选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

使用 CloudHSM CLI 生成非对称密钥

PDF
RSS
聚焦模式
使用 CloudHSM CLI 生成非对称密钥 - AWS CloudHSM
生成 RSA 密钥

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用中列出的命令CloudHSM CLI 中的 generate-asymmetric-pair类别为 AWS CloudHSM 集群生成非对称密钥对。

生成 RSA 密钥

使用 key generate-asymmetric-pair rsa 命令生成 RSA 密钥对。要查看所有可用的选项,请使用 help key generate-asymmetric-pair rsa 命令。

以下示例生成 RSA 2048 位密钥对。

aws-cloudhsm > key generate-asymmetric-pair rsa \
    --public-exponent 65537 \
    --modulus-size-bits 2048 \
    --public-label rsa-public-example \
    --private-label rsa-private-example

参数

<PUBLIC_LABEL>

为公有密钥指定用户定义的标签。

必需:是

<PRIVATE_LABEL>

为私有密钥指定用户定义的标签。

必需:是

<MODULUS_SIZE_BITS>

指定模数的长度 (以位为单位)。最小值为 2048。

必需:是

<PUBLIC_EXPONENT>

指定公有指数。此值必须为大于或等于 65537 的奇数。

必需:是

<PUBLIC_KEY_ATTRIBUTES>

指定一个以空格分隔的密钥属性列表,以 KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE(例如 sign=true)的形式为生成的 RSA 公有密钥进行设置。

有关支持的 AWS CloudHSM 密钥属性的列表,请参阅CloudHSM CLI 的密钥属性

必需:否

<SESSION>

创建仅在当前会话中存在的密钥。会话结束后,密钥无法恢复。如果您只需要一个短暂的密钥,例如用于加密然后快速解密另一个密钥的包装密钥,请使用此参数。对于会话结束后可能需要解密的加密数据,切勿使用会话密钥。

要将会话密钥更改为永久(令牌)密钥,请使用 key set-attribute

默认情况下,生成密钥时,它们是永久密钥/令牌密钥。使用<SESSION>更改此设置,确保使用此参数生成的密钥是会话/临时密钥

必需:否

生成 EC (椭圆曲线加密) 密钥对

使用 key generate-asymmetric-pair ec 命令生成 EC 密钥对。要查看所有可用选项(包括受支持的椭圆曲线的列表),请使用 help key generate-asymmetric-pair ec 命令。

以下示例使用 Secp384r1 椭圆曲线生成一个 EC 密钥对。

aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp384r1 \
    --public-label ec-public-example \
    --private-label ec-private-example

参数

<PUBLIC_LABEL>

为公有密钥指定用户定义的标签。对于 Client SDK 5.11 及更高版本,label 允许的最大大小为 127 个字符。Client SDK 5.10 及更低版本的字符数限制为 126 个。

必需:是

<PRIVATE_LABEL>

为私有密钥指定用户定义的标签。对于 Client SDK 5.11 及更高版本,label 允许的最大大小为 127 个字符。Client SDK 5.10 及更低版本的字符数限制为 126 个。

必需:是

<CURVE>

指定椭圆曲线的标识符。

有效值:

  • prime256v1

  • secp256r1

  • secp224r1

  • secp384r1

  • secp256k1

  • secp521r1

必需:是

<PUBLIC_KEY_ATTRIBUTES>

KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE(例如 verify=true)的形式指定要为生成的 EC 公有密钥设置的以空格分隔的密钥属性列表。

有关支持的 AWS CloudHSM 密钥属性的列表,请参阅CloudHSM CLI 的密钥属性

必需:否

<PRIVATE_KEY_ATTRIBUTES>

KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE(例如 sign=true)的形式指定要为生成的 EC 私有密钥设置的以空格分隔的密钥属性列表。

有关支持的 AWS CloudHSM 密钥属性的列表,请参阅CloudHSM CLI 的密钥属性

必需:否

<SESSION>

创建仅在当前会话中存在的密钥。会话结束后,密钥无法恢复。如果您只需要一个短暂的密钥,例如用于加密然后快速解密另一个密钥的包装密钥,请使用此参数。对于会话结束后可能需要解密的加密数据,切勿使用会话密钥。

要将会话密钥更改为永久(令牌)密钥,请使用 key set-attribute

默认情况下,生成的密钥是永久(令牌)密钥。传入 <SESSION> 会改变这一点,确保使用此参数生成的密钥是会话(临时)密钥。

必需:否

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。