Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Referensi untuk perintah CloudHSM CLI
CloudHSM CLI membantu admin mengelola pengguna di klaster mereka. AWS CloudHSM CloudHSM CLI dapat dijalankan dalam dua mode: Mode Interaktif dan Mode Perintah Tunggal. Untuk memulai dengan cepat, lihat [Memulai dengan AWS CloudHSM Command Line Interface (CLI)](cloudhsm_cli-getting-started.md).
Untuk menjalankan sebagian besar perintah CloudHSM CLI, Anda harus memulai CloudHSM CLI dan masuk ke HSM. Jika Anda menambah atau menghapus HSMs, perbarui file konfigurasi untuk CloudHSM CLI. Jika tidak, perubahan yang Anda buat mungkin tidak efektif untuk semua HSMs di cluster.
Topik berikut menjelaskan perintah di CloudHSM CLI:
| Perintah | Deskripsi | Jenis Pengguna |
| --- | --- | --- |
| [mengaktifkan](cloudhsm_cli-cluster-activate.md) | Mengaktifkan klaster CloudHSM dan memberikan konfirmasi bahwa klaster tersebut baru. Ini harus dilakukan sebelum operasi lain dapat dilakukan. | Admin yang tidak aktif |
| [info hsm](cloudhsm_cli-cluster-hsm-info.md) | Daftar HSMs di cluster Anda. | Semua [1](#cli-ref-1), termasuk pengguna yang tidak diautentikasi. Login tidak diperlukan. |
| [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) | Menghasilkan tanda tangan menggunakan kunci pribadi EC dan mekanisme penandatanganan ECDSA. | Pengguna kripto (CU) |
| [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) | Menghasilkan tanda tangan menggunakan kunci pribadi Ed25519 dan mekanisme penandatanganan HashEd DSA. | CU |
| [rsa-PKC](cloudhsm_cli-crypto-sign-rsa-pkcs.md) | Menghasilkan tanda tangan menggunakan kunci pribadi RSA dan mekanisme penandatanganan RSA-PKCS. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) | Menghasilkan tanda tangan menggunakan kunci pribadi RSA dan mekanisme RSA-PKCS-PSS penandatanganan. | CU |
| [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) | Mengonfirmasi file telah ditandatangani di HSM oleh kunci publik yang diberikan. Memverifikasi tanda tangan dihasilkan menggunakan mekanisme penandatanganan ECDSA. Membandingkan file yang ditandatangani dengan file sumber dan menentukan apakah keduanya terkait secara kriptografi berdasarkan kunci publik ecdsa dan mekanisme penandatanganan yang diberikan. | CU |
| [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) | Memverifikasi tanda tangan HashEd DSA menggunakan kunci publik Ed25519. | CU |
| [rsa-PKC](cloudhsm_cli-crypto-verify-rsa-pkcs.md) | Mengonfirmasi file telah ditandatangani di HSM oleh kunci publik yang diberikan. Verifikasi tanda tangan dihasilkan menggunakan mekanisme penandatanganan RSA-PKCS. Membandingkan file yang ditandatangani dengan file sumber dan menentukan apakah keduanya terkait secara kriptografi berdasarkan kunci publik rsa dan mekanisme penandatanganan yang diberikan. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) | Mengonfirmasi file telah ditandatangani di HSM oleh kunci publik yang diberikan. Memverifikasi tanda tangan dihasilkan menggunakan mekanisme RSA-PKCS-PSS penandatanganan. Membandingkan file yang ditandatangani dengan file sumber dan menentukan apakah keduanya terkait secara kriptografi berdasarkan kunci publik rsa dan mekanisme penandatanganan yang diberikan. | CU |
| [hapus kunci](cloudhsm_cli-key-delete.md) | Menghapus kunci dari AWS CloudHSM cluster Anda. | CU |
| [file menghasilkan kunci](cloudhsm_cli-key-generate-file.md) | Menghasilkan file kunci di AWS CloudHSM cluster Anda. | CU |
| [kunci generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) | Menghasilkan key pair RSA asimetris di cluster Anda AWS CloudHSM . | CU |
| [kunci generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) | Menghasilkan key pair elliptic-curve (EC) asimetris di cluster Anda. AWS CloudHSM | CU |
| [kunci menghasilkan aes simetris](cloudhsm_cli-key-generate-symmetric-aes.md) | Menghasilkan kunci AES simetris di cluster Anda AWS CloudHSM . | CU |
| [kunci generik-rahasia generik-simetris](cloudhsm_cli-key-generate-symmetric-generic-secret.md) | Menghasilkan kunci Rahasia Generik simetris di cluster Anda AWS CloudHSM . | CU |
| [kunci impor pem](cloudhsm_cli-key-import-pem.md) | Mengimpor kunci format PEM ke HSM. Anda dapat menggunakannya untuk mengimpor kunci privat yang dihasilkan di luar HSM. | CU |
| [daftar kunci](cloudhsm_cli-key-list.md) | Menemukan semua kunci untuk pengguna saat ini yang ada di AWS CloudHSM cluster Anda. | CU |
| [replikasi kunci](cloudhsm_cli-key-replicate.md) | Replikasi kunci dari cluster sumber ke klaster tujuan kloning. | CU |
| [kunci set-atribut](cloudhsm_cli-key-set-attribute.md) | Menetapkan atribut kunci di AWS CloudHSM cluster Anda. | CUs dapat menjalankan perintah ini, admin dapat mengatur atribut tepercaya. |
| [berbagi kunci](cloudhsm_cli-key-share.md) | Berbagi kunci dengan yang lain CUs di AWS CloudHSM cluster Anda. | CU |
| [kunci unshare](cloudhsm_cli-key-unshare.md) | Membatalkan kunci dengan yang lain CUs di AWS CloudHSM cluster Anda. | CU |
| [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md) | Membuka kunci payload ke dalam cluster menggunakan kunci pembungkus AES dan mekanisme unwrapping AES-GCM. | CU |
| [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md) | Membuka kunci payload ke dalam cluster menggunakan kunci pembungkus AES dan mekanisme unwrapping. AES-NO-PAD | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md) | Membuka kunci payload menggunakan kunci pembungkus AES dan mekanisme unwrapping AES- -PAD. PKCS5 | CU |
| [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md) | Membuka kunci payload ke dalam cluster menggunakan kunci pembungkus AES dan mekanisme unwrapping. AES-ZERO-PAD | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md) | Membuka kunci payload ke dalam cluster menggunakan kunci pembungkus AES dan mekanisme unwrapping. CLOUDHSM-AES-GCM | CU |
| [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md) | Membuka kunci payload menggunakan kunci pribadi RSA dan mekanisme unwrapping RSA-AES. | CU |
| [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md) | Membuka kunci payload menggunakan kunci pribadi RSA dan mekanisme unwrapping RSA-OAEP. | CU |
| [rsa-PKC](cloudhsm_cli-key-unwrap-rsa-pkcs.md) | Membuka kunci payload menggunakan kunci pribadi RSA dan mekanisme unwrapping RSA-PKCS. | CU |
| [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md) | Membungkus kunci payload menggunakan kunci AES pada HSM dan mekanisme pembungkus AES-GCM. | CU |
| [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md) | Membungkus kunci payload menggunakan kunci AES pada HSM dan mekanisme pembungkus. AES-NO-PAD | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md) | Membungkus kunci payload menggunakan kunci AES pada HSM dan mekanisme pembungkus AES- -PAD. PKCS5 | CU |
| [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md) | Membungkus kunci payload menggunakan kunci AES pada HSM dan mekanisme pembungkus. AES-ZERO-PAD | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md) | Membungkus kunci payload menggunakan kunci AES pada HSM dan mekanisme pembungkus. CLOUDHSM-AES-GCM | CUs |
| [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md) | Membungkus kunci payload menggunakan kunci publik RSA pada HSM dan mekanisme pembungkus RSA-AES. | CU |
| [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md) | Membungkus kunci payload menggunakan kunci publik RSA pada HSM dan mekanisme pembungkus RSA-OAEP. | CU |
| [ Bungkus kunci dengan RSA-PKCS menggunakan CloudHSM CLIrsa-PKC **key wrap rsa-pkcs**Perintah membungkus kunci payload menggunakan kunci publik RSA pada HSM dan mekanisme pembungkus. `RSA-PKCS` Gunakan **key wrap rsa-pkcs** perintah di CloudHSM CLI untuk membungkus kunci payload menggunakan kunci publik RSA pada modul keamanan perangkat keras (HSM) dan mekanisme pembungkus. `RSA-PKCS` `extractable`Atribut kunci payload harus disetel ke`true`. Hanya pemilik kunci, yaitu pengguna kripto (CU) yang membuat kunci, yang dapat membungkus kunci tersebut. Pengguna yang berbagi kunci dapat menggunakan kunci dalam operasi kriptografi. Untuk menggunakan **key wrap rsa-pkcs** perintah, Anda harus terlebih dahulu memiliki kunci RSA di AWS CloudHSM cluster Anda. Anda dapat menghasilkan key pair RSA menggunakan [generate-asymmetric-pairKategori di CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) perintah dan `wrap` atribut yang disetel ke`true`. Jenis pengguna Jenis pengguna berikut dapat menjalankan perintah ini. Pengguna Crypto (CUs) Persyaratan Untuk menjalankan perintah ini, Anda harus masuk sebagai CU. Sintaksis
```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [...] --wrapping-filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--payload-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
--wrapping-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
--path
Path to the binary file where the wrapped key data will be saved
--wrapping-approval
File path of signed quorum token file to approve operation for wrapping key
--payload-approval
File path of signed quorum token file to approve operation for payload key
-h, --help
Print help
``` Contoh Contoh ini menunjukkan cara menggunakan **key wrap rsa-pkcs** perintah menggunakan kunci publik RSA.
**Example**
```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
"error_code": 0,
"data": {
"payload_key_reference": "0x00000000001c08f1",
"wrapping_key_reference": "0x00000000007008da",
"wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
}
``` Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
******
Referensi kunci (misalnya,`key-reference=0xabc`) atau spasi dipisahkan daftar atribut kunci dalam bentuk `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` untuk memilih kunci payload.
Wajib: Ya
******
Path ke file biner tempat data kunci yang dibungkus akan disimpan.
Wajib: Tidak
******
Referensi kunci (misalnya,`key-reference=0xabc`) atau spasi dipisahkan daftar atribut kunci dalam bentuk `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` untuk memilih kunci pembungkus.
Wajib: Ya
******
Menentukan jalur file ke file token kuorum yang ditandatangani untuk menyetujui operasi untuk kunci pembungkus. Hanya diperlukan jika nilai kuorum layanan manajemen kunci kunci wrapping lebih besar dari 1.
******
Menentukan jalur file ke file token kuorum yang ditandatangani untuk menyetujui operasi kunci payload. Hanya diperlukan jika nilai kuorum layanan manajemen kunci payload key lebih besar dari 1. Topik terkait [Perintah bungkus kunci di CloudHSM CLI](cloudhsm_cli-key-wrap.md) [Perintah buka kunci di CloudHSM CLI](cloudhsm_cli-key-unwrap.md) ](cloudhsm_cli-key-wrap-rsa-pkcs.md) | Membungkus kunci payload menggunakan kunci publik RSA pada HSM dan mekanisme pembungkus RSA-PKCS. | CU |
| [login](cloudhsm_cli-login.md) | Masuk ke AWS CloudHSM cluster Anda. | Admin, pengguna kripto (CU), dan pengguna alat (AU) |
| [logout](cloudhsm_cli-logout.md) | Keluar dari AWS CloudHSM cluster Anda. | Admin, CU, dan pengguna alat (AU) |
| [kuorum tanda token hapus](cloudhsm_cli-qm-token-del.md) | Menghapus satu atau beberapa token untuk layanan resmi kuorum. | Admin |
| [tanda token kuorum menghasilkan](cloudhsm_cli-qm-token-gen.md) | Menghasilkan token untuk layanan resmi kuorum. | Admin |
| [daftar tanda token kuorum](cloudhsm_cli-qm-token-list.md) | Daftar semua token kuorum tanda token yang ada di klaster CloudHSM Anda. | Semua [1](#cli-ref-1), termasuk pengguna yang tidak diautentikasi. Login tidak diperlukan. |
| [tanda token kuorum list-quorum-values](cloudhsm_cli-qm-token-list-qm.md) | Daftar nilai kuorum yang ditetapkan dalam klaster CloudHSM Anda. | Semua [1](#cli-ref-1), termasuk pengguna yang tidak diautentikasi. Login tidak diperlukan. |
| [tanda token kuorum set-quorum-value](cloudhsm_cli-qm-token-set-qm.md) | Menetapkan nilai kuorum baru untuk layanan resmi kuorum. | Admin |
| [perubahan pengguna-mfa](cloudhsm_cli-user-change-mfa.md) | Mengubah strategi otentikasi multi-faktor (MFA) pengguna. | Admin, CU |
| [perubahan kata sandi pengguna](cloudhsm_cli-user-change-password.md) | Mengubah kata sandi pengguna di file HSMs. Setiap pengguna dapat mengubah kata sandi mereka sendiri. Admin dapat mengubah kata sandi siapa pun. | Admin, CU |
| [pengguna membuat](cloudhsm_cli-user-create.md) | Membuat pengguna di AWS CloudHSM cluster Anda. | Admin |
| [menghapus pengguna](cloudhsm_cli-user-delete.md) | Menghapus pengguna di AWS CloudHSM cluster Anda. | Admin |
| [daftar pengguna](cloudhsm_cli-user-list.md) | Daftar pengguna di AWS CloudHSM cluster Anda. | Semua [1](#cli-ref-1), termasuk pengguna yang tidak diautentikasi. Login tidak diperlukan. |
| [daftar tanda token ubah-kuorum pengguna](cloudhsm_cli-user-chqm-token-reg.md) | Mendaftarkan strategi kuorum tanda token kuorum untuk pengguna. | Admin |
**Anotasi**
+ [1] Semua pengguna menyertakan semua peran yang terdaftar dan pengguna yang tidak masuk.
# Kategori cluster di CloudHSM CLI
Di CloudHSM **cluster** CLI, adalah kategori induk untuk sekelompok perintah yang, bila dikombinasikan dengan kategori induk, membuat perintah khusus untuk cluster. Saat ini, kategori cluster terdiri dari perintah berikut:
**Topics**
+ [mengaktifkan](cloudhsm_cli-cluster-activate.md)
+ [info hsm](cloudhsm_cli-cluster-hsm-info.md)
+ [mtls](cloudhsm_cli-cluster-mtls.md)
# Aktifkan cluster dengan CloudHSM CLI
Gunakan **cluster activate** perintah di CloudHSM [CLI untuk](activate-cluster.md) mengaktifkan cluster baru di. AWS CloudHSM Perintah ini harus dijalankan sebelum cluster dapat digunakan untuk melakukan operasi kriptografi.
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Admin yang tidak aktif
## Sintaksis
Perintah ini tidak memiliki parameter.
```
aws-cloudhsm > help cluster activate
Activate a cluster
This command will set the initial Admin password. This process will cause your CloudHSM cluster to
move into the ACTIVE state.
USAGE:
cloudhsm-cli cluster activate [OPTIONS] [--password ]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--password
Optional: Plaintext activation password If you do not include this argument you will be prompted for it
-h, --help
Print help (see a summary with '-h')
```
## Contoh
Perintah ini mengaktifkan cluster Anda dengan mengatur kata sandi awal untuk pengguna admin Anda.
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
## Topik terkait
+ [pengguna membuat](cloudhsm_cli-user-create.md)
+ [menghapus pengguna](cloudhsm_cli-user-delete.md)
+ [perubahan kata sandi pengguna](cloudhsm_cli-user-change-password.md)
# Daftar HSMs dengan CloudHSM CLI
Gunakan **cluster hsm-info** perintah di CloudHSM CLI untuk membuat daftar HSMs modul keamanan perangkat keras () di cluster Anda. AWS CloudHSM Anda tidak perlu login ke CloudHSM CLI untuk menjalankan perintah ini.
**catatan**
Jika Anda menambah atau menghapus HSMs, perbarui file konfigurasi yang digunakan AWS CloudHSM klien dan alat baris perintah. Jika tidak, perubahan yang Anda buat mungkin tidak efektif pada semua HSMs di cluster.
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Semua pengguna. Anda tidak perlu masuk untuk menjalankan perintah ini.
## Sintaksis
```
aws-cloudhsm > help cluster hsm-info
List info about each HSM in the cluster
Usage: cloudhsm-cli cluster hsm-info [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Contoh
Perintah ini mencantumkan yang HSMs ada di AWS CloudHSM cluster Anda.
```
aws-cloudhsm > cluster hsm-info
{
"error_code": 0,
"data": {
"hsms": [
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000590",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000625",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000663",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
}
]
}
}
```
Output memiliki atribut berikut:
+ **Vendor**: Nama vendor dari HSM.
+ **Model**: Nomor model HSM.
+ **Nomor seri: Nomor** seri HSM. Ini dapat berubah karena penggantian.
+ **H ardware-version-major**: Versi perangkat keras utama.
+ **H ardware-version-minor**: Versi perangkat keras minor.
+ **F irmware-version-major**: Versi firmware utama.
+ **F irmware-version-minor**: Versi firmware minor.
+ **F irmware-build-number**: Nomor build firmware.
+ **Firmware-ID**: ID firmware, yang mencakup versi mayor dan minor bersama dengan build.
+ **FIPS-state**: FIPS modus cluster dan di dalamnya. HSMs Jika dalam mode FIPS, outputnya adalah “2 [mode FIPS dengan otentikasi faktor tunggal].” Jika dalam mode non-FIPS, outputnya adalah “0 [mode non-FIPS dengan otentikasi faktor tunggal]”.
## Topik terkait
+ [Aktifkan cluster dengan CloudHSM CLI](cloudhsm_cli-cluster-activate.md)
# Kategori cluster mtls di CloudHSM CLI
Di CloudHSM **cluster mtls** CLI, adalah kategori induk untuk sekelompok perintah yang, bila dikombinasikan dengan kategori induk, membuat perintah khusus untuk cluster. AWS CloudHSM Saat ini, kategori ini terdiri dari perintah berikut:
**Topics**
+ [deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [dapatkan-penegakan](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [register-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [set-penegakan](cloudhsm_cli-cluster-mtls-set-enforcement.md)
# Deregister jangkar kepercayaan dengan CloudHSM CLI
Gunakan **cluster mtls deregister-trust-anchor** perintah di CloudHSM CLI untuk membatalkan pendaftaran jangkar kepercayaan untuk TLS timbal balik antara klien dan. AWS CloudHSM
## Jenis pengguna
Pengguna berikut dapat menjalankan perintah berikut.
+ Admin
## Persyaratan
+ Untuk menjalankan perintah ini, Anda harus masuk sebagai pengguna admin.
## Sintaksis
```
aws-cloudhsm > help cluster mtls deregister-trust-anchor
Deregister a trust anchor for mtls
Usage: cluster mtls deregister-trust-anchor [OPTIONS] --certificate-reference [...]
Options:
--certificate-reference A hexadecimal or decimal certificate reference
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Contoh
**Example**
Dalam contoh berikut, perintah ini menghapus jangkar kepercayaan dari HSM.
```
aws-cloudhsm > cluster mtls deregister-trust-anchor --certificate-reference 0x01
{
"error_code": 0,
"data": {
"message": "Trust anchor with reference 0x01 deregistered successfully"
}
}
```
Anda kemudian dapat menjalankan **list-trust-anchors** perintah untuk mengonfirmasi bahwa jangkar kepercayaan telah dideregistrasi dari: AWS CloudHSM
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": []
}
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Diperlukan: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
** ** **
Referensi sertifikat heksadesimal atau desimal.
**Wajib**: Ya
Setelah Anda membatalkan pendaftaran jangkar kepercayaan di cluster, semua koneksi mTL yang ada menggunakan sertifikat klien yang ditandatangani oleh jangkar kepercayaan tersebut akan dihapus.
** ** **
Menentukan jalur file ke file token kuorum yang ditandatangani untuk menyetujui operasi. Hanya diperlukan jika nilai kuorum layanan klaster kuorum lebih besar dari 1.
## Topik terkait
+ [cluster mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [cluster mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [Pengaturan mTL (disarankan)](getting-started-setup-mtls.md)
# Dapatkan tingkat penegakan mTLS dengan CloudHSM CLI
Gunakan **cluster mtls get-enforcement** perintah di CloudHSM CLI untuk mendapatkan tingkat penegakan penggunaan TLS timbal balik antara klien dan. AWS CloudHSM
## Jenis pengguna
Pengguna berikut dapat menjalankan perintah berikut.
+ Admin
+ Pengguna Crypto (CUs)
## Persyaratan
+ Untuk menjalankan perintah ini, Anda harus masuk sebagai pengguna admin atau pengguna kripto (CUs).
## Sintaksis
```
aws-cloudhsm > help cluster mtls get-enforcement
Get the status of mtls enforcement in the cluster
Usage: cluster mtls get-enforcement [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Contoh
**Example**
Dalam contoh berikut, perintah ini mencantumkan tingkat penegakan mtls dari. AWS CloudHSM
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "none"
}
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
## Topik terkait
+ [cluster mtls set-penegakan](cloudhsm_cli-cluster-mtls-set-enforcement.md)
+ [Pengaturan mTL (disarankan)](getting-started-setup-mtls.md)
# Daftar jangkar kepercayaan dengan CloudHSM CLI
Gunakan **cluster mtls list-trust-anchors** perintah di CloudHSM CLI untuk membuat daftar semua jangkar kepercayaan yang dapat digunakan untuk TLS timbal balik antara klien dan. AWS CloudHSM
## Jenis pengguna
Pengguna berikut dapat menjalankan perintah berikut.
+ Semua pengguna. Anda tidak perlu masuk untuk menjalankan perintah ini.
## Sintaksis
```
aws-cloudhsm > help cluster mtls list-trust-anchors
List all trust anchors for mtls
Usage: cluster mtls list-trust-anchors [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Contoh
**Example**
Dalam contoh berikut, perintah ini mencantumkan semua jangkar kepercayaan terdaftar dari. AWS CloudHSM
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
},
{
"certificate-reference": "0x02",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
## Topik terkait
+ [kluster mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [kluster mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [Pengaturan mTL (disarankan)](getting-started-setup-mtls.md)
# Daftarkan jangkar kepercayaan dengan CloudHSM CLI
Gunakan **cluster mtls register-trust-anchor** perintah di CloudHSM CLI untuk mendaftarkan jangkar kepercayaan untuk TLS timbal balik antara klien dan. AWS CloudHSM
## Jenis pengguna
Pengguna berikut dapat menjalankan perintah berikut.
+ Admin
## Persyaratan
AWS CloudHSM Menerima jangkar kepercayaan dengan jenis kunci berikut:
****
| Tipe Kunci | Deskripsi |
| --- | --- |
| EC | kurva secp256r1 (P-256), secp384r1 (P-384), dan secp521r1 (P-521). |
| RSA | Kunci RSA 2048-bit, 3072-bit, dan 4096-bit. |
## Sintaksis
```
aws-cloudhsm > help cluster mtls register-trust-anchor
Register a trust anchor for mtls
Usage: cluster mtls register-trust-anchor [OPTIONS] --path [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--path Filepath of the trust anchor to register
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Contoh
**Example**
Dalam contoh berikut, perintah ini mendaftarkan jangkar kepercayaan ke HSM. Jumlah maksimum jangkar kepercayaan yang dapat didaftarkan adalah dua (2).
```
aws-cloudhsm > cluster mtls register-trust-anchor --path /home/rootCA
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
Anda kemudian dapat menjalankan **list-trust-anchors** perintah untuk mengonfirmasi bahwa jangkar kepercayaan telah terdaftar ke AWS CloudHSM:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
** ** **
Filepath dari jangkar kepercayaan untuk mendaftar.
**Wajib**: Ya
AWS CloudHSM mendukung pendaftaran sertifikat perantara sebagai jangkar kepercayaan. Dalam kasus seperti itu, seluruh file rantai sertifikat yang dikodekan PEM perlu didaftarkan ke HSM, dengan sertifikat dalam urutan hierarkis.
AWS CloudHSM mendukung rantai sertifikat 6980 byte.
** ** **
Menentukan jalur file ke file token kuorum yang ditandatangani untuk menyetujui operasi. Hanya diperlukan jika nilai kuorum layanan klaster kuorum lebih besar dari 1.
## Topik terkait
+ [kluster mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [kluster mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [Pengaturan mTL (disarankan)](getting-started-setup-mtls.md)
# Atur tingkat penegakan mTLS dengan CloudHSM CLI
Gunakan **cluster mtls set-enforcement** perintah di CloudHSM CLI untuk mengatur tingkat penegakan penggunaan TLS timbal balik antara klien dan. AWS CloudHSM
## Jenis pengguna
Pengguna berikut dapat menjalankan perintah berikut.
+ Admin dengan nama pengguna sebagai admin
## Persyaratan
Untuk menjalankan perintah ini:
+ Setidaknya satu jangkar kepercayaan telah berhasil didaftarkan ke. AWS CloudHSM
+ Konfigurasikan CloudHSM CLI dengan kunci pribadi dan sertifikat klien yang tepat, dan mulai CloudHSM CLI di bawah koneksi TLS timbal balik.
+ Anda harus masuk sebagai admin default dengan nama pengguna “admin”. Pengguna admin lain tidak akan dapat menjalankan perintah ini.
## Sintaksis
```
aws-cloudhsm > help cluster mtls set-enforcement
Set mtls enforcement policy in the cluster
Usage: cluster mtls set-enforcement [OPTIONS] --level [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--level Level to be set for mtls in the cluster [possible values: none, cluster]
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Contoh
**Example**
Dalam contoh berikut, perintah ini mengatur tingkat penegakan mtls AWS CloudHSM untuk menjadi cluster. Perintah set-enforcement hanya dapat dilakukan dalam koneksi TLS timbal balik dan masuk sebagai pengguna admin dengan nama pengguna sebagai admin, lihat [mengatur penegakan mTLS untuk](getting-started-setup-mtls.md#getting-start-setup-mtls-enforcement). AWS CloudHSM
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
Anda kemudian dapat menjalankan **get-enforcement** perintah untuk mengonfirmasi bahwa tingkat penegakan telah disetel ke cluster:
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "cluster"
}
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
** ** **
Level yang akan ditetapkan untuk mtls di cluster.
**Nilai yang valid**
+ **cluster**: Menerapkan penggunaan TLS timbal balik antara klien dan AWS CloudHSM di cluster.
+ **none**: Jangan memaksakan penggunaan TLS timbal balik antara klien dan AWS CloudHSM di cluster.
**Wajib**: Ya
Setelah Anda menerapkan penggunaan mTLS di cluster, semua koneksi non-MTLS yang ada akan dihapus dan Anda hanya dapat terhubung ke cluster dengan sertifikat mTLS.
** ** **
Menentukan jalur file ke file token kuorum yang ditandatangani untuk menyetujui operasi. Hanya diperlukan jika nilai kuorum layanan klaster kuorum lebih besar dari 1.
## Topik terkait
+ [cluster mtls mendapatkan penegakan](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [Pengaturan mTL (disarankan)](getting-started-setup-mtls.md)
# Kategori kripto di CloudHSM CLI
Dalam CloudHSM **crypto** CLI, adalah kategori induk untuk sekelompok perintah yang, ketika dikombinasikan dengan kategori induk, membuat perintah khusus untuk operasi kriptografi. Saat ini, kategori ini terdiri dari perintah berikut:
+ [tanda tangan](cloudhsm_cli-crypto-sign.md)
+ [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [rsa-PKC](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
+ [verifikasi](cloudhsm_cli-crypto-verify.md)
+ [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [rsa-PKC](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
# Kategori tanda kripto di CloudHSM CLI
Di CloudHSM **crypto sign** CLI, adalah kategori induk untuk sekelompok perintah yang, bila digabungkan dengan kategori induk, menggunakan kunci pribadi yang dipilih AWS CloudHSM di cluster Anda untuk menghasilkan tanda tangan. **crypto sign**memiliki subperintah berikut:
+ [Hasilkan tanda tangan dengan mekanisme ECDSA di CloudHSM CLI](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [Hasilkan tanda tangan dengan mekanisme HashEd DSA di CloudHSM CLI](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [Hasilkan tanda tangan dengan mekanisme RSA-PKCS di CloudHSM CLI](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [Hasilkan tanda tangan dengan RSA-PKCS-PSS mekanisme di CloudHSM CLI](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
Untuk menggunakannya**crypto sign**, Anda harus memiliki kunci pribadi di HSM Anda. Anda dapat membuat kunci pribadi dengan perintah berikut:
+ [kunci generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [kunci generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# Hasilkan tanda tangan dengan mekanisme ECDSA di CloudHSM CLI
Gunakan **crypto sign ecdsa** perintah di CloudHSM CLI untuk menghasilkan tanda tangan menggunakan kunci pribadi EC dan mekanisme penandatanganan ECDSA.
Untuk menggunakan **crypto sign ecdsa** perintah, Anda harus terlebih dahulu memiliki kunci pribadi EC di AWS CloudHSM cluster Anda. Anda dapat menghasilkan kunci pribadi EC menggunakan [Hasilkan key pair EC asimetris dengan CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) perintah dengan `sign` atribut yang disetel ke`true`.
Tanda tangan ECDSA yang dihasilkan dihasilkan dalam format`r||s`, di mana komponen r dan s digabungkan sebagai data biner mentah dan dikembalikan dalam format yang dikodekan base64.
**catatan**
Tanda tangan dapat diverifikasi AWS CloudHSM dengan [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md) subperintah.
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Pengguna Crypto (CUs)
## Persyaratan
+ Untuk menjalankan perintah ini, Anda harus masuk sebagai CU.
## Sintaksis
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Contoh
Contoh-contoh ini menunjukkan cara menggunakan **crypto sign ecdsa** untuk menghasilkan tanda tangan menggunakan mekanisme penandatanganan ECDSA dan fungsi `SHA256` hash. Perintah ini menggunakan kunci pribadi di HSM.
**Example Contoh: Menghasilkan tanda tangan untuk data dasar 64 yang dikodekan**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
**Example Contoh: Menghasilkan tanda tangan untuk file data**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
******
Data yang dikodekan Base64 untuk ditandatangani.
Wajib: Ya (kecuali disediakan melalui jalur data)
******
Menentukan lokasi data yang akan ditandatangani.
Wajib: Ya (kecuali disediakan melalui jalur data)
******
Menentukan fungsi hash.
Nilai valid:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Wajib: Ya
******
Referensi kunci (misalnya,`key-reference=0xabc`) atau daftar atribut kunci yang dipisahkan spasi dalam bentuk ATTR.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE untuk memilih kunci yang cocok.
Untuk daftar atribut kunci CloudHSM CLI yang didukung, lihat Atribut kunci untuk CloudHSM CLI.
Wajib: Ya
******
Menentukan jalur file ke file token kuorum yang ditandatangani untuk menyetujui operasi. Hanya diperlukan jika nilai kuorum layanan penggunaan kunci dari kunci pribadi lebih besar dari 1.
******
Menentukan apakah nilai parameter data harus di-hash sebagai bagian dari algoritma penandatanganan. Gunakan `raw` untuk data yang tidak di-hash; gunakan `digest` untuk intisari, yang sudah di-hash.
Nilai valid:
+ mentah
+ mencerna
## Topik terkait
+ [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Hasilkan tanda tangan dengan mekanisme HashEd DSA di CloudHSM CLI
**penting**
HashEdOperasi penandatanganan DSA hanya didukung pada instance hsm2m.medium dalam mode non-FIPS.
Gunakan **crypto sign ed25519ph** perintah di CloudHSM CLI untuk menghasilkan tanda tangan menggunakan kunci pribadi Ed25519 dan mekanisme penandatanganan DSA. HashEd Untuk informasi tambahan tentang HashEd DSA, lihat [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Bagian 7.8.
Untuk menggunakan **crypto sign ed25519ph** perintah, Anda harus terlebih dahulu memiliki kunci pribadi Ed25519 di cluster Anda. AWS CloudHSM Anda dapat menghasilkan kunci pribadi Ed25519 menggunakan [Hasilkan key pair EC asimetris dengan CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) perintah dengan `curve` parameter disetel ke `ed25519` dan `sign` atribut disetel ke. `true`
**catatan**
Tanda tangan dapat diverifikasi AWS CloudHSM dengan [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md) subperintah.
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Pengguna Crypto (CUs)
## Persyaratan
+ Untuk menjalankan perintah ini, Anda harus masuk sebagai CU.
+ HashEdOperasi penandatanganan DSA hanya didukung pada instance hsm2m.medium dalam mode non-FIPS.
## Sintaksis
```
aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism
Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Contoh
Contoh-contoh ini menunjukkan cara menggunakan **crypto sign ed25519ph** untuk menghasilkan tanda tangan menggunakan mekanisme penandatanganan ED25519ph dan fungsi hash. `sha512` Perintah ini menggunakan kunci pribadi di HSM.
**Example Contoh: Menghasilkan tanda tangan untuk data dasar 64 yang dikodekan**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data YWJj
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
**Example Contoh: Menghasilkan tanda tangan untuk file data**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
******
Data yang dikodekan Base64 untuk ditandatangani.
Wajib: Ya (kecuali disediakan melalui jalur data)
******
Menentukan lokasi data yang akan ditandatangani.
Diperlukan: Ya (kecuali disediakan melalui parameter data)
******
Menentukan fungsi hash. Ed25519ph hanya mendukung. SHA512
Nilai valid:
+ sha512
Wajib: Ya
******
Referensi kunci (misalnya,`key-reference=0xabc`) atau daftar atribut kunci yang dipisahkan spasi dalam bentuk ATTR.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE untuk memilih kunci yang cocok.
Untuk daftar atribut kunci CloudHSM CLI yang didukung, lihat. [Atribut kunci untuk CloudHSM CLI](cloudhsm_cli-key-attributes.md)
Wajib: Ya
******
Menentukan jalur file ke file token kuorum yang ditandatangani untuk menyetujui operasi. Hanya diperlukan jika nilai kuorum layanan penggunaan kunci dari kunci pribadi lebih besar dari 1.
******
Menentukan apakah nilai parameter data harus di-hash sebagai bagian dari algoritma penandatanganan. Gunakan `raw` untuk data yang tidak di-hash; gunakan `digest` untuk intisari, yang sudah di-hash.
Nilai valid:
+ mentah
+ mencerna
Wajib: Ya
## Topik terkait
+ [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Hasilkan tanda tangan dengan mekanisme RSA-PKCS di CloudHSM CLI
Gunakan **crypto sign rsa-pkcs** perintah di CloudHSM CLI untuk menghasilkan tanda tangan menggunakan kunci pribadi RSA dan mekanisme penandatanganan RSA-PKCS.
Untuk menggunakan **crypto sign rsa-pkcs** perintah, Anda harus terlebih dahulu memiliki kunci pribadi RSA di AWS CloudHSM cluster Anda. Anda dapat menghasilkan kunci pribadi RSA menggunakan [Hasilkan key pair RSA asimetris dengan CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) perintah dengan `sign` atribut yang disetel ke`true`.
**catatan**
Tanda tangan dapat diverifikasi AWS CloudHSM dengan [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md) subperintah.
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Pengguna Crypto (CUs)
## Persyaratan
+ Untuk menjalankan perintah ini, Anda harus masuk sebagai CU.
## Sintaksis
```
aws-cloudhsm > help crypto sign rsa-pkcs
Sign with the RSA-PKCS mechanism
Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Contoh
Contoh-contoh ini menunjukkan cara menggunakan **crypto sign rsa-pkcs** untuk menghasilkan tanda tangan menggunakan mekanisme penandatanganan RSA-PKCS dan fungsi hash. `SHA256` Perintah ini menggunakan kunci pribadi di HSM.
**Example Contoh: Menghasilkan tanda tangan untuk data dasar 64 yang dikodekan**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
**Example Contoh: Menghasilkan tanda tangan untuk file data**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
******
Data yang dikodekan Base64 untuk ditandatangani.
Wajib: Ya (kecuali disediakan melalui jalur data)
******
Menentukan lokasi data yang akan ditandatangani.
Wajib: Ya (kecuali disediakan melalui data)
******
Menentukan fungsi hash.
Nilai valid:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Wajib: Ya
******
Referensi kunci (misalnya,`key-reference=0xabc`) atau daftar atribut kunci yang dipisahkan spasi dalam bentuk `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` untuk memilih kunci yang cocok.
Untuk daftar atribut kunci CloudHSM CLI yang didukung, lihat Atribut kunci untuk CloudHSM CLI.
Wajib: Ya
******
Menentukan jalur file ke file token kuorum yang ditandatangani untuk menyetujui operasi. Hanya diperlukan jika nilai kuorum layanan penggunaan kunci dari kunci pribadi lebih besar dari 1.
******
Menentukan apakah nilai parameter data harus di-hash sebagai bagian dari algoritma penandatanganan. Gunakan `raw` untuk data yang tidak di-hash; gunakan `digest` untuk intisari, yang sudah di-hash.
[Untuk RSA-PKCS, data harus diteruskan dalam format DER yang dikodekan seperti yang ditentukan dalam RFC 8017, Bagian 9.2](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)
Nilai valid:
+ mentah
+ mencerna
## Topik terkait
+ [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Hasilkan tanda tangan dengan RSA-PKCS-PSS mekanisme di CloudHSM CLI
Gunakan **crypto sign rsa-pkcs-pss** perintah di CloudHSM CLI untuk menghasilkan tanda tangan menggunakan kunci pribadi RSA dan mekanisme penandatanganan. `RSA-PKCS-PSS`
Untuk menggunakan **crypto sign rsa-pkcs-pss** perintah, Anda harus terlebih dahulu memiliki kunci pribadi RSA di AWS CloudHSM cluster Anda. Anda dapat menghasilkan kunci pribadi RSA menggunakan [Hasilkan key pair RSA asimetris dengan CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) perintah dengan `sign` atribut yang disetel ke`true`.
**catatan**
Tanda tangan dapat diverifikasi AWS CloudHSM dengan [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md) subperintah.
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Pengguna Crypto (CUs)
## Persyaratan
+ Untuk menjalankan perintah ini, Anda harus masuk sebagai CU.
## Sintaksis
```
aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism
Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data >
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function [possible values: sha1, sha224, sha256, sha384, sha512]
--data-path The path to the file containing the data to be signed
--data Base64 Encoded data to be signed
--mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length The salt length
--approval Filepath of signed quorum token file to approve operation
--data-type The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help Print help
```
## Contoh
Contoh-contoh ini menunjukkan cara menggunakan **crypto sign rsa-pkcs-pss** untuk menghasilkan tanda tangan menggunakan mekanisme `RSA-PKCS-PSS` penandatanganan dan fungsi `SHA256` hash. Perintah ini menggunakan kunci pribadi di HSM.
**Example Contoh: Menghasilkan tanda tangan untuk data dasar 64 yang dikodekan**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
**Example Contoh: Menghasilkan tanda tangan untuk file data**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
******
Data yang dikodekan Base64 untuk ditandatangani.
Wajib: Ya (kecuali disediakan melalui jalur data)
******
Menentukan lokasi data yang akan ditandatangani.
Wajib: Ya (kecuali disediakan melalui data)
******
Menentukan fungsi hash.
Nilai valid:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Wajib: Ya
******
Referensi kunci (misalnya,`key-reference=0xabc`) atau daftar atribut kunci yang dipisahkan spasi dalam bentuk `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` untuk memilih kunci yang cocok.
Untuk daftar atribut kunci CloudHSM CLI yang didukung, lihat Atribut kunci untuk CloudHSM CLI.
Wajib: Ya
******
Menentukan fungsi pembuatan topeng.
Fungsi hash fungsi pembuatan topeng harus sesuai dengan fungsi hash mekanisme penandatanganan.
Nilai valid:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Wajib: Ya
******
Menentukan panjang garam.
Wajib: Ya
******
Menentukan jalur file ke file token kuorum yang ditandatangani untuk menyetujui operasi. Hanya diperlukan jika nilai kuorum layanan penggunaan kunci dari kunci pribadi lebih besar dari 1.
******
Menentukan apakah nilai parameter data harus di-hash sebagai bagian dari algoritma penandatanganan. Gunakan `raw` untuk data yang tidak di-hash; gunakan `digest` untuk intisari, yang sudah di-hash.
Nilai valid:
+ mentah
+ mencerna
## Topik terkait
+ [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
## Topik terkait
+ [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Kategori verifikasi kripto di CloudHSM CLI
Di CloudHSM **crypto verify** CLI, adalah kategori induk untuk sekelompok perintah yang, bila digabungkan dengan kategori induk, mengonfirmasi apakah file telah ditandatangani oleh kunci yang diberikan. **crypto verify**memiliki subperintah berikut:
+ [kripto verifikasi ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [verifikasi kripto ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [verifikasi kripto rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [verifikasi kripto rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
**crypto verify**Perintah membandingkan file yang ditandatangani dengan file sumber dan menganalisis apakah mereka terkait secara kriptografi berdasarkan kunci publik dan mekanisme penandatanganan yang diberikan.
**catatan**
File dapat masuk AWS CloudHSM dengan [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md) operasi.
# Verifikasi tanda tangan yang ditandatangani dengan mekanisme ECDSA di CloudHSM CLI
Gunakan **crypto verify ecdsa** perintah di CloudHSM CLI untuk menyelesaikan operasi berikut:
+ Konfirmasikan file telah ditandatangani di HSM dengan kunci publik yang diberikan.
+ Verifikasi tanda tangan dihasilkan menggunakan mekanisme penandatanganan ECDSA.
+ Bandingkan file yang ditandatangani dengan file sumber dan tentukan apakah keduanya terkait secara kriptografi berdasarkan kunci publik ecdsa dan mekanisme penandatanganan yang diberikan.
+ Fungsi verifikasi ECDSA mengharapkan tanda tangan dalam format`r||s`, di mana komponen r dan s digabungkan sebagai data biner mentah.
Untuk menggunakan **crypto verify ecdsa** perintah, Anda harus terlebih dahulu memiliki kunci publik EC di AWS CloudHSM cluster Anda. Anda dapat mengimpor kunci publik EC menggunakan [Impor kunci format PEM dengan CloudHSM CLI](cloudhsm_cli-key-import-pem.md) perintah dengan `verify` atribut yang disetel ke`true`.
**catatan**
Anda dapat menghasilkan tanda tangan di CloudHSM CLI [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md) dengan subperintah.
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Pengguna Crypto (CUs)
## Persyaratan
+ Untuk menjalankan perintah ini, Anda harus masuk sebagai CU.
## Sintaksis
```
aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism
Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Contoh
Contoh-contoh ini menunjukkan cara menggunakan **crypto verify ecdsa** untuk memverifikasi tanda tangan yang dihasilkan menggunakan mekanisme penandatanganan ECDSA dan fungsi `SHA256` hash. Perintah ini menggunakan kunci publik di HSM.
**Example Contoh: Verifikasi tanda tangan yang disandikan Base64 dengan data yang disandikan Base64**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Contoh: Verifikasi file tanda tangan dengan file data**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Contoh: Buktikan hubungan penandatanganan palsu**
Perintah ini memverifikasi apakah data yang terletak di `/home/data` ditandatangani oleh kunci publik dengan label `ecdsa-public` menggunakan mekanisme penandatanganan ECDSA untuk menghasilkan tanda tangan yang terletak di. `/home/signature` Karena argumen yang diberikan tidak membentuk hubungan penandatanganan yang benar, perintah mengembalikan pesan kesalahan.
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
******
Data yang dikodekan Base64 untuk ditandatangani.
Wajib: Ya (kecuali disediakan melalui jalur data)
******
Menentukan lokasi data yang akan ditandatangani.
Wajib: Ya (kecuali disediakan melalui jalur data)
******
Menentukan fungsi hash.
Nilai valid:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Wajib: Ya
******
Referensi kunci (misalnya,`key-reference=0xabc`) atau daftar atribut kunci yang dipisahkan spasi dalam bentuk `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` untuk memilih kunci yang cocok.
Untuk daftar atribut kunci CloudHSM CLI yang didukung, lihat Atribut kunci untuk CloudHSM CLI.
Wajib: Ya
******
Tanda tangan yang dikodekan Base64.
Wajib: Ya (kecuali disediakan melalui jalur tanda tangan)
******
Menentukan lokasi tanda tangan.
Wajib: Ya (kecuali disediakan melalui jalur tanda tangan)
******
Menentukan apakah nilai parameter data harus di-hash sebagai bagian dari algoritma penandatanganan. Gunakan `raw` untuk data yang tidak di-hash; gunakan `digest` untuk intisari, yang sudah di-hash.
Nilai valid:
+ mentah
+ mencerna
## Topik terkait
+ [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Verifikasi tanda tangan yang ditandatangani dengan mekanisme HashEd DSA di CloudHSM CLI
**penting**
HashEdOperasi verifikasi tanda tangan DSA hanya didukung pada instans hsm2m.medium dalam mode non-FIPS.
Gunakan **crypto verify ed25519ph** perintah di CloudHSM CLI untuk menyelesaikan operasi berikut:
+ Verifikasi tanda tangan data atau file menggunakan kunci publik Ed25519 yang diberikan.
+ Konfirmasikan tanda tangan dibuat menggunakan mekanisme penandatanganan HashEd DSA. Untuk informasi tambahan tentang HashEd DSA, lihat [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Bagian 7.8.
Untuk menggunakan **crypto verify ed25519ph** perintah, Anda harus terlebih dahulu memiliki kunci publik Ed25519 di cluster Anda. AWS CloudHSM Anda dapat membuat key pair Ed25519 menggunakan [Hasilkan key pair EC asimetris dengan CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) perintah dengan `curve` parameter disetel ke `ed25519` dan `verify` atribut disetel ke`true`, atau mengimpor kunci publik Ed25519 menggunakan [Impor kunci format PEM dengan CloudHSM CLI](cloudhsm_cli-key-import-pem.md) perintah dengan atribut disetel ke. `verify` `true`
**catatan**
Anda dapat menghasilkan tanda tangan di CloudHSM CLI [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md) dengan subperintah.
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Pengguna Crypto (CUs)
## Persyaratan
+ Untuk menjalankan perintah ini, Anda harus masuk sebagai CU.
+ HashEdOperasi verifikasi tanda tangan DSA hanya didukung pada instans hsm2m.medium dalam mode non-FIPS.
## Sintaksis
```
aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism
Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Contoh
Contoh-contoh ini menunjukkan cara menggunakan **crypto verify ed25519ph** untuk memverifikasi tanda tangan yang dihasilkan menggunakan mekanisme penandatanganan ED25519ph dan fungsi hash. `sha512` Perintah ini menggunakan kunci publik Ed25519 di HSM.
**Example Contoh: Verifikasi tanda tangan yang disandikan Base64 dengan data yang disandikan Base64**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data YWJj \
--signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Contoh: Verifikasi file tanda tangan dengan file data**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data-path data.txt \
--signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
******
Data yang dikodekan Base64 untuk diverifikasi.
Wajib: Ya (kecuali disediakan melalui jalur data)
******
Menentukan lokasi data yang akan diverifikasi.
Diperlukan: Ya (kecuali disediakan melalui parameter data)
******
Menentukan fungsi hash. Ed25519ph hanya mendukung. SHA512
Nilai valid:
+ sha512
Wajib: Ya
******
Referensi kunci (misalnya,`key-reference=0xabc`) atau daftar atribut kunci yang dipisahkan spasi dalam bentuk `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` untuk memilih kunci yang cocok.
Untuk daftar atribut kunci CloudHSM CLI yang didukung, lihat. [Atribut kunci untuk CloudHSM CLI](cloudhsm_cli-key-attributes.md)
Wajib: Ya
******
Tanda tangan yang dikodekan Base64.
Wajib: Ya (kecuali disediakan melalui jalur tanda tangan)
******
Menentukan lokasi tanda tangan.
Diperlukan: Ya (kecuali disediakan melalui parameter tanda tangan)
******
Menentukan apakah nilai parameter data harus di-hash sebagai bagian dari algoritma verifikasi. Gunakan `raw` untuk data yang tidak di-hash; gunakan `digest` untuk intisari, yang sudah di-hash.
Nilai valid:
+ mentah
+ mencerna
Wajib: Ya
## Topik terkait
+ [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
+ [Hasilkan tanda tangan dengan mekanisme HashEd DSA di CloudHSM CLI](cloudhsm_cli-crypto-sign-ed25519ph.md)
# Verifikasi tanda tangan yang ditandatangani dengan mekanisme RSA-PKCS di CloudHSM CLI
Gunakan **crypto verify rsa-pkcs** perintah di CloudHSM CLI menyelesaikan operasi berikut:
+ Konfirmasikan file telah ditandatangani di HSM dengan kunci publik yang diberikan.
+ Verifikasi tanda tangan dibuat menggunakan mekanisme `RSA-PKCS` penandatanganan.
+ Bandingkan file yang ditandatangani dengan file sumber dan tentukan apakah keduanya terkait secara kriptografi berdasarkan kunci publik rsa dan mekanisme penandatanganan yang diberikan.
Untuk menggunakan **crypto verify rsa-pkcs** perintah, Anda harus terlebih dahulu memiliki kunci publik RSA di AWS CloudHSM cluster Anda.
**catatan**
Anda dapat membuat tanda tangan menggunakan CloudHSM CLI dengan subperintah. [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Pengguna Crypto (CUs)
## Persyaratan
+ Untuk menjalankan perintah ini, Anda harus masuk sebagai CU.
## Sintaksis
```
aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism
Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Contoh
Contoh-contoh ini menunjukkan cara menggunakan **crypto verify rsa-pkcs** untuk memverifikasi tanda tangan yang dihasilkan menggunakan mekanisme penandatanganan RSA-PKCS dan fungsi hash. `SHA256` Perintah ini menggunakan kunci publik di HSM.
**Example Contoh: Verifikasi tanda tangan yang disandikan Base64 dengan data yang disandikan Base64**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Contoh: Verifikasi file tanda tangan dengan file data**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Contoh: Buktikan hubungan penandatanganan palsu**
Perintah ini memverifikasi apakah data yang tidak valid ditandatangani oleh kunci publik dengan label `rsa-public` menggunakan mekanisme penandatanganan RSAPKCS untuk menghasilkan tanda tangan yang terletak di. `/home/signature` Karena argumen yang diberikan tidak membentuk hubungan penandatanganan yang benar, perintah mengembalikan pesan kesalahan.
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
******
Data yang dikodekan Base64 untuk ditandatangani.
Wajib: Ya (kecuali disediakan melalui jalur data)
******
Menentukan lokasi data yang akan ditandatangani.
Wajib: Ya (kecuali disediakan melalui jalur data)
******
Menentukan fungsi hash.
Nilai valid:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Wajib: Ya
******
Referensi kunci (misalnya,`key-reference=0xabc`) atau daftar atribut kunci yang dipisahkan spasi dalam bentuk `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` untuk memilih kunci yang cocok.
Untuk daftar atribut kunci CloudHSM CLI yang didukung, lihat Atribut kunci untuk CloudHSM CLI.
Wajib: Ya
******
Tanda tangan yang dikodekan Base64.
Wajib: Ya (kecuali disediakan melalui jalur tanda tangan)
******
Menentukan lokasi tanda tangan.
Wajib: Ya (kecuali disediakan melalui jalur tanda tangan)
******
Menentukan apakah nilai parameter data harus di-hash sebagai bagian dari algoritma penandatanganan. Gunakan `raw` untuk data yang tidak di-hash; gunakan `digest` untuk intisari, yang sudah di-hash.
[Untuk RSA-PKCS, data harus diteruskan dalam format DER yang dikodekan seperti yang ditentukan dalam RFC 8017, Bagian 9.2](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)
Nilai valid:
+ mentah
+ mencerna
## Topik terkait
+ [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Verifikasi tanda tangan yang ditandatangani dengan RSA-PKCS-PSS mekanisme di CloudHSM CLI
Gunakan **crypto sign rsa-pkcs-pss** perintah di CloudHSM CLI untuk menyelesaikan operasi berikut.
+ Konfirmasikan file telah ditandatangani di HSM dengan kunci publik yang diberikan.
+ Verifikasi tanda tangan dibuat menggunakan mekanisme RSA-PKCS-PSS penandatanganan.
+ Bandingkan file yang ditandatangani dengan file sumber dan tentukan apakah keduanya terkait secara kriptografi berdasarkan kunci publik rsa dan mekanisme penandatanganan yang diberikan.
Untuk menggunakan **crypto verify rsa-pkcs-pss** perintah, Anda harus terlebih dahulu memiliki kunci publik RSA di AWS CloudHSM cluster Anda. Anda dapat mengimpor kunci publik RSA menggunakan perintah key import pem ADD UNWRAP LINK HERE) dengan `verify` atribut yang disetel ke. `true`
**catatan**
Anda dapat membuat tanda tangan menggunakan CloudHSM CLI dengan subperintah. [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Pengguna Crypto (CUs)
## Persyaratan
+ Untuk menjalankan perintah ini, Anda harus masuk sebagai CU.
## Sintaksis
```
aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism
Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--mgf
The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length
The salt length
-h, --help
Print help
```
## Contoh
Contoh-contoh ini menunjukkan cara menggunakan **crypto verify rsa-pkcs-pss** untuk memverifikasi tanda tangan yang dihasilkan menggunakan mekanisme RSA-PKCS-PSS penandatanganan dan fungsi `SHA256` hash. Perintah ini menggunakan kunci publik di HSM.
**Example Contoh: Verifikasi tanda tangan yang disandikan Base64 dengan data yang disandikan Base64**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Contoh: Verifikasi file tanda tangan dengan file data**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Contoh: Buktikan hubungan penandatanganan palsu**
Perintah ini memverifikasi apakah data yang tidak valid ditandatangani oleh kunci publik dengan label `rsa-public` menggunakan mekanisme penandatanganan RSAPKCSPSS untuk menghasilkan tanda tangan yang terletak di. `/home/signature` Karena argumen yang diberikan tidak membentuk hubungan penandatanganan yang benar, perintah mengembalikan pesan kesalahan.
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
******
Data yang dikodekan Base64 untuk ditandatangani.
Wajib: Ya (kecuali disediakan melalui jalur data)
******
Menentukan lokasi data yang akan ditandatangani.
Wajib: Ya (kecuali disediakan melalui jalur data)
******
Menentukan fungsi hash.
Nilai valid:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Wajib: Ya
******
Referensi kunci (misalnya,`key-reference=0xabc`) atau daftar atribut kunci yang dipisahkan spasi dalam bentuk `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` untuk memilih kunci yang cocok.
Untuk daftar atribut kunci CloudHSM CLI yang didukung, lihat Atribut kunci untuk CloudHSM CLI.
Wajib: Ya
******
Menentukan fungsi pembuatan topeng.
Fungsi hash fungsi pembuatan topeng harus sesuai dengan fungsi hash mekanisme penandatanganan.
Nilai valid:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Wajib: Ya
******
Tanda tangan yang dikodekan Base64.
Wajib: Ya (kecuali disediakan melalui jalur tanda tangan)
******
Menentukan lokasi tanda tangan.
Wajib: Ya (kecuali disediakan melalui jalur tanda tangan)
******
Menentukan apakah nilai parameter data harus di-hash sebagai bagian dari algoritma penandatanganan. Gunakan `raw` untuk data yang tidak di-hash; gunakan `digest` untuk intisari, yang sudah di-hash.
Nilai valid:
+ mentah
+ mencerna
## Topik terkait
+ [Kategori tanda kripto di CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Kategori verifikasi kripto di CloudHSM CLI](cloudhsm_cli-crypto-verify.md)
# Kategori kunci dalam CloudHSM CLI
Dalam CloudHSM **key** CLI, adalah kategori induk untuk sekelompok perintah yang, ketika dikombinasikan dengan kategori induk, membuat perintah khusus untuk kunci. Saat ini, kategori ini terdiri dari perintah berikut:
+ [hapus](cloudhsm_cli-key-delete.md)
+ [menghasilkan file](cloudhsm_cli-key-generate-file.md)
+ [kunci generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [kunci generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
+ [kunci generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [kunci menghasilkan-simetris](cloudhsm_cli-key-generate-symmetric.md)
+ [kunci menghasilkan aes simetris](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [kunci menghasilkan rahasia-generik simetris](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [impor pem](cloudhsm_cli-key-import-pem.md)
+ [daftar](cloudhsm_cli-key-list.md)
+ [mereplikasi](cloudhsm_cli-key-replicate.md)
+ [set-atribut](cloudhsm_cli-key-set-attribute.md)
+ [berbagi](cloudhsm_cli-key-share.md)
+ [unshare](cloudhsm_cli-key-unshare.md)
+ [membuka bungkusnya](cloudhsm_cli-key-unwrap.md)
+ [bungkus](cloudhsm_cli-key-wrap.md)
# Hapus kunci dengan CloudHSM CLI
Gunakan **key delete** perintah di CloudHSM CLI untuk menghapus kunci dari cluster. AWS CloudHSM Anda hanya dapat menghapus satu item dalam satu waktu. Menghapus satu kunci pada pasangan kunci tidak berpengaruh pada kunci lainnya pada pasangan.
Hanya CU yang membuat kunci dan akibatnya memilikinya yang dapat menghapus kunci. Pengguna yang berbagi kunci, tetapi tidak memilikinya, dapat menggunakan kunci dalam operasi kriptografi, tetapi tidak dapat menghapusnya.
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Pengguna Crypto (CUs)
## Persyaratan
+ Untuk menjalankan perintah ini, Anda harus masuk sebagai CU.
## Sintaksis
```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster
Usage: key delete [OPTIONS] --filter [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for deletion
-h, --help Print help
```
## Contoh
```
aws-cloudhsm > key delete --filter attr.label="ec-test-public-key"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
******
Referensi kunci (misalnya,`key-reference=0xabc`) atau daftar atribut kunci yang dipisahkan spasi dalam bentuk `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` untuk memilih kunci yang cocok untuk dihapus.
Untuk daftar atribut kunci CloudHSM CLI yang didukung, lihat [Atribut kunci untuk CloudHSM CLI](cloudhsm_cli-key-attributes.md)
Wajib: Ya
## Topik terkait
+ [Daftar kunci untuk pengguna dengan CloudHSM CLI](cloudhsm_cli-key-list.md)
+ [Ekspor kunci asimetris dengan CloudHSM CLI](cloudhsm_cli-key-generate-file.md)
+ [Hapus berbagi kunci menggunakan CloudHSM CLI](cloudhsm_cli-key-unshare.md)
+ [Atribut kunci untuk CloudHSM CLI](cloudhsm_cli-key-attributes.md)
+ [Tombol filter menggunakan CloudHSM CLI](manage-keys-cloudhsm-cli-filtering.md)
# Ekspor kunci asimetris dengan CloudHSM CLI
Gunakan **key generate-file** perintah di CloudHSM CLI untuk mengekspor kunci asimetris dari modul keamanan perangkat keras (HSM). Jika targetnya adalah kunci pribadi, maka referensi ke kunci pribadi akan diekspor dalam format PEM palsu. Jika targetnya adalah kunci publik, maka byte kunci publik akan diekspor dalam format PEM.
File PEM palsu, yang tidak berisi materi kunci pribadi yang sebenarnya tetapi merujuk kunci pribadi di HSM, dapat digunakan untuk membuat SSL/TLS pembongkaran dari server web Anda ke. AWS CloudHSM Untuk informasi lebih lanjut, lihat pembongkaran [SSL/TLS](ssl-offload.md).
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Pengguna Crypto (CUs)
## Persyaratan
Untuk menjalankan perintah ini, Anda harus masuk sebagai CU.
## Sintaksis
```
aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
--path
Filepath where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
-h, --help
Print help (see a summary with '-h')
```
## Contoh
Contoh ini menunjukkan cara menggunakan **key generate-file** untuk menghasilkan file kunci di AWS CloudHSM cluster Anda.
**Example**
```
aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## Pendapat
******
ID cluster untuk menjalankan operasi ini pada.
Wajib: Jika beberapa cluster telah [dikonfigurasi](cloudhsm_cli-configs-multi-cluster.md).
******
Referensi kunci (misalnya,`key-reference=0xabc`) atau daftar atribut kunci yang dipisahkan spasi dalam bentuk `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` untuk memilih kunci yang cocok untuk dihapus.
Untuk daftar atribut kunci CloudHSM CLI yang didukung, lihat [Atribut kunci untuk CloudHSM CLI](cloudhsm_cli-key-attributes.md)
Wajib: Tidak
******
Menentukan format encoding untuk file kunci
Wajib: Ya
******
Menentukan path file di mana file kunci akan ditulis
Wajib: Ya
## Menghasilkan referensi kunci KSP (Windows)
**catatan**
Fitur ini hanya ada di SDK versi 5.16.0 dan yang lebih baru.
### Prasyarat
+ Anda dapat menghasilkan referensi kunci KSP hanya pada platform Windows.
+ Anda harus masuk sebagai pengguna kripto (CU).
### Lokasi berkas
Secara default, AWS CloudHSM menyimpan file yang dihasilkan di: `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition`
Untuk menentukan lokasi yang berbeda, gunakan `--path` parameter.
### Sintaksis
```
aws-cloudhsm > help key generate-file --encoding ksp-key-reference
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
- ksp-key-reference: KSP key reference format
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided with multiple clusters configured, will error
--path
Directory path where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
--all
Generate ksp key reference for all available key pairs in HSM
-h, --help
Print help (see a summary with '-h')
```
### Contoh - Menghasilkan referensi kunci KSP menggunakan filter atribut dari kunci pribadi
Contoh berikut menghasilkan referensi kunci KSP untuk kunci pribadi dengan label tertentu.
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --path --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
### Contoh - Menghasilkan referensi kunci KSP untuk semua pasangan kunci
Contoh berikut menghasilkan referensi kunci KSP untuk semua pasangan kunci di cluster Anda.
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --all
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## Topik terkait
+ [Atribut kunci untuk CloudHSM CLI](cloudhsm_cli-key-attributes.md)
+ [Tombol filter menggunakan CloudHSM CLI](manage-keys-cloudhsm-cli-filtering.md)
+ [generate-asymmetric-pairKategori di CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [Kategori generate-simetris di CloudHSM CLI](cloudhsm_cli-key-generate-symmetric.md)
# generate-asymmetric-pairKategori di CloudHSM CLI
Dalam CloudHSM **key generate-asymmetric-pair** CLI, adalah kategori induk untuk sekelompok perintah yang, ketika dikombinasikan dengan kategori induk, membuat perintah yang menghasilkan pasangan kunci asimetris. Saat ini, kategori ini terdiri dari perintah berikut:
+ [kunci generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [kunci generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# Hasilkan key pair EC asimetris dengan CloudHSM CLI
Gunakan **key asymmetric-pair ec** perintah di CloudHSM CLI untuk menghasilkan key pair elliptic-curve (EC) asimetris di cluster Anda. AWS CloudHSM
## Jenis pengguna
Jenis pengguna berikut dapat menjalankan perintah ini.
+ Pengguna Crypto (CUs)
## Persyaratan
Untuk menjalankan perintah ini, Anda harus masuk sebagai CU.
## Sintaksis
```
aws-cloudhsm > help key generate-asymmetric-pair ec
Generate an Elliptic-Curve Cryptography (ECC) key pair
Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label --private-label --curve
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--public-label
Label for the public key
--private-label
Label for the private key
--session
Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
--curve
Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1, ed25519]
--public-attributes [...]
Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--private-attributes [...]
Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--share-crypto-users [...]
Space separated list of Crypto User usernames to share the EC private key with
--manage-private-key-quorum-value
The quorum value for key management operations for the private key
--use-private-key-quorum-value