Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Référence pour les commandes de la CLI CloudHSM
La CLI CloudHSM aide les administrateurs à gérer les utilisateurs de leur cluster. AWS CloudHSM La CLI CloudHSM peut être exécutée dans deux modes : le mode interactif et le mode de commande unique. Pour une mise en route rapide, consultez [Commencer à utiliser l'interface de ligne de AWS CloudHSM commande (CLI)](cloudhsm_cli-getting-started.md).
Pour exécuter la plupart des commandes de la CLI CloudHSM, vous devez démarrer la CLI CloudHSM et vous connecter au HSM. Si vous ajoutez ou supprimez HSMs, mettez à jour les fichiers de configuration de la CLI CloudHSM. Dans le cas contraire, les modifications que vous apportez risquent de ne pas être efficaces pour tous HSMs les membres du cluster.
Les rubriques suivantes décrivent les commandes de la CLI CloudHSM :
| Commande | Description | Type d'utilisateur |
| --- | --- | --- |
| [activate](cloudhsm_cli-cluster-activate.md) | Active un cluster CloudHSM et confirme qu'il s'agit d'un nouveau cluster. Cela doit être fait avant toute autre opération. | Administrateur non activé |
| [hsm-info](cloudhsm_cli-cluster-hsm-info.md) | Listez-les HSMs dans votre cluster. | Tout [1](#cli-ref-1), y compris les utilisateurs non authentifiés. La connexion n'est pas requise. |
| [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) | Génère une signature à l'aide d'une clé privée EC et du mécanisme de signature ECDSA. | Utilisateurs de chiffrement (CU) |
| [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) | Génère une signature à l'aide d'une clé privée Ed25519 et du mécanisme de signature HashEd DSA. | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) | Génère une signature à l'aide d'une clé privée RSA et du mécanisme de signature RSA-PKCS. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) | Génère une signature à l'aide d'une clé privée RSA et du mécanisme de RSA-PKCS-PSS signature. | CU |
| [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) | Confirme qu'un fichier a été signé dans le HSM à l'aide d'une clé publique donnée. Vérifie que la signature a été générée à l'aide du mécanisme de signature ECDSA. Compare un fichier signé à un fichier source et détermine si les deux sont liés cryptographiquement en fonction d'une clé publique ecdsa et d'un mécanisme de signature donnés. | CU |
| [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) | Vérifie les signatures HashEd DSA à l'aide d'une clé publique Ed25519. | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) | Confirme qu'un fichier a été signé dans le HSM à l'aide d'une clé publique donnée. Vérifie que la signature a été générée à l'aide du mécanisme de signature RSA-PKCS. Compare un fichier signé à un fichier source et détermine si les deux sont liés cryptographiquement en fonction d'une clé publique RSA et d'un mécanisme de signature donnés. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) | Confirme qu'un fichier a été signé dans le HSM à l'aide d'une clé publique donnée. Vérifie que la signature a été générée à l'aide du mécanisme de RSA-PKCS-PSS signature. Compare un fichier signé à un fichier source et détermine si les deux sont liés cryptographiquement en fonction d'une clé publique RSA et d'un mécanisme de signature donnés. | CU |
| [Key delete](cloudhsm_cli-key-delete.md) | Supprime une clé de votre AWS CloudHSM cluster. | CU |
| [key generate-file](cloudhsm_cli-key-generate-file.md) | Génère un fichier clé dans votre AWS CloudHSM cluster. | CU |
| [clé generate-asymmetric-pair RSA](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) | Génère une paire de clés RSA asymétrique dans votre AWS CloudHSM cluster. | CU |
| [clé generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) | Génère une paire de clés à courbe elliptique asymétrique (EC) dans votre cluster. AWS CloudHSM | CU |
| [clé generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md) | Génère une clé AES symétrique dans votre AWS CloudHSM cluster. | CU |
| [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md) | Génère une clé secrète générique symétrique dans votre AWS CloudHSM cluster. | CU |
| [clé d'importation pem](cloudhsm_cli-key-import-pem.md) | Importe une clé au format PEM dans un HSM. Vous pouvez l'utiliser pour importer des clés publiques générées hors du HSM. | CU |
| [Key list](cloudhsm_cli-key-list.md) | Trouve toutes les clés de l'utilisateur actuel présent dans votre AWS CloudHSM cluster. | CU |
| [répliquer la clé](cloudhsm_cli-key-replicate.md) | Répliquez une clé d'un cluster source vers un cluster de destination cloné. | CU |
| [key set-attribute](cloudhsm_cli-key-set-attribute.md) | Définit les attributs des clés de votre AWS CloudHSM cluster. | CUs peuvent exécuter cette commande, les administrateurs peuvent définir l'attribut sécurisé. |
| [key share](cloudhsm_cli-key-share.md) | Partage une clé avec d'autres CUs membres de votre AWS CloudHSM cluster. | CU |
| [Key unshare](cloudhsm_cli-key-unshare.md) | Annule le partage d'une clé avec les autres CUs membres de votre AWS CloudHSM cluster. | CU |
| [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md) | Déballe une clé de charge utile dans le cluster à l'aide de la clé d'encapsulation AES et du mécanisme de déballage AES-GCM. | CU |
| [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md) | Déballe une clé de charge utile dans le cluster à l'aide de la clé d'encapsulation AES et du mécanisme de déballage. AES-NO-PAD | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md) | Déballe une clé de charge utile à l'aide de la clé d'encapsulation AES et du mécanisme de déballage AES- PKCS5 -PAD. | CU |
| [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md) | Déballe une clé de charge utile dans le cluster à l'aide de la clé d'encapsulation AES et du mécanisme de déballage. AES-ZERO-PAD | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md) | Déballe une clé de charge utile dans le cluster à l'aide de la clé d'encapsulation AES et du mécanisme de déballage. CLOUDHSM-AES-GCM | CU |
| [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md) | Déballe une clé de charge utile à l'aide d'une clé privée RSA et du mécanisme de déballage RSA-AES. | CU |
| [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md) | Déballe une clé de charge utile à l'aide de la clé privée RSA et du mécanisme de déballage RSA-OAEP. | CU |
| [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md) | Déballe une clé de charge utile à l'aide de la clé privée RSA et du mécanisme de déballage RSA-PKCS. | CU |
| [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md) | Enveloppe une clé de charge utile à l'aide d'une clé AES sur le HSM et du mécanisme d'encapsulage AES-GCM. | CU |
| [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md) | Encapsule une clé de charge utile à l'aide d'une clé AES sur le HSM et du AES-NO-PAD mécanisme d'encapsulation. | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md) | Enveloppe une clé de charge utile à l'aide d'une touche AES sur le HSM et du mécanisme d'encapsulage AES- PKCS5 -PAD. | CU |
| [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md) | Encapsule une clé de charge utile à l'aide d'une clé AES sur le HSM et du AES-ZERO-PAD mécanisme d'encapsulation. | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md) | Encapsule une clé de charge utile à l'aide d'une clé AES sur le HSM et du CLOUDHSM-AES-GCM mécanisme d'encapsulation. | CUs |
| [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md) | Encapsule une clé de charge utile à l'aide d'une clé publique RSA sur le HSM et du mécanisme d'encapsulage RSA-AES. | CU |
| [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md) | Encapsule une clé de charge utile à l'aide d'une clé publique RSA sur le HSM et du mécanisme d'encapsulage RSA-OAEP. | CU |
| [ Enveloppez une clé avec RSA-PKCS à l'aide de la CLI CloudHSMrsa-pkcs La **key wrap rsa-pkcs** commande encapsule une clé de charge utile à l'aide d'une clé publique RSA sur le HSM et du mécanisme d'encapsulation. `RSA-PKCS` Utilisez la **key wrap rsa-pkcs** commande de la CLI CloudHSM pour encapsuler une clé de charge utile à l'aide d'une clé publique RSA sur le module de sécurité matériel (HSM) et le mécanisme d'encapsulation. `RSA-PKCS` L'`extractable`attribut de la clé de charge utile doit être défini sur. `true` Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur cryptographique (CU) qui a créé la clé, peut encapsuler la clé. Les utilisateurs qui partagent la clé peuvent l'utiliser dans des opérations cryptographiques. Pour utiliser la **key wrap rsa-pkcs** commande, vous devez d'abord disposer d'une clé RSA dans votre AWS CloudHSM cluster. Vous pouvez générer une paire de clés RSA à l'aide de la [La generate-asymmetric-pair catégorie dans la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair.md) commande et de l'`wrap`attribut définis sur. `true` Type utilisateur Les types d'utilisateur suivants peuvent exécuter cette commande. Utilisateurs de cryptomonnaies (CUs) Exigences Pour exécuter cette commande, vous devez être connecté en tant que CU. Syntaxe
```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [...] --wrapping-filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--payload-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
--wrapping-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
--path
Path to the binary file where the wrapped key data will be saved
--wrapping-approval
File path of signed quorum token file to approve operation for wrapping key
--payload-approval
File path of signed quorum token file to approve operation for payload key
-h, --help
Print help
``` Exemple Cet exemple montre comment utiliser la **key wrap rsa-pkcs** commande à l'aide d'une clé publique RSA.
**Example**
```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
"error_code": 0,
"data": {
"payload_key_reference": "0x00000000001c08f1",
"wrapping_key_reference": "0x00000000007008da",
"wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
}
``` Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé de charge utile.
Obligatoire : oui
******
Chemin d'accès au fichier binaire dans lequel les données clés encapsulées seront enregistrées.
Obligatoire : non
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé d'encapsulation.
Obligatoire : oui
******
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération d'encapsulage de la clé. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé d'encapsulation est supérieure à 1.
******
Spécifie le chemin du fichier vers un fichier de jeton de quorum signé pour approuver le fonctionnement de la clé de charge utile. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé de charge utile est supérieure à 1. Rubriques en relation [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md) [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md) ](cloudhsm_cli-key-wrap-rsa-pkcs.md) | Encapsule une clé de charge utile à l'aide d'une clé publique RSA sur le HSM et du mécanisme d'encapsulage RSA-PKCS. | CU |
| [login](cloudhsm_cli-login.md) | Connectez-vous à votre AWS CloudHSM cluster. | Administrateur, utilisateur du chiffrement (CU) et utilisateur de l'appareil (AU) |
| [logout](cloudhsm_cli-logout.md) | Déconnectez-vous de votre AWS CloudHSM cluster. | Administrateur, CU et utilisateur de l'appareil (AU) |
| [quorum token-sign delete](cloudhsm_cli-qm-token-del.md) | Supprime un ou plusieurs jetons pour un service autorisé par quorum. | Admin |
| [quorum token-sign generate](cloudhsm_cli-qm-token-gen.md) | Génère un jeton pour un service autorisé par quorum. | Admin |
| [quorum token-sign list](cloudhsm_cli-qm-token-list.md) | Répertorie tous les jetons de quorum token-sign présents dans votre cluster CloudHSM. | Tout [1](#cli-ref-1), y compris les utilisateurs non authentifiés. La connexion n'est pas requise. |
| [signe du jeton quorum list-quorum-values](cloudhsm_cli-qm-token-list-qm.md) | Répertorie les valeurs de quorum définies dans votre cluster CloudHSM. | Tout [1](#cli-ref-1), y compris les utilisateurs non authentifiés. La connexion n'est pas requise. |
| [signe du jeton quorum set-quorum-value](cloudhsm_cli-qm-token-set-qm.md) | Définit une nouvelle valeur de quorum pour un service autorisé par quorum. | Admin |
| [user change-mfa](cloudhsm_cli-user-change-mfa.md) | Modifie la stratégie d'authentification multifactorielle (MFA) d'un utilisateur. | Administrateur, CU |
| [user change-password](cloudhsm_cli-user-change-password.md) | Modifie les mots de passe des utilisateurs sur le HSMs. Tout utilisateur peut modifier son propre mot de passe. Les administrateur peuvent modifier le mot de passe de n’importe quel utilisateur. | Administrateur, CU |
| [user create](cloudhsm_cli-user-create.md) | Crée un utilisateur dans votre AWS CloudHSM cluster. | Admin |
| [user delete](cloudhsm_cli-user-delete.md) | Supprime un utilisateur de votre AWS CloudHSM cluster. | Admin |
| [user list](cloudhsm_cli-user-list.md) | Répertorie les utilisateurs de votre AWS CloudHSM cluster. | Tout [1](#cli-ref-1), y compris les utilisateurs non authentifiés. La connexion n'est pas requise. |
| [user change-quorum token-sign register](cloudhsm_cli-user-chqm-token-reg.md) | Enregistre la stratégie de quorum token-sign par quorum pour un utilisateur. | Admin |
**Annotations**
+ [1] Tous les utilisateurs incluent tous les rôles répertoriés et les utilisateurs non connectés.
# Catégorie de cluster dans la CLI CloudHSM
Dans la **cluster** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'elles sont combinées avec la catégorie parent, créent une commande spécifique aux clusters. Actuellement, la catégorie de cluster comprend les commandes suivantes :
**Topics**
+ [activate](cloudhsm_cli-cluster-activate.md)
+ [hsm-info](cloudhsm_cli-cluster-hsm-info.md)
+ [mtls](cloudhsm_cli-cluster-mtls.md)
# Activer un cluster à l'aide de la CLI CloudHSM
Utilisez la **cluster activate** commande de la [CLI CloudHSM pour activer un](activate-cluster.md) nouveau cluster dans. AWS CloudHSM Cette commande doit être exécutée avant que le cluster puisse être utilisé pour effectuer des opérations cryptographiques.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Administrateur non activé
## Syntaxe
Cette commande n'a pas de paramètres.
```
aws-cloudhsm > help cluster activate
Activate a cluster
This command will set the initial Admin password. This process will cause your CloudHSM cluster to
move into the ACTIVE state.
USAGE:
cloudhsm-cli cluster activate [OPTIONS] [--password ]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--password
Optional: Plaintext activation password If you do not include this argument you will be prompted for it
-h, --help
Print help (see a summary with '-h')
```
## Exemple
Cette commande active votre cluster en définissant le mot de passe initial de votre utilisateur administrateur.
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
## Rubriques en relation
+ [Créer un utilisateur](cloudhsm_cli-user-create.md)
+ [Supprimer un utilisateur](cloudhsm_cli-user-delete.md)
+ [Modifier un mot de passe utilisateur](cloudhsm_cli-user-change-password.md)
# Liste HSMs avec CLI CloudHSM
Utilisez la **cluster hsm-info** commande de la CLI CloudHSM pour répertorier les HSMs modules de sécurité matériels () AWS CloudHSM de votre cluster. Vous n'avez pas besoin d'être connecté à la CLI CloudHSM pour exécuter cette commande.
**Note**
Si vous ajoutez ou supprimez HSMs, mettez à jour les fichiers de configuration utilisés par le AWS CloudHSM client et les outils de ligne de commande. Dans le cas contraire, les modifications que vous apportez risquent de ne pas s'appliquer HSMs à tous les membres du cluster.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Tous les utilisateurs. Vous n'avez pas besoin d'être connecté pour exécuter cette commande.
## Syntaxe
```
aws-cloudhsm > help cluster hsm-info
List info about each HSM in the cluster
Usage: cloudhsm-cli cluster hsm-info [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Exemple
Cette commande répertorie les éléments HSMs présents dans votre AWS CloudHSM cluster.
```
aws-cloudhsm > cluster hsm-info
{
"error_code": 0,
"data": {
"hsms": [
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000590",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000625",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000663",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
}
]
}
}
```
L'objet possède les attributs suivants :
+ **Fournisseur** : nom du fournisseur du HSM.
+ **Modèle** : le numéro de modèle du HSM.
+ **Numéro de série** : le numéro de série du HSM. Cela peut changer en raison des remplacements.
+ **H ardware-version-major** : La version matérielle majeure.
+ **H ardware-version-minor** : La version matérielle mineure.
+ **F irmware-version-major** : La version principale du microprogramme.
+ **F irmware-version-minor** : Version mineure du microprogramme.
+ **F irmware-build-number** : Numéro de version du microprogramme.
+ **Firmware-id**: ID du microprogramme, qui inclut les versions majeures et mineures ainsi que le build.
+ **État FIPS** : mode FIPS du cluster et de ce qu'il contient. HSMs En mode FIPS, le résultat est « 2 [mode FIPS avec authentification à facteur unique] ». En mode non FIPS, le résultat est « 0 [mode non FIPS avec authentification à facteur unique] ».
## Rubriques en relation
+ [Activer un cluster à l'aide de la CLI CloudHSM](cloudhsm_cli-cluster-activate.md)
# La catégorie mtls du cluster dans la CLI CloudHSM
Dans la **cluster mtls** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'elles sont combinées avec la catégorie parent, créent une commande AWS CloudHSM spécifique aux clusters. Actuellement, cette catégorie comprend les commandes suivantes :
**Topics**
+ [deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [obtenir l'application](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [register-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [mise en œuvre des ensembles](cloudhsm_cli-cluster-mtls-set-enforcement.md)
# Désenregistrer une ancre de confiance avec la CLI CloudHSM
Utilisez la **cluster mtls deregister-trust-anchor** commande de la CLI CloudHSM pour annuler l'enregistrement d'une ancre de confiance pour le protocole TLS mutuel entre le client et. AWS CloudHSM
## Type utilisateur
Les utilisateurs suivants peuvent exécuter cette commande.
+ Admin
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant qu'utilisateur administrateur.
## Syntaxe
```
aws-cloudhsm > help cluster mtls deregister-trust-anchor
Deregister a trust anchor for mtls
Usage: cluster mtls deregister-trust-anchor [OPTIONS] --certificate-reference [...]
Options:
--certificate-reference A hexadecimal or decimal certificate reference
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Exemple
**Example**
Dans l'exemple suivant, cette commande supprime une ancre de confiance du HSM.
```
aws-cloudhsm > cluster mtls deregister-trust-anchor --certificate-reference 0x01
{
"error_code": 0,
"data": {
"message": "Trust anchor with reference 0x01 deregistered successfully"
}
}
```
Vous pouvez ensuite exécuter la **list-trust-anchors** commande pour confirmer que Trust Anchor a été désenregistré du : AWS CloudHSM
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": []
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
** ** **
Référence de certificat hexadécimale ou décimale.
**Obligatoire** : oui
Après avoir annulé l'enregistrement d'une ancre de confiance dans le cluster, toutes les connexions MTLS existantes utilisant le certificat client signé par cette ancre de confiance seront supprimées.
** ** **
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service de cluster de quorum est supérieure à 1.
## Rubriques en relation
+ [cluster MTLS reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [cluster MTLS list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [Configuration des MTL (recommandé)](getting-started-setup-mtls.md)
# Obtenez le niveau d'application mTLS avec la CLI CloudHSM
Utilisez la **cluster mtls get-enforcement** commande de la CLI CloudHSM pour obtenir le niveau d'application de l'utilisation du protocole TLS mutuel entre le client et. AWS CloudHSM
## Type utilisateur
Les utilisateurs suivants peuvent exécuter cette commande.
+ Admin
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant qu'utilisateur administrateur ou utilisateur cryptographique (CUs).
## Syntaxe
```
aws-cloudhsm > help cluster mtls get-enforcement
Get the status of mtls enforcement in the cluster
Usage: cluster mtls get-enforcement [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Exemple
**Example**
Dans l'exemple suivant, cette commande répertorie le niveau d'application MTLS du AWS CloudHSM.
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "none"
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
## Rubriques en relation
+ [application des ensembles MTLS du cluster](cloudhsm_cli-cluster-mtls-set-enforcement.md)
+ [Configuration des MTL (recommandé)](getting-started-setup-mtls.md)
# Répertorier les ancres de confiance avec la CLI CloudHSM
Utilisez la **cluster mtls list-trust-anchors** commande de la CLI CloudHSM pour répertorier toutes les ancres de confiance qui peuvent être utilisées pour le TLS mutuel entre le client et. AWS CloudHSM
## Type utilisateur
Les utilisateurs suivants peuvent exécuter cette commande.
+ Tous les utilisateurs. Vous n'avez pas besoin d'être connecté pour exécuter cette commande.
## Syntaxe
```
aws-cloudhsm > help cluster mtls list-trust-anchors
List all trust anchors for mtls
Usage: cluster mtls list-trust-anchors [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Exemple
**Example**
Dans l'exemple suivant, cette commande répertorie toutes les ancres de confiance enregistrées à partir du AWS CloudHSM.
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
},
{
"certificate-reference": "0x02",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
## Rubriques en relation
+ [cluster MTLS reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [cluster MTLS deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [Configuration des MTL (recommandé)](getting-started-setup-mtls.md)
# Enregistrer une ancre de confiance avec la CLI CloudHSM
Utilisez la **cluster mtls register-trust-anchor** commande de la CLI CloudHSM pour enregistrer une ancre de confiance pour le protocole TLS mutuel entre le client et. AWS CloudHSM
## Type utilisateur
Les utilisateurs suivants peuvent exécuter cette commande.
+ Admin
## Exigences
AWS CloudHSM Accepte les ancres de confiance avec les types de clés suivants :
****
| Type de clé | Description |
| --- | --- |
| EC | Courbes secp256r1 (P-256), secp384r1 (P-384) et secp521r1 (P-521). |
| RSA | Clés RSA 2048 bits, 3072 bits et 4096 bits. |
## Syntaxe
```
aws-cloudhsm > help cluster mtls register-trust-anchor
Register a trust anchor for mtls
Usage: cluster mtls register-trust-anchor [OPTIONS] --path [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--path Filepath of the trust anchor to register
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Exemple
**Example**
Dans l'exemple suivant, cette commande enregistre une ancre de confiance sur le HSM. Le nombre maximum d'ancres de confiance pouvant être enregistrées est de deux (2).
```
aws-cloudhsm > cluster mtls register-trust-anchor --path /home/rootCA
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
Vous pouvez ensuite exécuter la **list-trust-anchors** commande pour confirmer que l'ancre de confiance a été enregistrée sur AWS CloudHSM :
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
** ** **
Chemin de fichier de l'ancre de confiance à enregistrer.
**Obligatoire** : oui
AWS CloudHSM prend en charge l'enregistrement des certificats intermédiaires en tant qu'ancre de confiance. Dans de tels cas, l'intégralité du fichier de chaîne de certificats codé PEM doit être enregistré sur le HSM, les certificats étant classés par ordre hiérarchique.
AWS CloudHSM prend en charge une chaîne de certificats de 6980 octets.
** ** **
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service de cluster de quorum est supérieure à 1.
## Rubriques en relation
+ [cluster MTLS deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [cluster MTLS list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [Configuration des MTL (recommandé)](getting-started-setup-mtls.md)
# Définissez le niveau d'application mTLS à l'aide de la CLI CloudHSM
Utilisez la **cluster mtls set-enforcement** commande de la CLI CloudHSM pour définir le niveau d'application de l'utilisation du protocole TLS mutuel entre le client et. AWS CloudHSM
## Type utilisateur
Les utilisateurs suivants peuvent exécuter cette commande.
+ Administrateur avec nom d'utilisateur en tant qu'administrateur
## Exigences
Pour exécuter cette commande :
+ Au moins une ancre de confiance a été enregistrée avec succès sur le AWS CloudHSM.
+ Configurez la CLI CloudHSM avec la clé privée et le certificat client appropriés, puis démarrez la CLI CloudHSM dans le cadre d'une connexion TLS mutuelle.
+ Vous devez être connecté en tant qu'administrateur par défaut avec le nom d'utilisateur « admin ». Aucun autre utilisateur administrateur ne pourra exécuter cette commande.
## Syntaxe
```
aws-cloudhsm > help cluster mtls set-enforcement
Set mtls enforcement policy in the cluster
Usage: cluster mtls set-enforcement [OPTIONS] --level [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--level Level to be set for mtls in the cluster [possible values: none, cluster]
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Exemple
**Example**
Dans l'exemple suivant, cette commande définit le niveau d'application MTLS du cluster AWS CloudHSM à être. La commande set-enforcement ne peut être exécutée que dans le cadre d'une connexion TLS mutuelle et connecté en tant qu'utilisateur administrateur avec le nom d'utilisateur en tant qu'administrateur, voir [définir l'application MTLS](getting-started-setup-mtls.md#getting-start-setup-mtls-enforcement) pour. AWS CloudHSM
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
Vous pouvez ensuite exécuter la **get-enforcement** commande pour confirmer que le niveau d'application a été défini sur cluster :
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "cluster"
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
** ** **
Niveau à définir pour les MTLS dans le cluster.
**Valeurs valides**
+ **cluster** : appliquez l'utilisation du protocole TLS mutuel entre le client et AWS CloudHSM dans le cluster.
+ **none : n'**appliquez pas l'utilisation du protocole TLS mutuel entre le client et AWS CloudHSM dans le cluster.
**Obligatoire** : oui
Une fois que vous aurez imposé l'utilisation de MTLS dans le cluster, toutes les connexions non MTLS existantes seront supprimées et vous ne pourrez vous connecter au cluster qu'avec des certificats MTLS.
** ** **
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service de cluster de quorum est supérieure à 1.
## Rubriques en relation
+ [cluster mtls get-enforcement](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [Configuration des MTL (recommandé)](getting-started-setup-mtls.md)
# La catégorie cryptographique dans la CLI CloudHSM
Dans la **crypto** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'elles sont combinées avec la catégorie parent, créent une commande spécifique aux opérations cryptographiques. Actuellement, cette catégorie comprend les commandes suivantes :
+ [sign](cloudhsm_cli-crypto-sign.md)
+ [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
+ [vérifier](cloudhsm_cli-crypto-verify.md)
+ [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
# La catégorie de signes cryptographiques dans la CLI CloudHSM
Dans la **crypto sign** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'il est combiné à la catégorie parent, utilise une clé privée choisie AWS CloudHSM dans votre cluster pour générer une signature. **crypto sign**comporte les sous-commandes suivantes :
+ [Génération d'une signature à l'aide du mécanisme ECDSA dans la CLI CloudHSM](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [Génération d'une signature à l'aide du mécanisme HashEd DSA dans la CLI CloudHSM](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [Génération d'une signature à l'aide du mécanisme RSA-PKCS dans la CLI CloudHSM](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [Générez une signature avec le RSA-PKCS-PSS mécanisme de la CLI CloudHSM](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
Pour l'utiliser**crypto sign**, vous devez disposer d'une clé privée dans votre HSM. Vous pouvez générer une clé privée à l'aide des commandes suivantes :
+ [clé generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [clé generate-asymmetric-pair RSA](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# Génération d'une signature à l'aide du mécanisme ECDSA dans la CLI CloudHSM
Utilisez la **crypto sign ecdsa** commande de la CLI CloudHSM pour générer une signature à l'aide d'une clé privée EC et du mécanisme de signature ECDSA.
Pour utiliser la **crypto sign ecdsa** commande, vous devez d'abord disposer d'une clé privée EC dans votre AWS CloudHSM cluster. Vous pouvez générer une clé privée EC à l'aide de la [Génération d'une paire de clés EC asymétriques à l'aide de la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) commande dont l'`sign`attribut est défini sur`true`.
La signature ECDSA résultante est générée dans le format `r||s` dans lequel les composants r et s sont concaténés sous forme de données binaires brutes et renvoyés au format codé base64.
**Note**
Les signatures peuvent être vérifiées à l' AWS CloudHSM aide de [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md) sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment générer une signature **crypto sign ecdsa** à l'aide du mécanisme de signature et de la fonction de `SHA256` hachage ECDSA. Cette commande utilise une clé privée dans le HSM.
**Example Exemple : génération d'une signature pour les données codées en base 64**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
**Example Exemple : génération d'une signature pour un fichier de données**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie la fonction de hachage.
Valeurs valides :
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.
Obligatoire : oui
******
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service d'utilisation des clés de la clé privée est supérieure à 1.
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Valeurs valides :
+ raw
+ digérer
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# Génération d'une signature à l'aide du mécanisme HashEd DSA dans la CLI CloudHSM
**Important**
HashEdLes opérations de signature DSA ne sont prises en charge que sur les instances hsm2m.medium en mode non FIPS.
Utilisez la **crypto sign ed25519ph** commande de la CLI CloudHSM pour générer une signature à l'aide d'une clé privée Ed25519 et du mécanisme de signature DSA. HashEd Pour plus d'informations sur le HashEd DSA, voir le [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), section 7.8.
Pour utiliser la **crypto sign ed25519ph** commande, vous devez d'abord disposer d'une clé privée Ed25519 dans votre cluster. AWS CloudHSM Vous pouvez générer une clé privée Ed25519 à l'aide de la [Génération d'une paire de clés EC asymétriques à l'aide de la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) commande avec le `curve` paramètre défini sur `ed25519` et l'`sign`attribut défini sur. `true`
**Note**
Les signatures peuvent être vérifiées à l' AWS CloudHSM aide de [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md) sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
+ HashEdLes opérations de signature DSA ne sont prises en charge que sur les instances hsm2m.medium en mode non FIPS.
## Syntaxe
```
aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism
Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment générer une signature **crypto sign ed25519ph** à l'aide du mécanisme de signature et de la fonction de hachage ED25519ph. `sha512` Cette commande utilise une clé privée dans le HSM.
**Example Exemple : génération d'une signature pour les données codées en base 64**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data YWJj
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
**Example Exemple : génération d'une signature pour un fichier de données**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire dans le paramètre de données)
******
Spécifie la fonction de hachage. ED25519ph ne prend en charge que. SHA512
Valeurs valides :
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez. [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
Obligatoire : oui
******
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service d'utilisation des clés de la clé privée est supérieure à 1.
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Valeurs valides :
+ raw
+ digérer
Obligatoire : oui
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# Génération d'une signature à l'aide du mécanisme RSA-PKCS dans la CLI CloudHSM
Utilisez la **crypto sign rsa-pkcs** commande de la CLI CloudHSM pour générer une signature à l'aide d'une clé privée RSA et du mécanisme de signature RSA-PKCS.
Pour utiliser la **crypto sign rsa-pkcs** commande, vous devez d'abord disposer d'une clé privée RSA dans votre AWS CloudHSM cluster. Vous pouvez générer une clé privée RSA à l'aide de la [Génération d'une paire de clés RSA asymétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) commande dont l'`sign`attribut est défini sur. `true`
**Note**
Les signatures peuvent être vérifiées à l' AWS CloudHSM aide de [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md) sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help crypto sign rsa-pkcs
Sign with the RSA-PKCS mechanism
Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment générer une signature **crypto sign rsa-pkcs** à l'aide du mécanisme de signature et `SHA256` de la fonction de hachage RSA-PKCS. Cette commande utilise une clé privée dans le HSM.
**Example Exemple : génération d'une signature pour les données codées en base 64**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
**Example Exemple : génération d'une signature pour un fichier de données**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire dans les données)
******
Spécifie la fonction de hachage.
Valeurs valides :
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.
Obligatoire : oui
******
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service d'utilisation des clés de la clé privée est supérieure à 1.
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Pour RSA-PKCS, les données doivent être transmises au format codé DER comme spécifié dans la [RFC](https://www.rfc-editor.org/rfc/rfc8017#section-9.2) 8017, section 9.2
Valeurs valides :
+ raw
+ digérer
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# Générez une signature avec le RSA-PKCS-PSS mécanisme de la CLI CloudHSM
Utilisez la **crypto sign rsa-pkcs-pss** commande de la CLI CloudHSM pour générer une signature à l'aide d'une clé `RSA-PKCS-PSS` privée RSA et du mécanisme de signature.
Pour utiliser la **crypto sign rsa-pkcs-pss** commande, vous devez d'abord disposer d'une clé privée RSA dans votre AWS CloudHSM cluster. Vous pouvez générer une clé privée RSA à l'aide de la [Génération d'une paire de clés RSA asymétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) commande dont l'`sign`attribut est défini sur. `true`
**Note**
Les signatures peuvent être vérifiées à l' AWS CloudHSM aide de [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md) sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism
Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data >
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function [possible values: sha1, sha224, sha256, sha384, sha512]
--data-path The path to the file containing the data to be signed
--data Base64 Encoded data to be signed
--mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length The salt length
--approval Filepath of signed quorum token file to approve operation
--data-type The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help Print help
```
## Exemple
Ces exemples montrent comment générer une signature **crypto sign rsa-pkcs-pss** à l'aide du mécanisme de signature et de la `RSA-PKCS-PSS` fonction de `SHA256` hachage. Cette commande utilise une clé privée dans le HSM.
**Example Exemple : génération d'une signature pour les données codées en base 64**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
**Example Exemple : générer une signature pour un fichier de données**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire dans les données)
******
Spécifie la fonction de hachage.
Valeurs valides :
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.
Obligatoire : oui
******
Spécifie la fonction de génération de masques.
La fonction de hachage de la fonction de génération de masque doit correspondre à la fonction de hachage du mécanisme de signature.
Valeurs valides :
+ mgf1-sha1
+ mgf1-sha225
+ mgf1-sha255
+ mgf1-sha385
+ mgf1-sha512
Obligatoire : oui
******
Spécifie la longueur du sel.
Obligatoire : oui
******
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur du quorum du service d'utilisation des clés de la clé privée est supérieure à 1.
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Valeurs valides :
+ raw
+ digérer
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
## Rubriques en relation
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# La catégorie de vérification cryptographique dans la CLI CloudHSM
Dans la **crypto verify** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'elle est combinée à la catégorie parent, confirme si un fichier a été signé par une clé donnée. **crypto verify**comporte les sous-commandes suivantes :
+ [Crypto Verify ECDSA](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [vérification cryptographique ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [Crypto Verify RSA-PKCS](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [vérification cryptographique rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
La **crypto verify** commande compare un fichier signé à un fichier source et analyse s'ils sont liés cryptographiquement en fonction d'une clé publique et d'un mécanisme de signature donnés.
**Note**
Les fichiers peuvent être connectés à l' AWS CloudHSM aide de [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md) cette opération.
# Vérifier une signature signée avec le mécanisme ECDSA dans la CLI CloudHSM
Utilisez la **crypto verify ecdsa** commande de la CLI CloudHSM pour effectuer les opérations suivantes :
+ Confirmez qu'un fichier a été signé dans le HSM à l'aide d'une clé publique donnée.
+ Vérifiez que la signature a été générée à l'aide du mécanisme de signature ECDSA.
+ Comparez un fichier signé à un fichier source et déterminez si les deux sont liés cryptographiquement en fonction d'une clé publique ecdsa et d'un mécanisme de signature donnés.
+ La fonction de vérification ECDSA attend la signature au format `r||s` dans lequel les composants r et s sont concaténés sous forme de données binaires brutes.
Pour utiliser la **crypto verify ecdsa** commande, vous devez d'abord disposer d'une clé publique EC dans votre AWS CloudHSM cluster. Vous pouvez importer une clé publique EC à l'aide de la [Importer une clé au format PEM avec la CLI CloudHSM](cloudhsm_cli-key-import-pem.md) commande dont l'`verify`attribut est défini sur`true`.
**Note**
Vous pouvez générer une signature dans la CLI [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md) CloudHSM à l'aide de sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism
Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment vérifier une signature générée **crypto verify ecdsa** à l'aide du mécanisme de signature et de la fonction de `SHA256` hachage ECDSA. Cette commande utilise une clé publique dans le HSM.
**Example Exemple : vérifier une signature codée en Base64 avec des données codées en Base64**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : vérifier un fichier de signature avec un fichier de données**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : prouver une fausse relation de signature**
Cette commande vérifie si les données situées dans ont `/home/data` été signées par une clé publique avec l'étiquette `ecdsa-public` en utilisant le mécanisme de signature ECDSA pour produire la signature située dans. `/home/signature` Comme les arguments fournis ne constituent pas une véritable relation de signature, la commande renvoie un message d'erreur.
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie la fonction de hachage.
Valeurs valides :
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.
Obligatoire : oui
******
Signature codée en Base64.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie l'emplacement de la signature.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Valeurs valides :
+ raw
+ digérer
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# Vérifier une signature signée avec le mécanisme HashEd DSA dans la CLI CloudHSM
**Important**
HashEdLes opérations de vérification de signature DSA ne sont prises en charge que sur les instances hsm2m.medium en mode non FIPS.
Utilisez la **crypto verify ed25519ph** commande de la CLI CloudHSM pour effectuer les opérations suivantes :
+ Vérifiez les signatures des données ou des fichiers à l'aide d'une clé publique Ed25519 donnée.
+ Vérifiez que la signature a été générée à l'aide du mécanisme de signature HashEd DSA. Pour plus d'informations sur le HashEd DSA, voir le [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), section 7.8.
Pour utiliser la **crypto verify ed25519ph** commande, vous devez d'abord disposer d'une clé publique Ed25519 dans votre cluster. AWS CloudHSM Vous pouvez générer une paire de clés Ed25519 à l'aide de la [Génération d'une paire de clés EC asymétriques à l'aide de la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) commande dont le `curve` paramètre est défini sur `ed25519` et l'`verify`attribut défini sur`true`, ou importer une clé publique Ed25519 à l'aide de la [Importer une clé au format PEM avec la CLI CloudHSM](cloudhsm_cli-key-import-pem.md) commande dont l'attribut est défini sur. `verify` `true`
**Note**
Vous pouvez générer une signature dans la CLI [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md) CloudHSM à l'aide de sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
+ HashEdLes opérations de vérification de signature DSA ne sont prises en charge que sur les instances hsm2m.medium en mode non FIPS.
## Syntaxe
```
aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism
Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment vérifier une signature générée **crypto verify ed25519ph** à l'aide du mécanisme de signature et de la fonction de hachage ED25519ph. `sha512` Cette commande utilise une clé publique Ed25519 dans le HSM.
**Example Exemple : vérifier une signature codée en Base64 avec des données codées en Base64**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data YWJj \
--signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : vérifier un fichier de signature avec un fichier de données**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data-path data.txt \
--signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à vérifier.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à vérifier.
Obligatoire : Oui (sauf indication contraire dans le paramètre de données)
******
Spécifie la fonction de hachage. ED25519ph ne prend en charge que. SHA512
Valeurs valides :
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez. [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
Obligatoire : oui
******
Signature codée en Base64.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie l'emplacement de la signature.
Obligatoire : Oui (sauf indication contraire dans le paramètre de signature)
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de vérification. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Valeurs valides :
+ raw
+ digérer
Obligatoire : oui
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
+ [Génération d'une signature à l'aide du mécanisme HashEd DSA dans la CLI CloudHSM](cloudhsm_cli-crypto-sign-ed25519ph.md)
# Vérifier une signature signée avec le mécanisme RSA-PKCS dans la CLI CloudHSM
Utilisez la **crypto verify rsa-pkcs** commande dans la CLI CloudHSM pour effectuer les opérations suivantes :
+ Confirmez qu'un fichier a été signé dans le HSM à l'aide d'une clé publique donnée.
+ Vérifiez que la signature a été générée à l'aide du mécanisme de `RSA-PKCS` signature.
+ Comparez un fichier signé à un fichier source et déterminez si les deux sont liés cryptographiquement en fonction d'une clé publique RSA et d'un mécanisme de signature donnés.
Pour utiliser la **crypto verify rsa-pkcs** commande, vous devez d'abord disposer d'une clé publique RSA dans votre AWS CloudHSM cluster.
**Note**
Vous pouvez générer une signature à l'aide de la [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md) CLI CloudHSM avec les sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism
Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment vérifier une signature générée **crypto verify rsa-pkcs** à l'aide du mécanisme de signature et `SHA256` de la fonction de hachage RSA-PKCS. Cette commande utilise une clé publique dans le HSM.
**Example Exemple : vérifier une signature codée en Base64 avec des données codées en Base64**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : vérifier un fichier de signature avec un fichier de données**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : prouver une fausse relation de signature**
Cette commande vérifie si les données non valides ont été signées par une clé publique avec l'étiquette `rsa-public` en utilisant le mécanisme de signature RSAPKCS pour produire la signature située dans. `/home/signature` Comme les arguments fournis ne constituent pas une véritable relation de signature, la commande renvoie un message d'erreur.
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie la fonction de hachage.
Valeurs valides :
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.
Obligatoire : oui
******
Signature codée en Base64.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie l'emplacement de la signature.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Pour RSA-PKCS, les données doivent être transmises au format codé DER comme spécifié dans la [RFC](https://www.rfc-editor.org/rfc/rfc8017#section-9.2) 8017, section 9.2
Valeurs valides :
+ raw
+ digérer
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# Vérifier une signature signée avec le RSA-PKCS-PSS mécanisme dans la CLI CloudHSM
Utilisez la **crypto sign rsa-pkcs-pss** commande de la CLI CloudHSM pour effectuer les opérations suivantes.
+ Confirmez qu'un fichier a été signé dans le HSM à l'aide d'une clé publique donnée.
+ Vérifiez que la signature a été générée à l'aide du mécanisme de RSA-PKCS-PSS signature.
+ Comparez un fichier signé à un fichier source et déterminez si les deux sont liés cryptographiquement en fonction d'une clé publique RSA et d'un mécanisme de signature donnés.
Pour utiliser la **crypto verify rsa-pkcs-pss** commande, vous devez d'abord disposer d'une clé publique RSA dans votre AWS CloudHSM cluster. Vous pouvez importer une clé publique RSA à l'aide de la commande key import pem (ADD UNWRAP LINK HERE) avec l'`verify`attribut défini sur. `true`
**Note**
Vous pouvez générer une signature à l'aide de la [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md) CLI CloudHSM avec les sous-commandes.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism
Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--mgf
The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length
The salt length
-h, --help
Print help
```
## Exemple
Ces exemples montrent comment vérifier une signature générée **crypto verify rsa-pkcs-pss** à l'aide du mécanisme de RSA-PKCS-PSS signature et de la fonction de `SHA256` hachage. Cette commande utilise une clé publique dans le HSM.
**Example Exemple : vérifier une signature codée en Base64 avec des données codées en Base64**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : vérifier un fichier de signature avec un fichier de données**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemple : prouver une fausse relation de signature**
Cette commande vérifie si les données non valides ont été signées par une clé publique avec l'étiquette `rsa-public` en utilisant le mécanisme de signature RSAPKCSPSS pour produire la signature située dans. `/home/signature` Comme les arguments fournis ne constituent pas une véritable relation de signature, la commande renvoie un message d'erreur.
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Données codées en Base64 à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie l'emplacement des données à signer.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
******
Spécifie la fonction de hachage.
Valeurs valides :
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, consultez la section Attributs clés de la CLI CloudHSM.
Obligatoire : oui
******
Spécifie la fonction de génération de masques.
La fonction de hachage de la fonction de génération de masque doit correspondre à la fonction de hachage du mécanisme de signature.
Valeurs valides :
+ mgf1-sha1
+ mgf1-sha225
+ mgf1-sha255
+ mgf1-sha385
+ mgf1-sha512
Obligatoire : oui
******
Signature codée en Base64.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie l'emplacement de la signature.
Obligatoire : Oui (sauf indication contraire via le chemin de signature)
******
Spécifie si la valeur du paramètre de données doit être hachée dans le cadre de l'algorithme de signature. `raw`À utiliser pour les données non hachées ; à utiliser `digest` pour les résumés déjà hachés.
Valeurs valides :
+ raw
+ digérer
## Rubriques en relation
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)
# La catégorie clé de la CLI CloudHSM
Dans la **key** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'elles sont combinées avec la catégorie parent, créent une commande spécifique aux touches. Actuellement, cette catégorie comprend les commandes suivantes :
+ [supprimer](cloudhsm_cli-key-delete.md)
+ [generate-file](cloudhsm_cli-key-generate-file.md)
+ [key generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [clé generate-asymmetric-pair RSA](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
+ [clé generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-symmetric](cloudhsm_cli-key-generate-symmetric.md)
+ [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [clé generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [importer un fichier pem](cloudhsm_cli-key-import-pem.md)
+ [liste](cloudhsm_cli-key-list.md)
+ [répliquer](cloudhsm_cli-key-replicate.md)
+ [set-attribute](cloudhsm_cli-key-set-attribute.md)
+ [partager](cloudhsm_cli-key-share.md)
+ [unshare](cloudhsm_cli-key-unshare.md)
+ [déballer](cloudhsm_cli-key-unwrap.md)
+ [envelopper](cloudhsm_cli-key-wrap.md)
# Supprimer une clé à l'aide de la CLI CloudHSM
Utilisez la **key delete** commande de la CLI CloudHSM pour supprimer une clé AWS CloudHSM d'un cluster. Vous pouvez supprimer une seule clé à la fois. La suppression d'une clé dans une paire de clés n'a aucun effet sur l'autre clé de la paire.
Seul le CU qui a créé la clé et qui en est donc propriétaire peut supprimer la clé. Les utilisateurs qui partagent la clé, sans la posséder, peuvent l'utiliser dans des opérations de chiffrement, mais pas la supprimer.
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster
Usage: key delete [OPTIONS] --filter [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for deletion
-h, --help Print help
```
## Exemple
```
aws-cloudhsm > key delete --filter attr.label="ec-test-public-key"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante à supprimer.
Pour obtenir la liste des attributs de clé de la CLI CloudHSM pris en charge, voir [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
Obligatoire : oui
## Rubriques en relation
+ [Répertorier les clés d'un utilisateur avec la CLI CloudHSM](cloudhsm_cli-key-list.md)
+ [Exporter une clé asymétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-file.md)
+ [Annuler le partage d'une clé à l'aide de la CLI CloudHSM](cloudhsm_cli-key-unshare.md)
+ [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
# Exporter une clé asymétrique avec la CLI CloudHSM
Utilisez la **key generate-file** commande de la CLI CloudHSM pour exporter une clé asymétrique depuis le module de sécurité matérielle (HSM). Si la cible est une clé privée, la référence à la clé privée sera exportée au faux format PEM. Si la cible est une clé publique, les octets de la clé publique seront exportés au format PEM.
Le faux fichier PEM, qui ne contient pas le contenu de la clé privée mais fait référence à la clé privée dans le HSM, peut être utilisé pour établir un SSL/TLS déchargement de votre serveur Web vers. AWS CloudHSM Pour plus d'informations, consultez la section [Déchargement SSL/TLS](ssl-offload.md).
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
--path
Filepath where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
-h, --help
Print help (see a summary with '-h')
```
## Exemple
Cet exemple montre comment **key generate-file** générer un fichier clé dans votre AWS CloudHSM cluster.
**Example**
```
aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## Arguments
******
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)
******
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante à supprimer.
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, voir [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
Obligatoire : non
******
Spécifie le format de codage pour le fichier clé
Obligatoire : oui
******
Spécifie le chemin du fichier dans lequel le fichier clé sera écrit
Obligatoire : oui
## Génération de références clés KSP (Windows)
**Note**
Cette fonctionnalité n'est disponible que dans les versions 5.16.0 et ultérieures du SDK.
### Conditions préalables
+ Vous pouvez générer des références clés KSP uniquement sur les plateformes Windows.
+ Vous devez vous connecter en tant qu'utilisateur cryptographique (CU).
### Emplacement du fichier
Par défaut, AWS CloudHSM stocke les fichiers générés dans : `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition`
Pour spécifier un autre emplacement, utilisez le `--path` paramètre.
### Syntaxe
```
aws-cloudhsm > help key generate-file --encoding ksp-key-reference
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
- ksp-key-reference: KSP key reference format
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided with multiple clusters configured, will error
--path
Directory path where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
--all
Generate ksp key reference for all available key pairs in HSM
-h, --help
Print help (see a summary with '-h')
```
### Exemple — Génération d'une référence de clé KSP à l'aide d'un filtre d'attribut d'une clé privée
L'exemple suivant génère une référence de clé KSP pour une clé privée avec une étiquette spécifique.
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --path --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
### Exemple — Génération de références de clés KSP pour toutes les paires de clés
L'exemple suivant génère des références de clé KSP pour toutes les paires de clés de votre cluster.
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --all
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## Rubriques en relation
+ [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
+ [La generate-asymmetric-pair catégorie dans la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [La catégorie generate-symetric dans la CLI CloudHSM](cloudhsm_cli-key-generate-symmetric.md)
# La generate-asymmetric-pair catégorie dans la CLI CloudHSM
Dans la **key generate-asymmetric-pair** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'elles sont combinées avec la catégorie parent, créent une commande qui génère des paires de clés asymétriques. Actuellement, cette catégorie comprend les commandes suivantes :
+ [clé generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [clé generate-asymmetric-pair RSA](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# Génération d'une paire de clés EC asymétriques à l'aide de la CLI CloudHSM
Utilisez la **key asymmetric-pair ec** commande de la CLI CloudHSM pour générer une paire de clés à courbe elliptique asymétrique (EC) dans votre cluster. AWS CloudHSM
## Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)
## Exigences
Pour exécuter cette commande, vous devez être connecté en tant que CU.
## Syntaxe
```
aws-cloudhsm > help key generate-asymmetric-pair ec
Generate an Elliptic-Curve Cryptography (ECC) key pair
Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label --private-label --curve
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--public-label
Label for the public key
--private-label
Label for the private key
--session
Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
--curve
Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1, ed25519]
--public-attributes [...]
Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--private-attributes [...]
Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--share-crypto-users [...]
Space separated list of Crypto User usernames to share the EC private key with
--manage-private-key-quorum-value
The quorum value for key management operations for the private key
--use-private-key-quorum-value