使用 CloudHSM CLI 导出非对称密钥 - AWS CloudHSM
用户类型要求语法示例参数相关 主题

使用 CloudHSM CLI 导出非对称密钥

使用 CloudHSM CLI 中的 key generate-file 命令从硬件安全模块(HSM)导出非对称密钥。如果目标是私有密钥,则对私有密钥的引用将以伪 PEM 格式导出。如果目标是公有密钥,则公有密钥字节将以 PEM 格式导出。

伪造 PEM 文件不包含实际的私有密钥资料,而是引用 HSM 中的私有密钥,随后可用于建立从 Web 服务器到 AWS CloudHSM 的 SSL/TLS 卸载。有关更多信息,请参阅 SSL/TLS 分载

用户类型

以下类型的用户均可运行此命令。

  • 加密用户(CU)

要求

要运行此命令,必须以 CU 身份登录。

语法

aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM

Usage: key generate-file --encoding <ENCODING> --path <PATH> --filter [<FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --encoding <ENCODING>
          Encoding format for the key file

          Possible values:
          - reference-pem: PEM formatted key reference (supports private keys)
          - pem:           PEM format (supports public keys)

      --path <PATH>
          Filepath where the key file will be written

      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation

  -h, --help
          Print help (see a summary with '-h')

示例

此示例说明如何使用 key generate-file 在您的 AWS CloudHSM 集群中生成密钥文件。

aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}

参数

<CLUSTER_ID>

要运行此操作的集群的 ID。

必需:如果已配置多个集群。

<FILTER>

密钥引用(例如 key-reference=0xabc)或空格分隔的密钥属性列表,采用 attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式,可选择要删除的匹配密钥。

有关支持的 CloudHSM CLI key 密钥属性列表,请参阅 CloudHSM CLI 的密钥属性

必需:否

<ENCODING>

指定密钥文件的编码格式

必需:是

<PATH>

指定将写入密钥文件的文件路径

必需:是

相关 主题