Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Ekspor AWS CloudHSM kunci pribadi menggunakan KMU
Gunakan exportPrivateKey perintah di AWS CloudHSM key_mgmt_util untuk mengekspor kunci pribadi asimetris dari modul keamanan perangkat keras () ke file. HSM HSMItu tidak mengizinkan ekspor langsung kunci dalam cleartext. Perintah membungkus kunci pribadi menggunakan kunci AES pembungkus yang Anda tentukan, mendekripsi byte yang dibungkus, dan menyalin kunci privat cleartext ke file.
exportPrivateKeyPerintah tidak menghapus kunci dariHSM, mengubah atribut kuncinya, atau mencegah Anda menggunakan kunci dalam operasi kriptografi lebih lanjut. Anda dapat mengekspor kunci yang sama beberapa kali.
Anda hanya dapat mengekspor kunci privat yang memiliki atribut OBJ_ATTR_EXTRACTABLE
bernilai 1
. Anda harus menentukan kunci AES pembungkus yang memiliki OBJ_ATTR_WRAP
dan OBJ_ATTR_DECRYPT
atribut nilai1
. Untuk menemukan atribut kunci, gunakan perintah getAttribute.
Sintaks
exportPrivateKey -h exportPrivateKey -k
<private-key-handle
-w<wrapping-key-handle>
-out<key-file>
[-m<wrapping-mechanism>
] [-wk<wrapping-key-file>
]
Contoh
Contoh ini menunjukkan cara menggunakan exportPrivateKey untuk mengekspor kunci pribadi dari fileHSM.
contoh : Ekspor kunci pribadi
Perintah ini mengekspor kunci pribadi dengan pegangan 15
menggunakan kunci pembungkus dengan pegangan 16
ke PEM file yang disebut. exportKey.pem
Ketika perintah berhasil, exportPrivateKey mengembalikan pesan sukses.
Command:
exportPrivateKey -k 15 -w 16 -out exportKey.pem
Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS PEM formatted private key is written to exportKey.pem
Parameter
Perintah ini membawa parameter berikut.
-h
-
Menampilkan bantuan baris perintah untuk perintah.
Wajib: Ya
-k
-
Menentukan handel kunci dari kunci privat yang akan diekspor.
Wajib: Ya
-w
-
Menentukan handel kunci dari kunci pembungkus. Parameter ini diperlukan. Untuk menemukan handel kunci, gunakan perintah findKey.
Untuk menentukan apakah kunci dapat digunakan sebagai kunci pembungkus, gunakan getAttribute untuk mendapatkan nilai dari atribut
OBJ_ATTR_WRAP
(262). Untuk membuat kunci pembungkus, gunakan genSymKeyuntuk membuat AES kunci (tipe 31).Jika Anda menggunakan parameter
-wk
untuk menentukan kunci pembuka pembungkus eksternal, kunci pembungkus-w
digunakan untuk membungkus, tapi tidak membuka, kunci selama ekspor.Wajib: Ya
-out
-
Menentukan nama file tempat kunci privat yang diekspor akan ditulis.
Wajib: Ya
-m
-
Menentukan mekanisme pembungkus yang digunakan untuk membungkus kunci privat yang diekspor. Satu-satunya nilai yang valid adalah
4
, yang mewakiliNIST_AES_WRAP mechanism.
Default: 4 (
NIST_AES_WRAP
)Wajib: Tidak
-wk
-
Menentukan kunci yang akan digunakan untuk membuka kunci yang diekspor. Masukkan path dan nama file yang berisi kunci plaintextAES.
Bila Anda menyertakan parameter ini, exportPrivateKey menggunakan kunci dalam file
-w
untuk membungkus kunci yang diekspor dan menggunakan kunci yang ditentukan oleh parameter-wk
untuk membukanya.Default: Gunakan kunci pembungkus yang ditentukan dalam parameter
-w
untuk membungkus dan membuka.Wajib: Tidak