在 CloudHSM CLI 中使用 RSA-PKCS-PSS 機制產生簽章

焦點模式

在 CloudHSM CLI 中使用 RSA-PKCS-PSS 機制產生簽章 - AWS CloudHSM

在 CloudHSM CLI 中使用 crypto sign rsa-pkcs-pss命令，使用 RSA 私有金鑰和簽署機制產生RSA-PKCS-PSS簽章。

若要使用 crypto sign rsa-pkcs-pss命令，您必須先在 AWS CloudHSM 叢集中擁有 RSA 私有金鑰。您可以使用 sign 屬性設為的使用 CloudHSM CLI 產生非對稱 RSA 金鑰對命令來產生 RSA 私有金鑰true。

注意

可以使用CloudHSM CLI 中的加密驗證類別子命令 AWS CloudHSM 在中驗證簽章。

使用者類型

下列類型的使用者可以執行此命令。

加密使用者 (CU)

要求

若要執行此命令，必須以 CU 的身分登入。

語法


aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism

Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [<KEY_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --salt-length <SALT_LENGTH> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>        Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --key-filter [<KEY_FILTER>...]   Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
      --hash-function <HASH_FUNCTION>  [possible values: sha1, sha224, sha256, sha384, sha512]
      --data-path <DATA_PATH>          The path to the file containing the data to be signed
      --data <DATA>                    Base64 Encoded data to be signed
      --mgf <MGF>                      The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --salt-length <SALT_LENGTH>      The salt length
      --approval <APPROVAL>            Filepath of signed quorum token file to approve operation
  -h, --help                           Print help

範例

這些範例示範如何使用RSA-PKCS-PSS簽署機制和SHA256雜湊函數crypto sign rsa-pkcs-pss產生簽章。此命令在 HSM 中使用私有金鑰。

範例：產生基礎 64 編碼資料的簽章


aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "key-reference": "0x00000000007008db",
    "signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
  }
}

範例：產生資料檔案的簽章


aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "key-reference": "0x00000000007008db",
    "signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
  }
}

引數

<CLUSTER_ID>

要執行此操作的叢集 ID。

必要：如果已設定多個叢集。

<DATA>

要簽署的 Base64 編碼資料。

必要：是（除非透過資料路徑提供）

<DATA_PATH>

指定要簽署的資料位置。

必要：是（除非透過資料提供）

<HASH_FUNCTION>

指定雜湊函數。

有效值：

sha1
sha224
sha256
sha384
sha512

必要：是

<KEY_FILTER>

索引鍵參考（例如 key-reference=0xabc) 或以形式分隔的索引鍵屬性清單attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE，以選取相符的索引鍵。

如需支援的 CloudHSM CLI 金鑰屬性清單，請參閱 CloudHSM CLI 的金鑰屬性。

必要：是

<MGF>

指定遮罩產生函數。

注意

遮罩產生函數雜湊函數必須符合簽署機制雜湊函數。

有效值：

mgf1-sha1
mgf1-sha224
mgf1-sha256
mgf1-sha384
mgf1-sha512

必要：是

<SALT_LENGTH>

指定 salt 長度。

必要：是

<APPROVAL>

指要核准操作的已簽署規定人數權杖檔案的檔案路徑。只有在私有金鑰的金鑰用量服務規定人數值大於 1 時才需要。

選取您的 Cookie 偏好設定

自訂 Cookie 偏好設定

必要

效能

功能

廣告

無法儲存 Cookie 偏好設定

在 CloudHSM CLI 中使用 RSA-PKCS-PSS 機制產生簽章

注意

使用者類型

要求

語法

範例

範例：產生基礎 64 編碼資料的簽章

範例：產生資料檔案的簽章

引數

注意

相關主題

在本頁面

此頁面是否有幫助？

下一個主題：

上一個主題：

需要協助？