选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

使用 CloudHSM CLI 导出非对称密钥

PDF
RSS
聚焦模式
使用 CloudHSM CLI 导出非对称密钥 - AWS CloudHSM
用户类型要求语法示例参数相关 主题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 CloudHSM CLI 中的 key generate-file 命令从硬件安全模块(HSM)导出非对称密钥。如果目标是私有密钥,则对私有密钥的引用将以伪 PEM 格式导出。如果目标是公有密钥,则公有密钥字节将以 PEM 格式导出。

伪造 PEM 文件不包含实际的私有密钥资料,而是引用 HSM 中的私有密钥,随后可用于建立从 Web 服务器到 AWS CloudHSM的 SSL/TLS 卸载。有关更多信息,请参阅 SSL/TLS 分载

用户类型

以下类型的用户均可运行此命令。

  • 加密用户 (CUs)

要求

要运行此命令,必须以 CU 身份登录。

语法

aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM

Usage: key generate-file --encoding <ENCODING> --path <PATH> --filter [<FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --encoding <ENCODING>
          Encoding format for the key file

          Possible values:
          - reference-pem: PEM formatted key reference (supports private keys)
          - pem:           PEM format (supports public keys)

      --path <PATH>
          Filepath where the key file will be written

      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation

  -h, --help
          Print help (see a summary with '-h')

示例

此示例说明key generate-file如何使用在 AWS CloudHSM 集群中生成密钥文件。

aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}

参数

<CLUSTER_ID>

要运行此操作的集群的 ID。

必需:如果已配置多个集群。

<FILTER>

密钥引用(例如 key-reference=0xabc)或空格分隔的密钥属性列表,采用 attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式,可选择要删除的匹配密钥。

有关支持的 CloudHSM CLI key 密钥属性列表,请参阅 CloudHSM CLI 的密钥属性

必需:否

<ENCODING>

指定密钥文件的编码格式

必需:是

<PATH>

指定将写入密钥文件的文件路径

必需:是

相关 主题

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。