Buat AWS CloudHSM kunci baru dengan keytool

Anda dapat menggunakan keytool untuk menghasilkan RSA, AES, dan DESede jenis kunci yang didukung oleh JCE SDK AWS CloudHSM .

Kami sangat menyarankan untuk membuat bukti kunci non-ekspor di luar keytool, dan kemudian mengimpor sertifikat yang sesuai ke penyimpanan kunci. Jika Anda menggunakan kunci RSA atau EC yang dapat diekstraksi melalui keytool dan Jarsigner, penyedia mengekspor kunci dari AWS CloudHSM dan kemudian menggunakan kunci secara lokal untuk operasi penandatanganan.

Jika Anda memiliki beberapa instance klien yang terhubung ke AWS CloudHSM klaster Anda, ketahuilah bahwa mengimpor sertifikat di penyimpanan kunci satu instans klien tidak akan secara otomatis membuat sertifikat tersedia pada instance klien lainnya. Untuk mendaftarkan kunci dan sertifikat terkait pada setiap instance klien, Anda perlu menjalankan aplikasi Java seperti yang dijelaskan dalamMenghasilkan AWS CloudHSM CSR menggunakan keytool. Atau, Anda dapat membuat perubahan yang diperlukan pada satu klien dan menyalin file penyimpanan kunci yang dihasilkan untuk setiap instans klien lainnya.

Contoh 1: Untuk menghasilkan kunci AES-256 simetris dan menyimpannya dalam file penyimpanan kunci bernama, “example_keystore.store”, di direktori kerja. Ganti <secret label> dengan label unik.

$ keytool -genseckey -alias <secret label> -keyalg aes \
	-keysize 256 -keystore example_keystore.store \
	-storetype CloudHSM -J-classpath '-J/opt/cloudhsm/java/*' \	

Contoh 2: Untuk menghasilkan key pair RSA 2048 dan menyimpannya dalam file key store bernama, “example_keystore.store” di direktori kerja. Ganti <RSA key pair label> dengan label unik.

$ keytool -genkeypair -alias <RSA key pair label> \
	-keyalg rsa -keysize 2048 \
	-sigalg sha512withrsa \
	-keystore example_keystore.store \
	-storetype CLOUDHSM \
	-J-classpath '-J/opt/cloudhsm/java/*'

Anda dapat menemukan daftar algoritme tanda tangan yang didukung di pustaka Java.