudhsm_cli-user-chqm-token-reg.md) | Registra la estrategia de cuórum con firma de token para un usuario. | Administrador |
**Annotations**
+ [1] Todos los usuarios incluyen todos los roles de la lista y los usuarios que no han iniciado sesión.
# La categoría del clúster en la CLI de CloudHSM
En la CLI de CloudHSM, **cluster** es una categoría principal para un grupo de comandos que, en combinación con la categoría principal, crean un comando específico para los clústeres. Actualmente, la categoría de clúster consta de los siguientes comandos:
**Topics**
+ [activate](cloudhsm_cli-cluster-activate.md)
+ [hsm-info](cloudhsm_cli-cluster-hsm-info.md)
+ [mtls](cloudhsm_cli-cluster-mtls.md)
# Activación de un clúster con la CLI de CloudHSM
Use el comando **cluster activate** en la CLI de CloudHSM para [activar un nuevo clúster](activate-cluster.md) en AWS CloudHSM. Este comando debe ejecutarse antes de usar el clúster para llevar a cabo operaciones criptográficas.
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Administrador desactivado
## Sintaxis
Este comando no tiene parámetros.
```
aws-cloudhsm > help cluster activate
Activate a cluster
This command will set the initial Admin password. This process will cause your CloudHSM cluster to
move into the ACTIVE state.
USAGE:
cloudhsm-cli cluster activate [OPTIONS] [--password ]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--password
Optional: Plaintext activation password If you do not include this argument you will be prompted for it
-h, --help
Print help (see a summary with '-h')
```
## Ejemplo
Este comando activa el clúster estableciendo la contraseña inicial de su usuario administrador.
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
## Temas relacionados
+ [user create](cloudhsm_cli-user-create.md)
+ [user delete](cloudhsm_cli-user-delete.md)
+ [cambio de la contraseña de un usuario](cloudhsm_cli-user-change-password.md)
# Listar HSMs con CloudHSM CLI
Utilice el **cluster hsm-info** comando de la CLI de CloudHSM para enumerar los HSMs módulos de seguridad de hardware () AWS CloudHSM del clúster. No es necesario haber iniciado sesión en la CLI de CloudHSM para ejecutar este comando.
**nota**
Si agrega o elimina HSMs, actualice los archivos de configuración que utilizan el AWS CloudHSM cliente y las herramientas de línea de comandos. De lo contrario, es posible que los cambios que realice no sean efectivos HSMs en todos los componentes del clúster.
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Todos los usuarios. No es preciso haber iniciado sesión para ejecutar este comando.
## Sintaxis
```
aws-cloudhsm > help cluster hsm-info
List info about each HSM in the cluster
Usage: cloudhsm-cli cluster hsm-info [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Ejemplo
Este comando muestra lo que HSMs hay en el AWS CloudHSM clúster.
```
aws-cloudhsm > cluster hsm-info
{
"error_code": 0,
"data": {
"hsms": [
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000590",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000625",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000663",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
}
]
}
}
```
La salida tiene los siguientes atributos:
+ **Proveedor**: el nombre del proveedor del HSM.
+ **Modelo**: el número del modelo del HSM.
+ **Número de serie**: el número de serie del HSM. Esto puede cambiar debido a las sustituciones.
+ **H ardware-version-major**: La versión de hardware principal.
+ **H ardware-version-minor**: La versión de hardware secundaria.
+ **F irmware-version-major**: La versión principal del firmware.
+ **F irmware-version-minor**: La versión de firmware secundaria.
+ **F irmware-build-number**: El número de versión del firmware.
+ **Firmware-id**: el ID del firmware, que incluye las versiones principales y secundarias junto con la compilación.
+ **Estado FIPS**: el modo FIPS del clúster y el contenido en él. HSMs Si está en modo FIPS, el resultado es “2 [modo FIPS con autenticación de un solo factor]”. Si no está en modo FIPS, el resultado es “0 [modo no FIPS con autenticación de un solo factor]”.
## Temas relacionados
+ [Activación de un clúster con la CLI de CloudHSM](cloudhsm_cli-cluster-activate.md)
# La categoría mtls del clúster en la CLI de CloudHSM
En CloudHSM **cluster mtls** CLI, es una categoría principal para un grupo de comandos que, cuando se combinan con la categoría principal, crean un comando AWS CloudHSM específico para los clústeres. Actualmente, esta categoría consta de los siguientes comandos:
**Topics**
+ [deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [get-enforcement](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [register-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [set-enforcement](cloudhsm_cli-cluster-mtls-set-enforcement.md)
# Anulación del registro de un anclaje de veracidad con la CLI de CloudHSM
Use el comando **cluster mtls deregister-trust-anchor** en la CLI de CloudHSM para anular el registro de un anclaje de veracidad para el TLS mutuo entre el cliente y AWS CloudHSM.
## Tipo de usuario
Los usuarios siguientes pueden ejecutar este comando.
+ Administrador
## Requisitos
+ Para ejecutar este comando, debe iniciar sesión como usuario administrador.
## Sintaxis
```
aws-cloudhsm > help cluster mtls deregister-trust-anchor
Deregister a trust anchor for mtls
Usage: cluster mtls deregister-trust-anchor [OPTIONS] --certificate-reference [...]
Options:
--certificate-reference A hexadecimal or decimal certificate reference
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Ejemplo
**Example**
En el siguiente ejemplo, este comando elimina un anclaje de veracidad del HSM.
```
aws-cloudhsm > cluster mtls deregister-trust-anchor --certificate-reference 0x01
{
"error_code": 0,
"data": {
"message": "Trust anchor with reference 0x01 deregistered successfully"
}
}
```
A continuación, puede ejecutar el comando **list-trust-anchors** para confirmar que se ha dado de baja el anclaje de veracidad del AWS CloudHSM:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": []
}
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
** ** **
Una referencia de certificado hexadecimal o decimal.
**Obligatorio**: sí
Tras anular el registro de un anclaje de veracidad en el clúster, se eliminarán todas las conexiones mTLS existentes que utilicen el certificado de cliente firmado por ese anclaje de veracidad.
** ** **
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor del cuórum del servicio de clúster de cuórum es superior a 1.
## Temas relacionados
+ [clúster mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [clúster mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [Configurar mTLS (recomendado)](getting-started-setup-mtls.md)
# Obtención del nivel de cumplimiento de mTLS con la CLI de CloudHSM
Use el comando **cluster mtls get-enforcement** en la CLI de CloudHSM para obtener el nivel de cumplimiento del uso de TLS mutuo entre el cliente y AWS CloudHSM.
## Tipo de usuario
Los usuarios siguientes pueden ejecutar este comando.
+ Administrador
+ Usuarios de criptomonedas (CUs)
## Requisitos
+ Para ejecutar este comando, debe iniciar sesión como usuario administrador o usuario criptográfico (CUs).
## Sintaxis
```
aws-cloudhsm > help cluster mtls get-enforcement
Get the status of mtls enforcement in the cluster
Usage: cluster mtls get-enforcement [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Ejemplo
**Example**
En el siguiente ejemplo, este comando muestra el nivel de cumplimiento de mtls del AWS CloudHSM.
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "none"
}
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
## Temas relacionados
+ [cluster mtls set-enforcement](cloudhsm_cli-cluster-mtls-set-enforcement.md)
+ [Configurar mTLS (recomendado)](getting-started-setup-mtls.md)
# Enumere los anclajes de veracidad con la CLI de CloudHSM
Use el comando **cluster mtls list-trust-anchors** en la CLI de CloudHSM para enumerar todos los anclajes de veracidad que se pueden usar para TLS mutua entre el cliente y el AWS CloudHSM.
## Tipo de usuario
Los usuarios siguientes pueden ejecutar este comando.
+ Todos los usuarios. No es preciso haber iniciado sesión para ejecutar este comando.
## Sintaxis
```
aws-cloudhsm > help cluster mtls list-trust-anchors
List all trust anchors for mtls
Usage: cluster mtls list-trust-anchors [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Ejemplo
**Example**
En el siguiente ejemplo, este comando enumera todos los anclajes de veracidad registrados de AWS CloudHSM.
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
},
{
"certificate-reference": "0x02",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
## Temas relacionados
+ [clúster mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [clúster mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [Configurar mTLS (recomendado)](getting-started-setup-mtls.md)
# Registrar un anclaje de veracidad con la CLI de CloudHSM
Use el comando **cluster mtls register-trust-anchor** en la CLI de CloudHSM para registrar un anclaje de veracidad para TLS mutua entre el cliente y el AWS CloudHSM.
## Tipo de usuario
Los usuarios siguientes pueden ejecutar este comando.
+ Administrador
## Requisitos
AWS CloudHSM Acepta anclajes de confianza con los siguientes tipos de clave:
****
| Tipo de clave | Description (Descripción) |
| --- | --- |
| EC | curvas secp256r1 (P-256), secp384r1 (P-384) y secp521r1 (P-521). |
| RSA | claves RSA de 2048, 3072 y 4096 bits. |
## Sintaxis
```
aws-cloudhsm > help cluster mtls register-trust-anchor
Register a trust anchor for mtls
Usage: cluster mtls register-trust-anchor [OPTIONS] --path [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--path Filepath of the trust anchor to register
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Ejemplo
**Example**
En el siguiente ejemplo, este comando registra un anclaje de veracidad en el HSM. El número máximo de anclajes de veracidad que se puede registrar es dos (2).
```
aws-cloudhsm > cluster mtls register-trust-anchor --path /home/rootCA
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
A continuación, puede ejecutar el comando **list-trust-anchors** para confirmar que se ha registrado el anclaje de veracidad en el AWS CloudHSM:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
** ** **
Ruta de archivo del anclaje de veracidad que se va a registrar.
**Obligatorio**: sí
AWS CloudHSM admite el registro de certificados intermedios como ancla de confianza. En esos casos, todo el archivo de cadena de certificados codificados en PEM debe registrarse en el HSM junto con los certificados en orden jerárquico.
AWS CloudHSM admite una cadena de certificados de 6980 bytes.
** ** **
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor del cuórum del servicio de clúster de cuórum es superior a 1.
## Temas relacionados
+ [clúster mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [clúster mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [Configurar mTLS (recomendado)](getting-started-setup-mtls.md)
# Establecer el nivel de cumplimiento de mTLS con la CLI de CloudHSM
Use el comando **cluster mtls set-enforcement** en la CLI de CloudHSM para establecer el nivel de cumplimiento del uso de TLS mutuo entre el cliente y AWS CloudHSM.
## Tipo de usuario
Los usuarios siguientes pueden ejecutar este comando.
+ Administrador con nombre de usuario como administrador
## Requisitos
para ejecutar este comando:
+ Al menos un anclaje de veracidad se ha registrado correctamente en el AWS CloudHSM.
+ Configure la CLI de CloudHSM con la clave privada y el certificado de cliente correctos, e inicie la CLI de CloudHSM bajo una conexión de TLS mutuo.
+ Debe iniciar sesión como administrador predeterminado con el nombre de usuario “admin”. Ningún otro usuario administrador podrá ejecutar este comando.
## Sintaxis
```
aws-cloudhsm > help cluster mtls set-enforcement
Set mtls enforcement policy in the cluster
Usage: cluster mtls set-enforcement [OPTIONS] --level [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--level Level to be set for mtls in the cluster [possible values: none, cluster]
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Ejemplo
**Example**
En el siguiente ejemplo, este comando establece el nivel de aplicación mtls del AWS CloudHSM clúster futuro. El comando set-enforcement solo se puede ejecutar en una conexión TLS mutua y se puede iniciar sesión como usuario administrador con el nombre de usuario admin, consulte [establecer el cumplimiento de mTLS para el AWS CloudHSM](getting-started-setup-mtls.md#getting-start-setup-mtls-enforcement).
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
A continuación, puede ejecutar el comando **get-enforcement** para confirmar que el nivel de cumplimiento se ha establecido en clúster:
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "cluster"
}
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
** ** **
Se debe establecer el nivel para los mtls del clúster.
**Valores válidos**
+ **clúster**: impone el uso de TLS mutuo entre el cliente y AWS CloudHSM el clúster.
+ **ninguno**: no exija el uso de TLS mutuo entre el cliente y AWS CloudHSM el clúster.
**Obligatorio**: sí
Después de aplicar el uso de mTLS en el clúster, se eliminarán todas las conexiones no mTLS existentes y solo podrá conectarse al clúster con certificados mTLS.
** ** **
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor del cuórum del servicio de clúster de cuórum es superior a 1.
## Temas relacionados
+ [cluster mtls get-enforcement](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [Configurar mTLS (recomendado)](getting-started-setup-mtls.md)
# La categoría criptográfica en la CLI de CloudHSM
En la CLI de CloudHSM, **crypto** es una categoría principal para un grupo de comandos que, en combinación con la categoría principal, crea un comando específico para operaciones criptográficas. Actualmente, esta categoría consta de los siguientes comandos:
+ [sign](cloudhsm_cli-crypto-sign.md)
+ [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
+ [verificar](cloudhsm_cli-crypto-verify.md)
+ [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
# La categoría de firma criptográfica en la CLI de CloudHSM
En la CLI de CloudHSM, **crypto sign** es una categoría principal para un grupo de comandos que, cuando se combinan con la categoría principal, usan una clave privada elegida en el clúster de su AWS CloudHSM para generar una firma. **crypto sign** tiene los siguientes subcomandos:
+ [Genere una firma con el mecanismo ECDSA en la CLI de CloudHSM](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [Genere una firma con el mecanismo HashEd DSA en CloudHSM CLI](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [Genere una firma con el mecanismo RSA-PKCS en la CLI de CloudHSM](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [Genere una firma con el RSA-PKCS-PSS mecanismo de CloudHSM CLI](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
Para usar **crypto sign**, primero debe tener una clave privada en si HSM. Puede generar una clave privada con los siguientes comandos:
+ [clave, generate-asymmetric-pair etc.](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [clave generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# Genere una firma con el mecanismo ECDSA en la CLI de CloudHSM
Use el comando **crypto sign ecdsa** en la CLI de CloudHSM para generar una firma mediante una clave privada EC y el mecanismo de firma ECDSA.
Para usar el **crypto sign ecdsa** comando, primero debe tener una clave privada EC en su AWS CloudHSM clúster. Puede generar una clave privada EC mediante el comando [Generación de un par de claves EC asimétricas con la CLI de CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) con el atributo `sign` establecido en `true`.
La firma ECDSA resultante se genera en el formato `r||s` en el que los componentes r y s se concatenan como datos binarios sin procesar y se devuelven en formato codificado en base64.
**nota**
Las firmas se pueden verificar con subcomandos. AWS CloudHSM [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md)
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas () CUs
## Requisitos
+ Para ejecutar este comando, debe iniciar sesión como CU.
## Sintaxis
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Ejemplo
En estos ejemplos, se muestra cómo usar **crypto sign ecdsa** para generar una firma mediante el mecanismo de firma ECDSA y la función hash `SHA256`. Este comando usa una clave privada en el HSM.
**Example Ejemplo: generar una firma para los datos codificados en base 64**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
**Example Ejemplo: generar una firma para un archivo de datos**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
******
Datos codificados en Base64 para firmarse.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
******
Especifica la ubicación de los datos que se deben firmar.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
******
Especifica la función hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatorio: sí
******
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos de clave separados por espacios, con el formato attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE, para seleccionar una clave coincidente.
Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM.
Obligatorio: sí
******
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de uso de claves de la clave privada es mayor que 1.
******
Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash.
Valores válidos:
+ raw
+ resumen
## Temas relacionados
+ [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md)
# Genere una firma con el mecanismo HashEd DSA en CloudHSM CLI
**importante**
HashEdLas operaciones de firma de DSA solo se admiten en las instancias hsm2m.medium en modo que no sea FIPS.
Utilice el **crypto sign ed25519ph** comando de la CLI de CloudHSM para generar una firma mediante una clave HashEd privada Ed25519 y el mecanismo de firma DSA. Para obtener información adicional sobre la HashEd DSA, consulte la sección 7.8 del [NIST](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf) SP 186-5.
Para usar el **crypto sign ed25519ph** comando, primero debe tener una clave privada Ed25519 en su clúster. AWS CloudHSM Puede generar una clave privada Ed25519 mediante el [Generación de un par de claves EC asimétricas con la CLI de CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) comando con el `curve` parámetro establecido en `ed25519` y el `sign` atributo establecido en. `true`
**nota**
Las firmas se pueden verificar AWS CloudHSM con [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos.
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas () CUs
## Requisitos
+ Para ejecutar este comando, debe iniciar sesión como CU.
+ HashEdLas operaciones de firma de DSA solo se admiten en las instancias hsm2m.medium en modo que no sea FIPS.
## Sintaxis
```
aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism
Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Ejemplo
Estos ejemplos muestran cómo generar una firma mediante el mecanismo de firma **crypto sign ed25519ph** ED25519ph y la función hash. `sha512` Este comando usa una clave privada en el HSM.
**Example Ejemplo: generar una firma para los datos codificados en base 64**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data YWJj
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
**Example Ejemplo: generar una firma para un archivo de datos**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
******
Datos codificados en Base64 para firmarse.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
******
Especifica la ubicación de los datos que se deben firmar.
Obligatorio: Sí (a menos que se proporcione a través del parámetro de datos)
******
Especifica la función hash. Solo es compatible con ED25519ph. SHA512
Valores válidos:
+ sha512
Obligatorio: sí
******
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos de clave separados por espacios, con el formato attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE, para seleccionar una clave coincidente.
Para obtener una lista de los atributos clave de la CLI de CloudHSM compatibles, consulte. [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
Obligatorio: sí
******
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de uso de claves de la clave privada es mayor que 1.
******
Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash.
Valores válidos:
+ raw
+ resumen
Obligatorio: sí
## Temas relacionados
+ [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md)
# Genere una firma con el mecanismo RSA-PKCS en la CLI de CloudHSM
Use el comando **crypto sign rsa-pkcs** en la CLI de CloudHSM para generar una firma mediante una clave privada RSA y el mecanismo de firma RSA-PKCS.
Para usar el **crypto sign rsa-pkcs** comando, primero debe tener una clave privada RSA en el AWS CloudHSM clúster. Puede generar una clave privada RSA mediante el comando [Generación de un par de claves RSA asimétricas con la CLI de CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) con el atributo `sign` establecido en `true`.
**nota**
Las firmas se pueden verificar AWS CloudHSM con [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos.
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas () CUs
## Requisitos
+ Para ejecutar este comando, debe iniciar sesión como CU.
## Sintaxis
```
aws-cloudhsm > help crypto sign rsa-pkcs
Sign with the RSA-PKCS mechanism
Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Ejemplo
En estos ejemplos, se muestra cómo usar **crypto sign rsa-pkcs** para generar una firma mediante el mecanismo de firma RSA-PKCS y la función hash `SHA256`. Este comando usa una clave privada en el HSM.
**Example Ejemplo: generar una firma para los datos codificados en base 64**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
**Example Ejemplo: generar una firma para un archivo de datos**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
******
Datos codificados en Base64 para firmarse.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
******
Especifica la ubicación de los datos que se deben firmar.
Obligatorio: Sí (a menos que se proporcione mediantes datos)
******
Especifica la función hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatorio: sí
******
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente.
Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM.
Obligatorio: sí
******
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de uso de claves de la clave privada es mayor que 1.
******
Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash.
En el caso de RSA-PKCS, los datos se deben pasar en formato codificado DER, según se especifica en la [Sección 9.2 del RFC 8017.](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)
Valores válidos:
+ raw
+ resumen
## Temas relacionados
+ [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md)
# Genere una firma con el RSA-PKCS-PSS mecanismo de CloudHSM CLI
Use el comando **crypto sign rsa-pkcs-pss** en la CLI de CloudHSM para generar una firma mediante una clave privada RSA y el mecanismo de firma `RSA-PKCS-PSS`.
Para usar el **crypto sign rsa-pkcs-pss** comando, primero debe tener una clave privada RSA en su clúster. AWS CloudHSM Puede generar una clave privada RSA mediante el comando [Generación de un par de claves RSA asimétricas con la CLI de CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) con el atributo `sign` establecido en `true`.
**nota**
Las firmas se pueden verificar AWS CloudHSM con [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos.
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas () CUs
## Requisitos
+ Para ejecutar este comando, debe iniciar sesión como CU.
## Sintaxis
```
aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism
Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data >
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function [possible values: sha1, sha224, sha256, sha384, sha512]
--data-path The path to the file containing the data to be signed
--data Base64 Encoded data to be signed
--mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length The salt length
--approval Filepath of signed quorum token file to approve operation
--data-type The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help Print help
```
## Ejemplo
En estos ejemplos, se muestra cómo usar **crypto sign rsa-pkcs-pss** para generar una firma mediante el mecanismo de firma `RSA-PKCS-PSS` y la función hash `SHA256`. Este comando usa una clave privada en el HSM.
**Example Ejemplo: generar una firma para los datos codificados en base 64**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
**Example Ejemplo: generar una firma para un archivo de datos**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
******
Datos codificados en Base64 para firmarse.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
******
Especifica la ubicación de los datos que se deben firmar.
Obligatorio: Sí (a menos que se proporcione mediantes datos)
******
Especifica la función hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatorio: sí
******
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente.
Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM.
Obligatorio: sí
******
Especifica la función de generación de máscaras.
La función hash de la función de generación de máscaras debe coincidir con la función hash del mecanismo de firma.
Valores válidos:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Obligatorio: sí
******
Especifica la longitud de sal.
Obligatorio: sí
******
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de uso de claves de la clave privada es mayor que 1.
******
Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash.
Valores válidos:
+ raw
+ resumen
## Temas relacionados
+ [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md)
## Temas relacionados
+ [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md)
# La categoría de verificación criptográfica en la CLI de CloudHSM
En la CLI de CloudHSM, **crypto verify** es una categoría principal para un grupo de comandos que, en combinación con la categoría principal, confirma si un archivo se ha firmado con una clave determinada. **crypto verify** tiene los siguientes subcomandos:
+ [crypto verify ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [verificación criptográfica ed25519.ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [crypto verify rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [verificación criptográfica rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
El comando **crypto verify** compara un archivo firmado con un archivo de origen y analiza si están relacionados criptográficamente en función de una clave pública y un mecanismo de firma determinados.
**nota**
Se puede iniciar sesión en los archivos AWS CloudHSM con la [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md) operación.
# Verifique una firma que se hizo con el mecanismo ECDSA en la CLI de CloudHSM
Use el comando **crypto verify ecdsa** de la CLI de CloudHSM para realizar las siguientes operaciones:
+ Confirme que un archivo se haya firmado en el HSM con una clave pública determinada.
+ Verifique que la firma se haya generado mediante el mecanismo de firma ECDSA.
+ Compare un archivo firmado con un archivo de origen y determine si los dos están relacionados criptográficamente en función de una clave pública ecdsa y un mecanismo de firma determinados.
+ La función de verificación del ECDSA espera la firma en el formato `r||s` en el que los componentes r y s se concatenan como datos binarios sin procesar.
Para usar el **crypto verify ecdsa** comando, primero debe tener una clave pública EC en su clúster. AWS CloudHSM Puede importar una clave pública EC mediante el comando [Importación de una clave en formato PEM con la CLI de CloudHSM](cloudhsm_cli-key-import-pem.md) con el atributo `verify` establecido en `true`.
**nota**
Puede generar una firma en la CLI de CloudHSM con subcomandos [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md).
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos (CUs)
## Requisitos
+ Para ejecutar este comando, debe iniciar sesión como CU.
## Sintaxis
```
aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism
Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Ejemplo
En estos ejemplos, se muestra cómo usar **crypto verify ecdsa** para verificar que una firma se haya generado mediante el mecanismo de firma ECDSA y la función hash `SHA256`. Este comando usa una clave pública en el HSM.
**Example Ejemplo: verifique una firma codificada en Base64 con datos codificados en Base64**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Ejemplo: verifique un archivo de firma con un archivo de datos**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Ejemplo: demostrar una relación de firma falsa**
Este comando comprueba si los datos ubicados en `/home/data` se firmaron mediante una clave pública con la etiqueta `ecdsa-public` usando el mecanismo de firma ECDSA para generar la firma ubicada en `/home/signature`. Dado que los argumentos especificados no constituyen una relación de firma verdadera, el comando devuelve un mensaje de error.
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
******
Datos codificados en Base64 para firmarse.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
******
Especifica la ubicación de los datos que se deben firmar.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
******
Especifica la función hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatorio: sí
******
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente.
Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM.
Obligatorio: sí
******
Firma codificada en Base64.
Obligatorio: Sí (a menos que se proporcione por la ruta de firmas)
******
Especifica la ubicación de la firma.
Obligatorio: Sí (a menos que se proporcione por la ruta de firmas)
******
Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash.
Valores válidos:
+ raw
+ resumen
## Temas relacionados
+ [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md)
# Verificar una firma firmada con el mecanismo HashEd DSA en la CLI de CloudHSM
**importante**
HashEdLas operaciones de verificación de firmas del DSA solo se admiten en las instancias hsm2m.medium en modo que no sea FIPS.
Use el comando **crypto verify ed25519ph** de la CLI de CloudHSM para realizar las siguientes operaciones:
+ Verifique las firmas de los datos o archivos con una clave pública Ed25519 determinada.
+ Confirme que la firma se generó mediante el mecanismo de firma de la HashEd DSA. Para obtener información adicional sobre la HashEd DSA, consulte la sección 7.8 del [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf).
Para usar el **crypto verify ed25519ph** comando, primero debe tener una clave pública Ed25519 en su clúster. AWS CloudHSM Puede generar un par de claves Ed25519 mediante el [Generación de un par de claves EC asimétricas con la CLI de CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) comando con el `curve` parámetro establecido en `ed25519` y el `verify` atributo establecido en`true`, o importar una clave pública Ed25519 mediante el [Importación de una clave en formato PEM con la CLI de CloudHSM](cloudhsm_cli-key-import-pem.md) comando con el `verify` atributo establecido en. `true`
**nota**
Puede generar una firma en la CLI de CloudHSM con subcomandos [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md).
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs
## Requisitos
+ Para ejecutar este comando, debe iniciar sesión como CU.
+ HashEdLas operaciones de verificación de firmas de DSA solo se admiten en las instancias hsm2m.medium en modo que no sea FIPS.
## Sintaxis
```
aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism
Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Ejemplo
Estos ejemplos muestran cómo verificar una firma que se generó **crypto verify ed25519ph** mediante el mecanismo de firma ED25519ph y la función hash. `sha512` Este comando usa una clave pública Ed25519 en el HSM.
**Example Ejemplo: verifique una firma codificada en Base64 con datos codificados en Base64**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data YWJj \
--signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Ejemplo: verifique un archivo de firma con un archivo de datos**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data-path data.txt \
--signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
******
Datos codificados en Base64 que se van a verificar.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
******
Especifica la ubicación de los datos que se van a verificar.
Obligatorio: Sí (a menos que se proporcione a través del parámetro de datos)
******
Especifica la función hash. Solo es compatible con ED25519ph. SHA512
Valores válidos:
+ sha512
Obligatorio: sí
******
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente.
Para obtener una lista de los atributos clave de la CLI de CloudHSM compatibles, consulte. [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
Obligatorio: sí
******
Firma codificada en Base64.
Obligatorio: Sí (a menos que se proporcione por la ruta de firmas)
******
Especifica la ubicación de la firma.
Obligatorio: Sí (a menos que se proporcione a través del parámetro de firma)
******
Especifica si el valor del parámetro de datos debe codificarse como parte del algoritmo de verificación. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash.
Valores válidos:
+ raw
+ resumen
Obligatorio: sí
## Temas relacionados
+ [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md)
+ [Genere una firma con el mecanismo HashEd DSA en CloudHSM CLI](cloudhsm_cli-crypto-sign-ed25519ph.md)
# Verifique una firma que se hizo con el mecanismo RSA-PKCS en la CLI de CloudHSM
Use el comando **crypto verify rsa-pkcs** de la CLI de CloudHSM para realizar las siguientes operaciones:
+ Confirme que un archivo se haya firmado en el HSM con una clave pública determinada.
+ Verifique que la firma se haya generado mediante el mecanismo de firma `RSA-PKCS`.
+ Compare un archivo firmado con un archivo de origen y determine si los dos están relacionados criptográficamente en función de una clave pública rsa y un mecanismo de firma determinados.
Para usar el **crypto verify rsa-pkcs** comando, primero debe tener una clave pública RSA en su AWS CloudHSM clúster.
**nota**
Puede generar una firma usando la CLI de CloudHSM con los subcomandos [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md).
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs
## Requisitos
+ Para ejecutar este comando, debe iniciar sesión como CU.
## Sintaxis
```
aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism
Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Ejemplo
En estos ejemplos, se muestra cómo usar **crypto verify rsa-pkcs** para verificar una firma que se haya generado mediante el mecanismo de firma RSA-PKCS y la función hash `SHA256`. Este comando usa una clave pública en el HSM.
**Example Ejemplo: verifique una firma codificada en Base64 con datos codificados en Base64**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Ejemplo: verifique un archivo de firma con un archivo de datos**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Ejemplo: demostrar una relación de firma falsa**
Este comando comprueba si los datos inválidos se firmaron mediante una clave pública con la etiqueta `rsa-public` usando el mecanismo de firma RSA-PKCS para generar la firma ubicada en `/home/signature`. Dado que los argumentos especificados no constituyen una relación de firma verdadera, el comando devuelve un mensaje de error.
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
******
Datos codificados en Base64 para firmarse.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
******
Especifica la ubicación de los datos que se deben firmar.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
******
Especifica la función hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatorio: sí
******
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente.
Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM.
Obligatorio: sí
******
Firma codificada en Base64.
Obligatorio: Sí (a menos que se proporcione por la ruta de firmas)
******
Especifica la ubicación de la firma.
Obligatorio: Sí (a menos que se proporcione por la ruta de firmas)
******
Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash.
En el caso de RSA-PKCS, los datos se deben pasar en formato codificado DER, según se especifica en la [Sección 9.2 del RFC 8017.](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)
Valores válidos:
+ raw
+ resumen
## Temas relacionados
+ [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md)
# Verificar una firma firmada con el RSA-PKCS-PSS mecanismo en la CLI de CloudHSM
Use el comando **crypto sign rsa-pkcs-pss** de la CLI de CloudHSM para realizar las siguientes operaciones.
+ Confirme que un archivo se haya firmado en el HSM con una clave pública determinada.
+ Verifique que la firma se haya generado mediante el mecanismo de firma RSA-PKCS-PSS.
+ Compare un archivo firmado con un archivo de origen y determine si los dos están relacionados criptográficamente en función de una clave pública rsa y un mecanismo de firma determinados.
Para usar el **crypto verify rsa-pkcs-pss** comando, primero debe tener una clave pública RSA en su clúster. AWS CloudHSM Puede importar una clave pública RSA mediante el comando key import pem (AGREGAR ENLACE DESEMPAQUETADO AQUÍ) con el atributo `verify` establecido en `true`.
**nota**
Puede generar una firma usando la CLI de CloudHSM con los subcomandos [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md).
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs
## Requisitos
+ Para ejecutar este comando, debe iniciar sesión como CU.
## Sintaxis
```
aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism
Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--mgf
The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length
The salt length
-h, --help
Print help
```
## Ejemplo
Estos ejemplos muestran cómo **crypto verify rsa-pkcs-pss** verificar una firma que se generó mediante el mecanismo de RSA-PKCS-PSS firma y la función `SHA256` hash. Este comando usa una clave pública en el HSM.
**Example Ejemplo: verifique una firma codificada en Base64 con datos codificados en Base64**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Ejemplo: verifique un archivo de firma con un archivo de datos**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Ejemplo: demostrar una relación de firma falsa**
Este comando comprueba si los datos inválidos se firmaron mediante una clave pública con la etiqueta `rsa-public` usando el mecanismo de firma RSA-PKCS-PSS para generar la firma ubicada en `/home/signature`. Dado que los argumentos especificados no constituyen una relación de firma verdadera, el comando devuelve un mensaje de error.
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
******
Datos codificados en Base64 para firmarse.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
******
Especifica la ubicación de los datos que se deben firmar.
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)
******
Especifica la función hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatorio: sí
******
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente.
Para obtener una lista de los atributos clave de la CLI de CloudHSM que son compatibles, consulte Atributos clave para la CLI de CloudHSM.
Obligatorio: sí
******
Especifica la función de generación de máscaras.
La función hash de la función de generación de máscaras debe coincidir con la función hash del mecanismo de firma.
Valores válidos:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Obligatorio: sí
******
Firma codificada en Base64.
Obligatorio: Sí (a menos que se proporcione por la ruta de firmas)
******
Especifica la ubicación de la firma.
Obligatorio: Sí (a menos que se proporcione por la ruta de firmas)
******
Especifica si el valor del parámetro de datos debe someterse a hash como parte del algoritmo de firma. Use `raw` para datos sin aplicar hash; use `digest` para resúmenes, que ya están sometidos a hash.
Valores válidos:
+ raw
+ resumen
## Temas relacionados
+ [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md)
# La categoría de clave en la CLI de CloudHSM
En la CLI de CloudHSM, **key** es una categoría principal para un grupo de comandos que, en combinación con la categoría principal, crea un comando específico para las claves. Actualmente, esta categoría consta de los siguientes comandos:
+ [eliminar](cloudhsm_cli-key-delete.md)
+ [generate-file](cloudhsm_cli-key-generate-file.md)
+ [clave generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [clave generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
+ [clave generate-asymmetric-pair, etc.](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-symmetric](cloudhsm_cli-key-generate-symmetric.md)
+ [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [import pem](cloudhsm_cli-key-import-pem.md)
+ [list](cloudhsm_cli-key-list.md)
+ [replicación](cloudhsm_cli-key-replicate.md)
+ [set-attribute](cloudhsm_cli-key-set-attribute.md)
+ [compartir](cloudhsm_cli-key-share.md)
+ [unshare](cloudhsm_cli-key-unshare.md)
+ [unwrap](cloudhsm_cli-key-unwrap.md)
+ [wrap](cloudhsm_cli-key-wrap.md)
# Eliminación de una clave con la CLI de CloudHSM
Use el **key delete** comando de la CLI de CloudHSM para eliminar una clave AWS CloudHSM de un clúster. Solo puede eliminar las claves de una en una. La eliminación de una clave de un par de claves no influye en la otra clave del par.
Solo el CU que creó la clave y, por tanto, es su propietario, puede borrarla. Los usuarios que comparten la clave, pero no la poseen, pueden utilizarla en operaciones criptográficas, pero no pueden borrarla.
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs
## Requisitos
+ Para ejecutar este comando, debe iniciar sesión como CU.
## Sintaxis
```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster
Usage: key delete [OPTIONS] --filter [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for deletion
-h, --help Print help
```
## Ejemplo
```
aws-cloudhsm > key delete --filter attr.label="ec-test-public-key"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
******
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente por eliminar.
Para obtener una lista de los atributos de clave CLI de CloudHSM admitidos, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
Obligatorio: sí
## Temas relacionados
+ [Enumeración de claves de un usuario con la CLI de CloudHSM](cloudhsm_cli-key-list.md)
+ [Exportación de una clave asimétrica con la CLI de CloudHSM](cloudhsm_cli-key-generate-file.md)
+ [Dejar de compartir una clave mediante la CLI de CloudHSM](cloudhsm_cli-key-unshare.md)
+ [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
# Exportación de una clave asimétrica con la CLI de CloudHSM
Use el comando **key generate-file** de la CLI de CloudHSM para exportar una clave asimétrica del módulo de seguridad de hardware (HSM). Si el destino es una clave privada, la referencia a la clave privada se exportará en un formato PEM falso. Si el destino es una clave pública, los bytes de la clave pública se exportarán en formato PEM.
El archivo PEM falso, que no contiene el material de la clave privada propiamente dicha, sino que hace referencia a la clave privada del HSM, se puede utilizar para establecer la SSL/TLS descarga de datos desde el servidor web hacia. AWS CloudHSM Para obtener más información, consulte [Descarga de SSL/TLS](ssl-offload.md).
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas () CUs
## Requisitos
Para ejecutar este comando, debe iniciar sesión como CU.
## Sintaxis
```
aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
--path
Filepath where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
-h, --help
Print help (see a summary with '-h')
```
## Ejemplo
En este ejemplo, se muestra cómo **key generate-file** se utiliza para generar un archivo de claves en el AWS CloudHSM clúster.
**Example**
```
aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## Argumentos
******
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.
******
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente por eliminar.
Para obtener una lista de los atributos clave de la CLI de CloudHSM compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
Obligatorio: no
******
Especifica el formato de codificación del archivo de claves.
Obligatorio: sí
******
Especifica la ruta del archivo en la que se escribirá el archivo de claves.
Obligatorio: sí
## Generación de referencias de claves KSP (Windows)
**nota**
Esta característica está disponible únicamente en las versiones 5.16.0 y posteriores del SDK.
### Requisitos previos
+ Puede generar referencias de claves KSP solo en plataformas Windows.
+ Debe iniciar sesión como usuario de criptografía (CU).
### Ubicación del archivo
De forma predeterminada, AWS CloudHSM almacena en `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition` los archivos generados
Para especificar una ubicación diferente, utilice el parámetro `--path`.
### Sintaxis
```
aws-cloudhsm > help key generate-file --encoding ksp-key-reference
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
- ksp-key-reference: KSP key reference format
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided with multiple clusters configured, will error
--path
Directory path where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
--all
Generate ksp key reference for all available key pairs in HSM
-h, --help
Print help (see a summary with '-h')
```
### Ejemplo: generación de una referencia de clave KSP mediante un filtro de atributos de una clave privada
El siguiente ejemplo genera una referencia de clave KSP para una clave privada con una etiqueta específica.
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --path --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
### Ejemplo: generación de referencias de claves KSP para todos los pares de claves
El siguiente ejemplo genera referencias de claves KSP para todos los pares de claves del clúster.
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --all
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## Temas relacionados
+ [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
+ [La generate-asymmetric-pair categoría en CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [La categoría generate-symmetric en la CLI de CloudHSM](cloudhsm_cli-key-generate-symmetric.md)
# La generate-asymmetric-pair categoría en CloudHSM CLI
En la CLI de CloudHSM, **key generate-asymmetric-pair** es una categoría principal de un grupo de comandos que, cuando se combinan con la categoría principal, crea un comando que genera pares de claves asimétricas. Actualmente, esta categoría consta de los siguientes comandos:
+ [clave, etc. generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [clave generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# Generación de un par de claves EC asimétricas con la CLI de CloudHSM
Utilice el **key asymmetric-pair ec** comando de la CLI de CloudHSM para generar un par de claves de curva elíptica (EC) asimétrica en el clúster. AWS CloudHSM
## Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas () CUs
## Requisitos
Para ejecutar este comando, debe iniciar sesión como CU.
## Sintaxis
```
aws-cloudhsm > help key generate-asymmetric-pair ec
Generate an Elliptic-Curve Cryptography (ECC) key pair
Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label --private-label --curve
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--public-label
Label for the public key
--private-label
Label for the private key
--session
Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
--curve
Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1, ed25519]
--public-attributes [...]
Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--private-attributes [...]
Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--share-crypto-users [...]
Space separated list of Crypto User usernames to share the EC private key with
--manage-private-key-quorum-value
The quorum value for key management operations for the private key
--use-private-key-quorum-value