Exportez une AWS CloudHSM clé privée en utilisant KMU - AWS CloudHSM
SyntaxeExemplesParamètresRubriques en relation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exportez une AWS CloudHSM clé privée en utilisant KMU

Utilisez la exportPrivateKey commande du AWS CloudHSM key_mgmt_util pour exporter une clé privée asymétrique d'un module de sécurité matériel () vers un fichier. HSM Le n'HSMautorise pas l'exportation directe des clés en texte clair. La commande enveloppe la clé privée à l'aide d'une clé d'AESencapsulation que vous spécifiez, déchiffre les octets encapsulés et copie la clé privée en texte clair dans un fichier.

La exportPrivateKey commande ne supprime pas la clé duHSM, ne modifie pas ses attributs de clé et ne vous empêche pas de l'utiliser dans d'autres opérations cryptographiques. Vous pouvez exporter la même clé plusieurs fois.

Vous pouvez uniquement exporter les clés privées qui ont la valeur d'attribut OBJ_ATTR_EXTRACTABLE1. Vous devez spécifier une clé AES d'encapsulation dotée d'OBJ_ATTR_WRAPune valeur d'OBJ_ATTR_DECRYPTattribut1. Pour obtenir les attributs d’une clé, utilisez la commande getAttribute.

Avant d'exécuter une commande key_mgmt_util, vous devez démarrer key_mgmt_util et vous connecter en tant qu'utilisateur cryptographique (CU). HSM

Syntaxe

exportPrivateKey -h

exportPrivateKey -k <private-key-handle
                 -w <wrapping-key-handle>
                 -out <key-file>
                 [-m <wrapping-mechanism>]
                 [-wk <wrapping-key-file>]

Exemples

Cet exemple montre comment exportPrivateKey exporter une clé privée depuis unHSM.

Exemple : Exporter une clé privée

Cette commande exporte une clé privée avec un descripteur 15 à l'aide d'une clé d'encapsulation avec un 16 descripteur vers un PEM fichier appeléexportKey.pem. Lorsque la commande aboutit, exportPrivateKey renvoie un message de réussite.

Command: exportPrivateKey -k 15 -w 16 -out exportKey.pem

Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

PEM formatted private key is written to exportKey.pem

Paramètres

Cette commande accepte les paramètres suivants :

-h

Affiche l'aide de la ligne de commande pour la commande.

Obligatoire : oui

-k

Spécifie le handle de clé de la clé privée à exporter.

Obligatoire : oui

-w

Spécifie le handle de clé de la clé d'encapsulage. Ce paramètre est obligatoire. Pour trouver des handles de clé, utilisez la commande findKey.

Pour déterminer si une clé peut être utilisée comme clé d'encapsulage, utilisez getAttribute pour obtenir la valeur de l'attribut OBJ_ATTR_WRAP (262). Pour créer une clé d'encapsulation, utilisez genSymKeypour créer une AES clé (type 31).

Si vous utilisez le paramètre -wk pour spécifier une clé de désencapsulage externe, la clé d'encapsulage -w est utilisée pour encapsuler la clé lors de l'exportation, mais pas pour la désencapsuler.

Obligatoire : oui

-out

Spécifie le nom du fichier dans lequel la clé privée exportée sera écrite.

Obligatoire : oui

-m

Spécifie le mécanisme d'encapsulage pour encapsuler la clé privée exporté. La seule valeur valide est 4, qui représente le NIST_AES_WRAP mechanism..

Par défaut :4 ( NIST_AES_WRAP)

Obligatoire : non

-wk

Spécifie la clé à utiliser pour désencapsuler la clé en cours d'exportation. Entrez le chemin et le nom d'un fichier contenant une AES clé en texte brut.

Lorsque vous incluez ce paramètre, exportPrivateKey utilise la clé dans le fichier -w pour encapsuler la clé en cours d'exportation, puis la clé spécifiée par le paramètre -wk pour la désencapsuler.

Par défaut : Utilise la clé d'encapsulage spécifiée dans le paramètre -w pour encapsuler et désencapsuler.

Obligatoire : non

Rubriques en relation