Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Importez une clé privée à l'aide de AWS CloudHSM KMU
Utilisez la importPrivateKey commande du AWS CloudHSM key_mgmt_util pour importer une clé privée asymétrique d'un fichier vers un module de sécurité matériel (). HSM Le n'HSMautorise pas l'importation directe de clés en texte clair. La commande chiffre la clé privée à l'aide d'une clé d'AESencapsulation que vous spécifiez et déballe la clé contenue dans le. HSM Si vous essayez d'associer une AWS CloudHSM clé à un certificat, consultez cette rubrique.
Note
Vous ne pouvez pas importer une PEM clé protégée par mot de passe à l'aide d'une clé symétrique ou privée.
Vous devez spécifier une clé AES d'encapsulation dotée d'OBJ_ATTR_UNWRAPune valeur OBJ_ATTR_ENCRYPT d'attribut1. Pour obtenir les attributs d’une clé, utilisez la commande getAttribute.
Note
Cette commande n'offre pas la possibilité de marquer la clé importée comme non exportable.
Syntaxe
importPrivateKey -h importPrivateKey -l<label>-f<key-file>-w<wrapping-key-handle>[-sess] [-id<key-id>] [-m_value<0...8>] [min_srv<minimum-number-of-servers>] [-timeout<number-of-seconds>] [-u<user-ids>] [-wk<wrapping-key-file>] [-attest]
Exemples
Cet exemple montre comment importPrivateKey importer une clé privée dans unHSM.
Exemple : Importer une clé privée
Cette commande importe la clé privée depuis un fichier nommé rsa2048.key avec l'étiquette rsa2048-imported et une clé d'encapsulage avec handle 524299. Lorsque la commande réussit, importPrivateKey renvoie un handle de clé pour la clé importée et un message de réussite.
Command:importPrivateKey -f rsa2048.key -l rsa2048-imported -w 524299BER encoded key length is 1216 Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS Private Key Unwrapped. Key Handle: 524301 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Node id 1 and err state 0x00000000 : HSM Return: SUCCESS Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
Paramètres
Cette commande accepte les paramètres suivants :
-h-
Affiche l'aide de la ligne de commande pour la commande.
Obligatoire : oui
-l-
Spécifie l'étiquette définie par l'utilisateur pour la clé privée.
Obligatoire : oui
-f-
Spécifie le nom de fichier de la clé à importer.
Obligatoire : oui
-w-
Spécifie le handle de clé de la clé d'encapsulage. Ce paramètre est obligatoire. Pour trouver des handles de clé, utilisez la commande findKey.
Pour déterminer si une clé peut être utilisée comme clé d'encapsulage, utilisez getAttribute pour obtenir la valeur de l'attribut
OBJ_ATTR_WRAP(262). Pour créer une clé d'encapsulation, utilisez genSymKeypour créer une AES clé (type 31).Si vous utilisez le paramètre
-wkpour spécifier une clé de désencapsulage externe, la clé d'encapsulage-west utilisée pour encapsuler la clé lors de l'import, mais pas pour la désencapsuler.Obligatoire : oui
-sess-
Spécifie la clé importée en tant que clé de session.
Par défaut, la clé importée est conservée en tant que clé persistante (jeton) dans le cluster.
Obligatoire : non
-id-
Spécifie l'ID de la clé à importer.
Valeur par défaut : pas de valeur d'ID.
Obligatoire : non
-m_value-
Spécifie le nombre d'utilisateurs qui doivent approuver les opérations cryptographiques qui utilisent la clé importée. Saisissez une valeur comprise entre
0et8.Ce paramètre est valide uniquement quand le paramètre
-ude la commande partage la clé avec suffisamment d'utilisateurs pour satisfaire l'exigencem_value.Par défaut : 0
Obligatoire : non
-min_srv-
Spécifie le nombre minimum HSMs sur lequel la clé importée est synchronisée avant l'expiration de la valeur du
-timeoutparamètre. Si la clé n'est pas synchronisée sur le nombre spécifié de serveurs dans le temps imparti, elle n'est pas créée.AWS CloudHSM synchronise automatiquement chaque clé avec toutes les clés HSM du cluster. Pour accélérer votre processus, définissez une valeur inférieure
min_srvau nombre de HSMs dans le cluster et définissez une valeur de délai d'expiration faible. Toutefois, notez que certaines demandes peuvent ne pas générer une clé.Valeur par défaut : 1
Obligatoire : non
-timout-
Spécifie le nombre de secondes à attendre pour que la clé soit synchronisée HSMs lorsque le
min-servparamètre est inclus. Si aucun nombre n'est spécifié, l'interrogation continue indéfiniment.Par défaut : pas de limite
Obligatoire : non
-u-
Spécifie la liste des utilisateurs avec lesquels partager la clé privée importée. Ce paramètre autorise les autres utilisateurs de HSM cryptomonnaies (CUs) à utiliser la clé importée dans des opérations cryptographiques.
Entrez une liste d'HSMutilisateurs séparés par des virgulesIDs, telle que.
-u 5,6N'incluez pas le HSM nom d'utilisateur de l'utilisateur actuel. Pour trouver l'HSMutilisateur IDs de CUs sur leHSM, utilisez listUsers.Par défaut, seul l'utilisateur actuel peut utiliser la clé importée.
Obligatoire : non
-wk-
Spécifie la clé à utiliser pour encapsuler la clé en cours d'importation. Entrez le chemin et le nom d'un fichier contenant une AES clé en texte brut.
Lorsque vous incluez ce paramètre, importPrivateKey utilise la clé dans le fichier
-wkpour encapsuler la clé en cours d'importation. Il utilise également la clé spécifiée par le paramètre-wpour la désencapsuler.Par défaut : Utilise la clé d'encapsulage spécifiée dans le paramètre
-wpour encapsuler et désencapsuler.Obligatoire : non
-attest-
Effectue un contrôle d'attestation sur la réponse de microprogramme pour s'assurer que le microprogramme sur lequel le cluster s'exécute n'a pas été compromis.
Obligatoire : non
Rubriques en relation
