Impor kunci pribadi menggunakan AWS CloudHSM KMU - AWS CloudHSM
SintaksContohParameterTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Impor kunci pribadi menggunakan AWS CloudHSM KMU

Gunakan importPrivateKey perintah di AWS CloudHSM key_mgmt_util untuk mengimpor kunci pribadi asimetris dari file ke modul keamanan perangkat keras (). HSM HSMItu tidak mengizinkan impor langsung kunci dalam cleartext. Perintah mengenkripsi kunci pribadi menggunakan kunci AES pembungkus yang Anda tentukan dan membuka kunci di dalam. HSM Jika Anda mencoba mengaitkan AWS CloudHSM kunci dengan sertifikat, lihat topik ini.

catatan

Anda tidak dapat mengimpor kunci yang dilindungi kata sandi menggunakan PEM kunci simetris atau pribadi.

Anda harus menentukan kunci AES pembungkus yang memiliki OBJ_ATTR_UNWRAP dan nilai OBJ_ATTR_ENCRYPT 1 atribut. Untuk menemukan atribut kunci, gunakan perintah getAttribute.

catatan

Perintah ini tidak menawarkan pilihan untuk menandai kunci yang diimpor sebagai tidak dapat ekspor.

Sebelum Anda menjalankan perintah key_mgmt_util, Anda harus memulai key_mgmt_util dan masuk ke as a crypto user (CU). HSM

Sintaks

importPrivateKey -h

importPrivateKey -l <label>
                 -f <key-file>
                 -w <wrapping-key-handle>
                 [-sess]
                 [-id <key-id>]
                 [-m_value <0...8>]
                 [min_srv <minimum-number-of-servers>]
                 [-timeout <number-of-seconds>]
                 [-u <user-ids>]
                 [-wk <wrapping-key-file>]
                 [-attest]

Contoh

Contoh ini menunjukkan cara menggunakan importPrivateKey untuk mengimpor kunci pribadi ke dalamHSM.

contoh : Impor kunci pribadi

Perintah ini mengimpor kunci privat dari sebuah file bernama rsa2048.key dengan label rsa2048-imported dan kunci pembungkus dengan handel 524299. Ketika perintah berhasil, importPrivateKey mengembalikan handel kunci untuk kunci yang diimpor dan pesan sukses.

Command: importPrivateKey -f rsa2048.key -l rsa2048-imported -w 524299

BER encoded key length is 1216

Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS

Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS

Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS

Private Key Unwrapped.  Key Handle: 524301

Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

Parameter

Perintah ini membawa parameter berikut.

-h

Menampilkan bantuan baris perintah untuk perintah.

Wajib: Ya

-l

Menentukan label kunci privat yang ditetapkan pengguna.

Wajib: Ya

-f

Menentukan nama file kunci untuk diimpor.

Wajib: Ya

-w

Menentukan handel kunci dari kunci pembungkus. Parameter ini diperlukan. Untuk menemukan handel kunci, gunakan perintah findKey.

Untuk menentukan apakah kunci dapat digunakan sebagai kunci pembungkus, gunakan getAttribute untuk mendapatkan nilai dari atribut OBJ_ATTR_WRAP (262). Untuk membuat kunci pembungkus, gunakan genSymKeyuntuk membuat AES kunci (tipe 31).

Jika Anda menggunakan parameter -wk untuk menentukan kunci pembuka bungkus eksternal, kunci pembungkus -w digunakan untuk membungkus, tapi tidak membuka, kunci selama impor.

Wajib: Ya

-sess

Menentukan kunci diimpor sebagai kunci sesi.

Default: Kunci yang diimpor disimpan sebagai kunci persisten (token) di klaster.

Wajib: Tidak

-id

Menentukan ID kunci yang akan diimpor.

Default: Tidak ada nilai ID.

Wajib: Tidak

-m_value

Menentukan jumlah pengguna yang harus menyetujui operasi kriptografi yang menggunakan kunci impor. Masukkan nilai dari 0 sampai 8.

Parameter ini hanya valid jika parameter -u dalam perintah membagikan kunci dengan cukup pengguna untuk memenuhi persyaratan m_value.

Default: 0

Wajib: Tidak

-min_srv

Menentukan jumlah minimum HSMs di mana kunci impor disinkronkan sebelum nilai -timeout parameter berakhir. Jika kunci tidak disinkronkan ke jumlah tertentu server dalam waktu yang ditentukan, kunci tidak dibuat.

AWS CloudHSM secara otomatis menyinkronkan setiap kunci ke setiap HSM di cluster. Untuk mempercepat proses Anda, tetapkan nilai kurang dari jumlah HSMs di cluster dan tetapkan nilai batas waktu yang rendah. min_srv Namun, perhatikan bahwa beberapa permintaan mungkin tidak menghasilkan kunci.

Default: 1

Wajib: Tidak

-timout

Menentukan jumlah detik untuk menunggu kunci untuk disinkronkan HSMs ketika min-serv parameter disertakan. Jika tidak ada nomor yang ditentukan, polling berlanjut selamanya.

Default: Tanpa batas

Wajib: Tidak

-u

Menentukan daftar pengguna dengan siapa berbagi kunci privat yang diimpor. Parameter ini memberikan izin kepada pengguna HSM kripto lainnya (CUs) untuk menggunakan kunci yang diimpor dalam operasi kriptografi.

Masukkan daftar HSM pengguna yang dipisahkan komaIDs, seperti. -u 5,6 Jangan sertakan ID HSM pengguna pengguna saat ini. Untuk menemukan HSM pengguna IDs CUs diHSM, gunakan listUsers.

Default: Hanya pengguna saat ini dapat menggunakan kunci privat.

Wajib: Tidak

-wk

Menentukan kunci yang akan digunakan untuk membungkus kunci yang sedang diimpor. Masukkan path dan nama file yang berisi kunci plaintextAES.

Bila Anda menyertakan parameter ini, importPrivateKey menggunakan kunci dalam file -wk untuk membungkus kunci yang sedang diimpor. Parameter ini juga menggunakan kunci yang ditentukan oleh parameter -w untuk membukanya.

Default: Gunakan kunci pembungkus yang ditentukan dalam parameter -w untuk membungkus dan membuka.

Wajib: Tidak

-attest

Melakukan pemeriksaan pengesahan pada respons firmware untuk memastikan bahwa firmware tempat klaster berjalan belum disisipi.

Wajib: Tidak

Topik terkait