Exportez les clés secrètes à l'aide du AWS CloudHSM KMU

Pour exporter une clé secrète

1. Utilisez la genSymKeycommande pour créer une clé d'encapsulation. La commande suivante crée une clé d'AESencapsulation de 128 bits valide uniquement pour la session en cours.

   Command: genSymKey -t 31 -s 16 -sess -l export-wrapping-key
   Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
   
   Symmetric Key Created.  Key Handle: 524304
   
   Cluster Error Status
   Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

2. Utilisez l'une des commandes suivantes, selon le type de clé secrète que vous exportez.

   • Pour exporter une clé symétrique, utilisez la exSymKeycommande. La commande suivante exporte une AES clé vers un fichier nomméaes256.key.exp. Pour consulter toutes les options disponibles, utilisez la commande exSymKey -h.

     Command: exSymKey -k 524295 -out aes256.key.exp -w 524304
     Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS
     
     Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
     
     
     Wrapped Symmetric Key written to file "aes256.key.exp"

     Note

     La sortie de la commande indique qu'une « clé symétrique encapsulée » est écrite dans le fichier de sortie. Toutefois, le fichier de sortie contient une clé en texte brut (non encapsulée). Pour exporter une clé encapsulée (cryptée) vers un fichier, utilisez la wrapKeycommande.

   • Pour exporter une clé privée, utilisez la commande exportPrivateKey. La commande suivante exporte une clé privée vers un fichier nommé rsa2048.key.exp. Pour consulter toutes les options disponibles, utilisez la commande exportPrivateKey -h.

     Command: exportPrivateKey -k 524296 -out rsa2048.key.exp -w 524304
     Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS
     
     Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
     
     PEM formatted private key is written to rsa2048.key.exp