기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
keytool을 사용하여 AWS CloudHSM JCE SDK에서 지원하는 RSA, AES 및 DESede 유형의 키를 생성할 수 있습니다.
중요
keytool을 통해 생성된 키는 소프트웨어에서 생성된 다음 추출 가능한 영구 키 AWS CloudHSM 로 로 가져옵니다.
Keytool 외부에서 내보낼 수 없는 키를 생성한 다음 해당 인증서를 키 스토어로 가져오는 것이 좋습니다. keytool 및 Jarsigner를 통해 추출 가능한 RSA 또는 EC 키를 사용하는 경우 공급자는에서 키를 내보낸 AWS CloudHSM 다음 서명 작업에 로컬로 키를 사용합니다.
AWS CloudHSM 클러스터에 연결된 클라이언트 인스턴스가 여러 개 있는 경우 한 클라이언트 인스턴스의 키 스토어에서 인증서를 가져오면 다른 클라이언트 인스턴스에서 인증서를 자동으로 사용할 수 없게 되지 않는다는 점에 유의하세요. 각 클라이언트 인스턴스에서 키 및 관련 인증서를 등록하려면 keytool을 사용하여 AWS CloudHSM CSR 생성에서 설명한 대로 Java 애플리케이션을 실행해야 합니다. 또는, 한 클라이언트에서 필요한 사항을 변경하고 결과 키 스토어 파일을 다른 모든 클라이언트 인스턴스에 복사할 수 있습니다.
예제 1: 대칭 AES-256 키를 생성하고 작업 디렉터리의 "example_keystore.store"라는 키 스토어 파일에 저장합니다. <secret label>을 고유한 레이블로 바꿉니다.
$keytool -genseckey -alias<secret label>-keyalg aes \ -keysize 256 -keystore example_keystore.store \ -storetype CloudHSM -J-classpath '-J/opt/cloudhsm/java/*' \
예제 2: RSA 2048 키 페어를 생성하여 작업 디렉터리의 "example_keystore.store"라는 키 스토어 파일에 저장하려면 <RSA key pair label>고유 라벨로 교체하십시오.
$keytool -genkeypair -alias<RSA key pair label>\ -keyalg rsa -keysize 2048 \ -sigalg sha512withrsa \ -keystore example_keystore.store \ -storetype CLOUDHSM \ -J-classpath '-J/opt/cloudhsm/java/*'
Java 라이브러리에서 지원되는 서명 알고리즘의 목록을 찾을 수 있습니다.
