Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
importPrivateKey
Il comando importPrivateKey in key_mgmt_util importa una chiave privata asimmetrica da un file in un HSM. L'HSM non consente l'importazione diretta di chiavi in formato cleartext. Il comando crittografa la chiave privata utilizzando una chiave di wrapping AES specificata dall'utente e decrittografa la chiave all'interno dell'HSM. Se stai cercando di associare una chiave AWS CloudHSM con un certificato, fai riferimento a questo argomento.
Nota
Non è possibile importare una chiave PEM protetta da password utilizzando una chiave simmetrica o privata.
Bisogna specificare una chiave di wrapping AES con un valore di attributo 1
OBJ_ATTR_UNWRAP
e OBJ_ATTR_ENCRYPT
. Per trovare gli attributi della chiave, utilizzare il comando getAttribute.
Nota
Questo comando non offre la possibilità di contrassegnare la chiave importata come non esportabile.
Prima di eseguire un comando key_mgmt_util, devi avviare key_mgmt_util e accedere a HSM come crypto user (CU).
Sintassi
importPrivateKey -h importPrivateKey -l
<label>
-f<key-file>
-w<wrapping-key-handle>
[-sess] [-id<key-id>
] [-m_value<0...8>
] [min_srv<minimum-number-of-servers>
] [-timeout<number-of-seconds>
] [-u<user-ids>
] [-wk<wrapping-key-file>
] [-attest]
Esempi
Questo esempio illustra come utilizzare importPrivateKey per importare una chiave privata in un HSM.
Esempio : Importare una chiave privata
Questo comando importa la chiave privata da un file denominato rsa2048.key
con l'etichetta rsa2048-imported
e una chiave di wrapping con handle 524299
. Quando il comando viene completato, importPrivateKey restituisce un'handle della chiave per la chiave importata e un messaggio di successo.
Command:
importPrivateKey -f rsa2048.key -l rsa2048-imported -w 524299
BER encoded key length is 1216 Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS Private Key Unwrapped. Key Handle: 524301 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Node id 1 and err state 0x00000000 : HSM Return: SUCCESS Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
Parametri
Questo comando accetta i parametri seguenti.
-h
-
Visualizza il testo di aiuto della riga di comando per il comando.
Campo obbligatorio: sì
-l
-
Specifica un'etichetta definita dall'utente per la chiave privata.
Campo obbligatorio: sì
-f
-
Specifica il nome del file della chiave da importare.
Campo obbligatorio: sì
-w
-
Specifica l'handle di chiave di una chiave di wrapping. Questo parametro è obbligatorio. Per trovare le handle della chiave, utilizzare il comando findKey.
Per determinare se una chiave può essere utilizzata come chiave di wrapping, utilizzare getAttribute per ottenere il valore dell'attributo
OBJ_ATTR_WRAP
(262). Per creare una chiave di wrapping, utilizzare genSymKey per creare una chiave AES (digitare 31).Se utilizzi il parametro
-wk
per specificare una chiave di unwrapping esterna, la chiave di wrapping-w
viene utilizzata per eseguire il wrapping della chiave durante l'importazione, ma non per annullarlo.Campo obbligatorio: sì
-sess
-
Specifica la chiave importata come una chiave di sessione.
Impostazione predefinita: la chiave importata è detenuta come persistente (token) nel cluster.
Campo obbligatorio: no
-id
-
Specifica l'ID della chiave da importare.
Impostazione predefinita: nessun valore dell'ID.
Campo obbligatorio: no
-m_value
-
Specifica il numero di utenti che devono approvare le operazioni di cifratura che utilizzano la chiave importata. Inserire un valore da
0
a8
.Questo parametro è valido soltanto quando il parametro
-u
nel comando condivide la chiave con un numero sufficiente di utenti per soddisfare il requisitom_value
.Di default: 0
Campo obbligatorio: no
-min_srv
-
Specifica il numero minimo di HSM su cui la chiave importata è sincronizzata prima che il valore del parametro
-timeout
scada. Se la chiave non è sincronizzata sul numero di server specificato nel tempo allocato, non viene creato.AWS CloudHSM sincronizza automaticamente ogni chiave su ogni HSM nel cluster. Per velocizzare il processo, imposta il valore di
min_srv
su un numero inferiore di HSM nel cluster e imposta un valore di timeout basso. Tuttavia, alcune richieste potrebbero non generare una chiave.Impostazione predefinita: 1
Campo obbligatorio: no
-timout
-
Specifica il numero di secondi di attesa per la sincronizzazione della chiave tra HSM quando viene incluso il parametro
min-serv
. Se non viene specificato un numero, il polling prosegue in eterno.Impostazione predefinita: nessun limite
Campo obbligatorio: no
-u
-
Specifica l'elenco degli utenti con cui condividere la chiave privata importata. Questo parametro fornisce agli altri utenti crittografici HSM (crypto user, CU) l'autorizzazione per utilizzare la chiave importata nelle operazioni di cifratura.
Inserire un elenco separato da virgole degli ID utente HSM, come
-u 5,6
. Non includere l'ID utente HSM dell'utente attuale. Per trovare gli ID utente HSM dei CU su HSM, utilizzare listUsers.Impostazione predefinita: soltanto l'utente attuale può utilizzare la chiave importata.
Campo obbligatorio: no
-wk
-
Specifica la chiave da utilizzare per eseguire il wrapping della chiave importata. Inserire il percorso e il nome di un file che contiene una chiave AES non crittografata.
Quando si include questo parametro, importPrivateKey utilizza la chiave nel file
-wk
per eseguire il wrapping della chiave importata. Utilizza inoltre la chiave specificata dal parametro-w
per annullare il wrapping.Default: Utilizza il codice di wrapping specificato nel parametro
-w
per eseguire il wrapping e per annullarlo.Campo obbligatorio: no
-attest
-
Esegue un controllo di attestazione sulla risposta firmware per assicurare che il firmware su cui viene eseguito il cluster non è stata compromesso.
Campo obbligatorio: no