本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# CloudHSM CLI 命令的參考資料
CloudHSM CLI 可協助管理員管理其 AWS CloudHSM 叢集中的使用者。CloudHSM CLI 可以在兩種模式下執行:互動式模式和單一命令模式。如需快速入門,請參閱 [開始使用 AWS CloudHSM 命令列界面 (CLI)](cloudhsm_cli-getting-started.md)。
若要執行大多數 CloudHSM CLI 命令,您必須啟動 CloudHSM CLI 並登入 HSM。如果您新增或刪除 HSM,請更新 CloudHSM CLI 的組態檔案。否則,您所進行的變更可能無法在叢集中的所有 HSM 上生效。
下列各主題說明 CloudHSM CLI 中的命令。
| 命令 | Description | 使用者類型 |
| --- | --- | --- |
| [activate](cloudhsm_cli-cluster-activate.md) | 啟動 CloudHSM 叢集並確認叢集是新的叢集。完成此操作後,方可執行其他操作。 | 未激活的管理員 |
| [hsm-info](cloudhsm_cli-cluster-hsm-info.md) | 列出叢集中的 HSMs。 | 所有 [1](#cli-ref-1),包括未經身分驗證的使用者。無需登入。 |
| [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) | 使用 EC 私有金鑰和 ECDSA 簽署機制產生簽章。 | 加密使用者 (CU) |
| [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) | 使用 Ed25519 私有金鑰和 HashEdDSA 簽署機制產生簽章。 | 加密使用者 |
| [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) | 使用 RSA 私有金鑰和 RSA-PKCS 簽署機制產生簽章。 | 加密使用者 |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) | 使用 RSA 私有金鑰和 RSA-PKCS-PSS 簽署機制產生簽章。 | 加密使用者 |
| [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) | 確認檔案已由指定的公有金鑰在 HSM 中簽署。驗證簽章是否使用 ECDSA 簽署機制產生。比較已簽章的檔案與來源檔案,並根據指定的 ecdsa 公有金鑰和簽署機制,判斷兩者是否在密碼編譯上相關。 | 加密使用者 |
| [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) | 使用 Ed25519 公有金鑰驗證 HashEdDSA 簽章。 | 加密使用者 |
| [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) | 確認檔案已由指定的公有金鑰在 HSM 中簽署。驗證簽章是否使用 RSA-PKCS 簽署機制產生。比較已簽章的檔案與來源檔案,並根據指定的 rsa 公有金鑰和簽署機制,判斷兩者是否在密碼編譯上相關。 | 加密使用者 |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) | 確認檔案已由指定的公有金鑰在 HSM 中簽署。驗證簽章是否使用 RSA-PKCS-PSS 簽署機制產生。比較已簽章的檔案與來源檔案,並根據指定的 rsa 公有金鑰和簽署機制,判斷兩者是否在密碼編譯上相關。 | 加密使用者 |
| [刪除金錀](cloudhsm_cli-key-delete.md) | 從 AWS CloudHSM 叢集刪除金鑰。 | 加密使用者 |
| [產生金錀的檔案](cloudhsm_cli-key-generate-file.md) | 在 AWS CloudHSM 叢集中產生金鑰檔案。 | 加密使用者 |
| [產生非對稱 RSA 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) | 在您的 AWS CloudHSM 叢集中產生非對稱 RSA 金鑰對。 | 加密使用者 |
| [產生非對稱 EC 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) | 在 AWS CloudHSM 叢集中產生非對稱橢圓曲線 (EC) 金鑰對。 | 加密使用者 |
| [產生對稱 AES 金錀](cloudhsm_cli-key-generate-symmetric-aes.md) | 在 AWS CloudHSM 叢集中產生對稱 AES 金鑰。 | 加密使用者 |
| [產生對稱通用私密金錀](cloudhsm_cli-key-generate-symmetric-generic-secret.md) | 在 AWS CloudHSM 叢集中產生對稱的一般私密金鑰。 | 加密使用者 |
| [金鑰匯入 pem](cloudhsm_cli-key-import-pem.md) | 將 PEM 格式金鑰匯入 HSM。您可以使用此命令匯入在 HSM 之外產生的公有金鑰。 | 加密使用者 |
| [列出金錀](cloudhsm_cli-key-list.md) | 尋找 AWS CloudHSM 叢集中目前使用者的所有金鑰。 | 加密使用者 |
| [金鑰複寫](cloudhsm_cli-key-replicate.md) | 將金鑰從來源叢集複寫到複製的目的地叢集。 | 加密使用者 |
| [設定金錀屬性](cloudhsm_cli-key-set-attribute.md) | 設定 AWS CloudHSM 叢集中金鑰的屬性。 | 加密使用者可以執行此命令,管理員可以設定受信任的屬性。 |
| [共用金錀](cloudhsm_cli-key-share.md) | 與 AWS CloudHSM 叢集中的其他 CUs共用金鑰。 | 加密使用者 |
| [取消共用金鑰](cloudhsm_cli-key-unshare.md) | 取消與 AWS CloudHSM 叢集中其他 CUs共用金鑰。 | 加密使用者 |
| [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md) | 使用 AES 包裝金鑰和 AES-GCM 取消包裝機制,將承載金鑰取消包裝到叢集中。 | 加密使用者 |
| [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md) | 使用 AES 包裝金鑰和 AES-NO-PAD 取消包裝機制,將承載金鑰取消包裝到叢集中。 | 加密使用者 |
| [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md) | 使用 AES 包裝金鑰和 AES-PKCS5-PAD 取消包裝機制來取消包裝承載金鑰。 | 加密使用者 |
| [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md) | 使用 AES 包裝金鑰和 AES-ZERO-PAD 取消包裝機制,將承載金鑰取消包裝至叢集。 | 加密使用者 |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md) | 使用 AES 包裝金鑰和 CLOUDHSM-AES-GCM 取消包裝機制,將承載金鑰取消包裝至叢集。 | 加密使用者 |
| [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md) | 使用 RSA 私有金鑰和 RSA-AES 取消包裝機制來取消包裝承載金鑰。 | 加密使用者 |
| [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md) | 使用 RSA 私有金鑰和 RSA-OAEP 取消包裝機制來取消包裝承載金鑰。 | 加密使用者 |
| [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md) | 使用 RSA 私有金鑰和 RSA-PKCS 取消包裝機制來取消包裝承載金鑰。 | 加密使用者 |
| [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md) | 使用 HSM 上的 AES 金鑰和 AES-GCM 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md) | 使用 HSM 上的 AES 金鑰和 AES-NO-PAD 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md) | 使用 HSM 上的 AES 金鑰和 AES-PKCS5-PAD 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md) | 使用 HSM 上的 AES 金鑰和 AES-ZERO-PAD 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md) | 使用 HSM 上的 AES 金鑰和 CLOUDHSM-AES-GCM 包裝機制來包裝承載金鑰。 | CUs |
| [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md) | 使用 HSM 上的 RSA 公有金鑰和 RSA-AES 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md) | 使用 HSM 上的 RSA 公有金鑰和 RSA-OAEP 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [ 使用 CloudHSM CLI 使用 RSA-PKCS 包裝金鑰rsa-pkcs **key wrap rsa-pkcs** 命令會使用 HSM 上的 RSA 公有金鑰和包裝機制`RSA-PKCS`來包裝承載金鑰。 在 CloudHSM CLI 中使用 **key wrap rsa-pkcs**命令,在硬體安全模組 (HSM) 和包裝機制上使用 RSA 公有金鑰`RSA-PKCS`來包裝承載金鑰。承載金鑰的`extractable`屬性必須設定為 `true`。 只有建立金鑰的加密使用者 (CU) 金鑰擁有者才能包裝金鑰。共用金鑰的使用者可以在密碼編譯操作中使用金鑰。 若要使用 **key wrap rsa-pkcs**命令,您必須先在 AWS CloudHSM 叢集中擁有 RSA 金鑰。您可以使用 [CloudHSM CLI 中的 generate-asymmetric-pair 類別](cloudhsm_cli-key-generate-asymmetric-pair.md)命令和設定為 的 `wrap` 屬性來產生 RSA 金鑰對`true`。 使用者類型 下列類型的使用者可以執行此命令。 加密使用者 (CU) 要求 若要執行此命令,必須以 CU 的身分登入。 語法
```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [...] --wrapping-filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--payload-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
--wrapping-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
--path
Path to the binary file where the wrapped key data will be saved
--wrapping-approval
File path of signed quorum token file to approve operation for wrapping key
--payload-approval
File path of signed quorum token file to approve operation for payload key
-h, --help
Print help
``` 範例 此範例示範如何使用 RSA 公有金鑰來使用 **key wrap rsa-pkcs**命令。
**Example**
```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
"error_code": 0,
"data": {
"payload_key_reference": "0x00000000001c08f1",
"wrapping_key_reference": "0x00000000007008da",
"wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
}
``` 引數
******
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
******
索引鍵參考 (例如 `key-reference=0xabc`) 或以空格分隔的索引鍵屬性清單,格式為 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`以選取承載索引鍵。
必要:是
******
二進位檔案的路徑,其中會儲存包裝的金鑰資料。
必要:否
******
索引鍵參考 (例如 `key-reference=0xabc`) 或以空格分隔的索引鍵屬性清單,格式為 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`以選取包裝索引鍵。
必要:是
******
指定已簽署規定人數字符檔案的檔案路徑,以核准包裝金鑰的操作。只有在包裝金鑰的金鑰管理服務規定人數值大於 1 時才需要。
******
指定已簽署規定人數字符檔案的檔案路徑,以核准承載金鑰的操作。只有在承載金鑰的金鑰管理服務規定人數值大於 1 時才需要。 相關主題 [CloudHSM CLI 中的金鑰包裝命令](cloudhsm_cli-key-wrap.md) [CloudHSM CLI 中的金鑰取消包裝命令](cloudhsm_cli-key-unwrap.md) ](cloudhsm_cli-key-wrap-rsa-pkcs.md) | 使用 HSM 上的 RSA 公有金鑰和 RSA-PKCS 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [登入](cloudhsm_cli-login.md) | 登入您的 AWS CloudHSM 叢集。 | 管理員、加密使用者 (CU) 和設備使用者 (AU) |
| [登出](cloudhsm_cli-logout.md) | 登出您的 AWS CloudHSM 叢集。 | 管理員、加密使用者和設備使用者 (AU) |
| [刪除规定人數字符簽署](cloudhsm_cli-qm-token-del.md) | 刪除規定人數授權服務的一個或多個權杖。 | 管理員 |
| [產生规定人數字符簽署](cloudhsm_cli-qm-token-gen.md) | 產生規定人數授權服務的權杖。 | 管理員 |
| [列出規定人數字符簽署](cloudhsm_cli-qm-token-list.md) | 列出 CloudHSM 叢集中所有權杖簽署的規定人數權杖。 | 所有 [1](#cli-ref-1),包括未經身分驗證的使用者。無需登入。 |
| [規定人數字符簽署 列出規定人數值](cloudhsm_cli-qm-token-list-qm.md) | 列出 CloudHSM 叢集中規定人數值集。 | 所有 [1](#cli-ref-1),包括未經身分驗證的使用者。無需登入。 |
| [規定人數字符簽署 設定規定人數值](cloudhsm_cli-qm-token-set-qm.md) | 為規定人數授權服務設定新的規定人數值。 | 管理員 |
| [變更使用者 MFA](cloudhsm_cli-user-change-mfa.md) | 變更使用者的多重要素驗證 (MFA) 策略。 | 管理員、加密使用者 |
| [變更使用者密碼](cloudhsm_cli-user-change-password.md) | 變更 HSM 上使用者的密碼。任何使用者都可以變更自己的密碼。加密使用者可以變更任何人的密碼。 | 管理員、加密使用者 |
| [建立使用者](cloudhsm_cli-user-create.md) | 在 AWS CloudHSM 叢集中建立使用者。 | 管理員 |
| [刪除使用者](cloudhsm_cli-user-delete.md) | 刪除 AWS CloudHSM 叢集中的使用者。 | 管理員 |
| [使用者清單](cloudhsm_cli-user-list.md) | 列出 AWS CloudHSM 叢集中的使用者。 | 所有 [1](#cli-ref-1),包括未經身分驗證的使用者。無需登入。 |
| [變更規定人數使用者 註冊字符簽署](cloudhsm_cli-user-chqm-token-reg.md) | 為使用者註冊規定人數字符簽署的規定人數策略。 | 管理員 |
**註釋**
+ [1] 所有使用者都包含所有列出的角色和未登入的使用者。
# CloudHSM CLI 中的叢集類別
在 CloudHSM CLI 中, **cluster** 是一組命令的父類別,當與父類別結合時,會建立叢集專屬的命令。目前,叢集類別包含下列命令:
**Topics**
+ [activate](cloudhsm_cli-cluster-activate.md)
+ [hsm-info](cloudhsm_cli-cluster-hsm-info.md)
+ [mtls](cloudhsm_cli-cluster-mtls.md)
# 使用 CloudHSM CLI 啟用叢集
在 CloudHSM CLI 中使用 **cluster activate**命令來[啟用新的叢集](activate-cluster.md) AWS CloudHSM。必須先執行此命令,叢集才可以用於執行密碼編譯操作。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 未激活的管理員
## 語法
此命令沒有任何參數。
```
aws-cloudhsm > help cluster activate
Activate a cluster
This command will set the initial Admin password. This process will cause your CloudHSM cluster to
move into the ACTIVE state.
USAGE:
cloudhsm-cli cluster activate [OPTIONS] [--password ]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--password
Optional: Plaintext activation password If you do not include this argument you will be prompted for it
-h, --help
Print help (see a summary with '-h')
```
## 範例
此命令會為您的管理員使用者設定初始密碼來啟動叢集。
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
## 相關主題
+ [建立使用者](cloudhsm_cli-user-create.md)
+ [刪除使用者](cloudhsm_cli-user-delete.md)
+ [變更使用者密碼](cloudhsm_cli-user-change-password.md)
# 使用 HSMsCLI 列出 HSM CloudHSM
使用 CloudHSM CLI 中的 **cluster hsm-info**命令,列出 AWS CloudHSM 叢集中的硬體安全模組 HSMs)。您無須登入 CloudHSM CLI 即可執行此命令。
**注意**
如果您新增或刪除 HSMs,請更新 AWS CloudHSM 用戶端和命令列工具使用的組態檔案。否則,您所進行的變更可能無法在叢集中的所有 HSM 上生效。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 所有使用者。您無須登入即可執行此命令。
## 語法
```
aws-cloudhsm > help cluster hsm-info
List info about each HSM in the cluster
Usage: cloudhsm-cli cluster hsm-info [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 範例
此命令會列出 AWS CloudHSM 叢集中存在HSMs。
```
aws-cloudhsm > cluster hsm-info
{
"error_code": 0,
"data": {
"hsms": [
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000590",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000625",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000663",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
}
]
}
}
```
輸出具有下列屬性:
+ **廠商**:HSM 的廠商名稱。
+ **型號**:HSM 的型號。
+ **序號**:HSM 的序號。其可能會因更換而改變。
+ **Hardware-version-major**:主要硬體版本。
+ **Hardware-version-minor**:次要硬體版本。
+ **Firmware-version-major**:主要韌體版本。
+ **Firmware-version-minor**:次要韌體版本。
+ **Firmware-build-number**:韌體建置編號。
+ **Firmware-id**:韌體 ID,其中包括主要和次要版本以及建置編號。
+ **FIPS-state**:叢集和其中 HSMs FIPS 模式。如果處於 FIPS 模式,則輸出為「2 【FIPS 模式搭配單一因素驗證】。」 如果處於非 FIPS 模式,則輸出為「0 【具有單一因素身分驗證的非 FIPS 模式】」。
## 相關主題
+ [使用 CloudHSM CLI 啟用叢集](cloudhsm_cli-cluster-activate.md)
# CloudHSM CLI 中的叢集 mtls 類別
在 CloudHSM CLI 中, **cluster mtls** 是一組命令的父類別,當與父類別結合時,會建立叢集專屬的命令 AWS CloudHSM 。目前,此類別由以下命令組成:
**Topics**
+ [deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [get-forcement](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [register-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [set-forcement](cloudhsm_cli-cluster-mtls-set-enforcement.md)
# 使用 CloudHSM CLI 取消註冊信任錨點
使用 CloudHSM CLI 中的 **cluster mtls deregister-trust-anchor**命令,取消註冊用戶端與 之間交互 TLS 的信任錨點 AWS CloudHSM。
## 使用者類型
下列使用者可以執行此命令。
+ 管理員
## 要求
+ 若要執行此命令,您必須以管理員使用者身分登入。
## 語法
```
aws-cloudhsm > help cluster mtls deregister-trust-anchor
Deregister a trust anchor for mtls
Usage: cluster mtls deregister-trust-anchor [OPTIONS] --certificate-reference [...]
Options:
--certificate-reference A hexadecimal or decimal certificate reference
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## 範例
**Example**
在下列範例中,此命令會從 HSM 移除信任錨點。
```
aws-cloudhsm > cluster mtls deregister-trust-anchor --certificate-reference 0x01
{
"error_code": 0,
"data": {
"message": "Trust anchor with reference 0x01 deregistered successfully"
}
}
```
然後,您可以執行 **list-trust-anchors**命令,確認信任錨點已從 取消註冊 AWS CloudHSM:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": []
}
}
```
## 引數
******
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
** ** **
十六進位或十進位憑證參考。
**必要**:是
在叢集中取消註冊信任錨點後,使用該信任錨點簽署的用戶端憑證的所有現有 mTLS 連線都會遭到捨棄。
** ** **
指要核准操作的已簽署規定人數權杖檔案的檔案路徑。只有在規定人數叢集服務規定人數值大於 1 時才需要。
## 相關主題
+ [叢集 mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [叢集 mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [設定 mTLS (建議)](getting-started-setup-mtls.md)
# 使用 CloudHSM CLI 取得 mTLS 強制執行層級
在 CloudHSM CLI 中使用 **cluster mtls get-enforcement**命令,以取得用戶端與 之間交互 TLS 用量的強制執行層級 AWS CloudHSM。
## 使用者類型
下列使用者可以執行此命令。
+ 管理員
+ 加密使用者 (CU)
## 要求
+ 若要執行此命令,您必須以管理員使用者或加密使用者 (CUs身分登入。
## 語法
```
aws-cloudhsm > help cluster mtls get-enforcement
Get the status of mtls enforcement in the cluster
Usage: cluster mtls get-enforcement [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 範例
**Example**
在下列範例中,此命令會列出 的 mtls 強制執行層級 AWS CloudHSM。
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "none"
}
}
```
## 引數
******
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
## 相關主題
+ [叢集 mtls set-enforcement](cloudhsm_cli-cluster-mtls-set-enforcement.md)
+ [設定 mTLS (建議)](getting-started-setup-mtls.md)
# 使用 CloudHSM CLI 列出信任錨點
在 CloudHSM CLI 中使用 **cluster mtls list-trust-anchors**命令,列出可用於用戶端與 之間交互 TLS 的所有信任錨點 AWS CloudHSM。
## 使用者類型
下列使用者可以執行此命令。
+ 所有使用者。您無須登入即可執行此命令。
## 語法
```
aws-cloudhsm > help cluster mtls list-trust-anchors
List all trust anchors for mtls
Usage: cluster mtls list-trust-anchors [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 範例
**Example**
在下列範例中,此命令會從 列出所有已註冊的信任錨點 AWS CloudHSM。
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
},
{
"certificate-reference": "0x02",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## 引數
******
要在其中執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
## 相關主題
+ [叢集 mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [叢集 mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [設定 mTLS (建議)](getting-started-setup-mtls.md)
# 向 CloudHSM CLI 註冊信任錨點
使用 CloudHSM CLI 中的 **cluster mtls register-trust-anchor**命令,為用戶端和 之間的交互 TLS 註冊信任錨點 AWS CloudHSM。
## 使用者類型
下列使用者可以執行此命令。
+ 管理員
## 要求
AWS CloudHSM 接受具有下列金鑰類型的信任錨點:
****
| 金鑰類型 | Description |
| --- | --- |
| EC | secp256r1 (P-256)、secp384r1 (P-384) 和 secp521r1 (P-521) 曲線。 |
| RSA | 2048 位元、3072 位元和 4096 位元 RSA 金鑰。 |
## 語法
```
aws-cloudhsm > help cluster mtls register-trust-anchor
Register a trust anchor for mtls
Usage: cluster mtls register-trust-anchor [OPTIONS] --path [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--path Filepath of the trust anchor to register
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## 範例
**Example**
在下列範例中,此命令會將信任錨點註冊到 HSM。可註冊的信任錨點數目上限為兩 (2) 個。
```
aws-cloudhsm > cluster mtls register-trust-anchor --path /home/rootCA
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
然後,您可以執行 **list-trust-anchors**命令,確認信任錨點已註冊到 AWS CloudHSM:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## 引數
******
要在其中執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
** ** **
要註冊之信任錨點的檔案路徑。
**必要**:是
AWS CloudHSM 支援將中繼憑證註冊為信任錨點。在這種情況下,整個 PEM 編碼的憑證鏈檔案需要註冊到 HSM,並以階層順序使用憑證。
AWS CloudHSM 支援 6980 位元組的憑證鏈。
** ** **
指要核准操作的已簽署規定人數權杖檔案的檔案路徑。只有在規定人數叢集服務規定人數值大於 1 時才需要。
## 相關主題
+ [叢集 mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [叢集 mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [設定 mTLS (建議)](getting-started-setup-mtls.md)
# 使用 CloudHSM CLI 設定 mTLS 強制執行層級
使用 CloudHSM CLI 中的 **cluster mtls set-enforcement**命令,設定用戶端與 之間交互 TLS 用量的強制執行層級 AWS CloudHSM。
## 使用者類型
下列使用者可以執行此命令。
+ 使用者名稱為 admin 的管理員
## 要求
若要執行此命令:
+ 至少有一個信任錨點已成功註冊到 AWS CloudHSM。
+ 使用正確的私有金鑰和用戶端憑證設定 CloudHSM CLI,並在交互 TLS 連線下啟動 CloudHSM CLI。
+ 您必須以使用者名稱為 "admin" 的預設管理員身分登入。任何其他管理員使用者將無法執行此命令。
## 語法
```
aws-cloudhsm > help cluster mtls set-enforcement
Set mtls enforcement policy in the cluster
Usage: cluster mtls set-enforcement [OPTIONS] --level [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--level Level to be set for mtls in the cluster [possible values: none, cluster]
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## 範例
**Example**
在下列範例中,此命令會將 AWS CloudHSM 的 mtls 強制執行層級設定為叢集。set-enforcement 命令只能在交互 TLS 連線中執行,並以使用者名稱為 admin 的管理員使用者身分登入,請參閱[設定 mTLS 強制執行 AWS CloudHSM](getting-started-setup-mtls.md#getting-start-setup-mtls-enforcement)。
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
然後,您可以執行 **get-enforcement**命令,確認強制執行層級已設定為叢集:
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "cluster"
}
}
```
## 引數
******
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
** ** **
要為叢集中的 mtls 設定的關卡。
**有效值**
+ **叢集**:在用戶端和叢集 AWS CloudHSM 中強制使用交互 TLS。
+ **無**:請勿在用戶端和叢集 AWS CloudHSM 中強制使用交互 TLS。
**必要**:是
在叢集中強制執行 mTLS 用量之後,所有現有的非 mTLS 連線都會遭到捨棄,而且您只能使用 mTLS 憑證連線到叢集。
** ** **
指要核准操作的已簽署規定人數權杖檔案的檔案路徑。只有在規定人數叢集服務規定人數值大於 1 時才需要。
## 相關主題
+ [叢集 mtls get-forcement](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [設定 mTLS (建議)](getting-started-setup-mtls.md)
# CloudHSM CLI 中的加密類別
在 CloudHSM CLI 中, **crypto** 是一組命令的父類別,當 與父類別結合時,會建立密碼編譯操作專用的命令。目前,此類別由以下命令組成:
+ [sign](cloudhsm_cli-crypto-sign.md)
+ [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
+ [驗證](cloudhsm_cli-crypto-verify.md)
+ [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
# CloudHSM CLI 中的加密簽署類別
在 CloudHSM CLI 中, **crypto sign** 是一組命令的父類別,當 與父類別結合時, 會使用叢集 AWS CloudHSM 中所選的私有金鑰來產生簽章。 **crypto sign**具有下列子命令:
+ [在 CloudHSM CLI 中使用 ECDSA 機制產生簽章](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [在 CloudHSM CLI 中使用 HashEdDSA 機制產生簽章](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [在 CloudHSM CLI 中使用 RSA-PKCS 機制產生簽章](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [在 CloudHSM CLI 中使用 RSA-PKCS-PSS 機制產生簽章](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
若要使用 **crypto sign**,您必須在 HSM 中擁有私有金鑰。您可以使用下列命令產生私有金鑰:
+ [產生非對稱 EC 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [產生非對稱 RSA 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# 在 CloudHSM CLI 中使用 ECDSA 機制產生簽章
在 CloudHSM CLI 中使用 **crypto sign ecdsa**命令,使用 EC 私有金鑰和 ECDSA 簽署機制產生簽章。
若要使用 **crypto sign ecdsa**命令,您必須先在 AWS CloudHSM 叢集中擁有 EC 私有金鑰。您可以使用 `sign` 屬性設定為 的 [使用 CloudHSM CLI 產生非對稱 EC 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)命令來產生 EC 私有金鑰`true`。
產生的 ECDSA 簽章會以 格式產生`r||s`,其中 r 和 s 元件會串連為原始二進位資料,並以 base64 編碼格式傳回。
**注意**
可以使用[CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)子命令 AWS CloudHSM 在 中驗證簽章。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 加密使用者 (CU)
## 要求
+ 若要執行此命令,必須以 CU 的身分登入。
## 語法
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 範例
這些範例示範如何使用 ECDSA 簽署機制和`SHA256`雜湊函數**crypto sign ecdsa**產生簽章。此命令在 HSM 中使用私有金鑰。
**Example 範例:產生基礎 64 編碼資料的簽章**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
**Example 範例:產生資料檔案的簽章**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
## 引數
******
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
******
要簽署的 Base64 編碼資料。
必要:是 (除非透過資料路徑提供)
******
指定要簽署的資料位置。
必要:是 (除非透過資料路徑提供)
******
指定雜湊函數。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
必要:是
******
索引鍵參考 (例如 `key-reference=0xabc`) 或以 attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE 格式分隔的索引鍵屬性清單,以選取相符的索引鍵。
如需支援的 CloudHSM CLI 金鑰屬性清單,請參閱 CloudHSM CLI 的金鑰屬性。
必要:是
******
指要核准操作的已簽署規定人數權杖檔案的檔案路徑。只有在私有金鑰的金鑰用量服務規定人數值大於 1 時才需要。
******
指定是否應將資料參數的值雜湊為簽署演算法的一部分。`raw` 用於未雜湊的資料;`digest`用於已雜湊的摘要。
有效值:
+ raw
+ 摘要
## 相關主題
+ [CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)
# 在 CloudHSM CLI 中使用 HashEdDSA 機制產生簽章
**重要**
僅在非 FIPS 模式下的 hsm2m.medium 執行個體上支援 HashEdDSA 簽署操作。
在 CloudHSM CLI 中使用 **crypto sign ed25519ph**命令,使用 Ed25519 私有金鑰和 HashEdDSA 簽署機制產生簽章。如需 HashEdDSA 的其他資訊,請參閱 [NIST SP 186-5 第 7.8 節。](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf)
若要使用 **crypto sign ed25519ph**命令,您必須先在 AWS CloudHSM 叢集中擁有 Ed25519 私有金鑰。您可以使用 `curve` 參數設定為 且`ed25519``sign`屬性設定為 的 [使用 CloudHSM CLI 產生非對稱 EC 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)命令來產生 Ed25519 私有金鑰`true`。
**注意**
可以使用[CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)子命令 AWS CloudHSM 在 中驗證簽章。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 加密使用者 (CU)
## 要求
+ 若要執行此命令,必須以 CU 的身分登入。
+ 僅在非 FIPS 模式下的 hsm2m.medium 執行個體上支援 HashEdDSA 簽署操作。
## 語法
```
aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism
Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## 範例
這些範例示範如何使用 Ed25519ph 簽署機制和`sha512`雜湊函數**crypto sign ed25519ph**來產生簽章。此命令在 HSM 中使用私有金鑰。
**Example 範例:產生基礎 64 編碼資料的簽章**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data YWJj
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
**Example 範例:產生資料檔案的簽章**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
## 引數
******
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
******
要簽署的 Base64 編碼資料。
必要:是 (除非透過資料路徑提供)
******
指定要簽署的資料位置。
必要:是 (除非透過資料參數提供)
******
指定雜湊函數。Ed25519ph 僅支援 SHA512。
有效值:
+ sha512
必要:是
******
索引鍵參考 (例如 `key-reference=0xabc`) 或以 attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE 格式分隔的索引鍵屬性清單,以選取相符的索引鍵。
如需支援的 CloudHSM CLI 金鑰屬性清單,請參閱 [CloudHSM CLI 的金鑰屬性](cloudhsm_cli-key-attributes.md)。
必要:是
******
指要核准操作的已簽署規定人數權杖檔案的檔案路徑。只有在私有金鑰的金鑰用量服務規定人數值大於 1 時才需要。
******
指定是否應將資料參數的值雜湊為簽署演算法的一部分。`raw` 用於未雜湊的資料;`digest`用於已雜湊的摘要。
有效值:
+ raw
+ 摘要
必要:是
## 相關主題
+ [CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)
# 在 CloudHSM CLI 中使用 RSA-PKCS 機制產生簽章
在 CloudHSM CLI 中使用 **crypto sign rsa-pkcs**命令,使用 RSA 私有金鑰和 RSA-PKCS 簽署機制產生簽章。
若要使用 **crypto sign rsa-pkcs**命令,您必須先在 AWS CloudHSM 叢集中擁有 RSA 私有金鑰。您可以使用 `sign` 屬性設定為 的 [使用 CloudHSM CLI 產生非對稱 RSA 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)命令來產生 RSA 私有金鑰`true`。
**注意**
可以使用[CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)子命令 AWS CloudHSM 在 中驗證簽章。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 加密使用者 (CU)
## 要求
+ 若要執行此命令,必須以 CU 的身分登入。
## 語法
```
aws-cloudhsm > help crypto sign rsa-pkcs
Sign with the RSA-PKCS mechanism
Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 範例
這些範例示範如何使用 RSA-PKCS 簽署機制和`SHA256`雜湊函數**crypto sign rsa-pkcs**產生簽章。此命令在 HSM 中使用私有金鑰。
**Example 範例:產生基礎 64 編碼資料的簽章**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
**Example 範例:產生資料檔案的簽章**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
## 引數
******
要在其中執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
******
要簽署的 Base64 編碼資料。
必要:是 (除非透過資料路徑提供)
******
指定要簽署的資料位置。
必要:是 (除非透過資料提供)
******
指定雜湊函數。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
必要:是
******
索引鍵參考 (例如 `key-reference=0xabc`) 或以空格分隔的索引鍵屬性清單,格式為 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`以選取相符的索引鍵。
如需支援的 CloudHSM CLI 金鑰屬性清單,請參閱 CloudHSM CLI 的金鑰屬性。
必要:是
******
指要核准操作的已簽署規定人數權杖檔案的檔案路徑。只有在私有金鑰的金鑰用量服務規定人數值大於 1 時才需要。
******
指定是否應將資料參數的值雜湊為簽署演算法的一部分。`raw` 用於未雜湊的資料;`digest`用於已雜湊的摘要。
對於 RSA-PKCS,資料必須以 DER 編碼格式傳遞[,如 RFC 8017 第 9.2](https://www.rfc-editor.org/rfc/rfc8017#section-9.2) 節所述
有效值:
+ raw
+ 摘要
## 相關主題
+ [CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)
# 在 CloudHSM CLI 中使用 RSA-PKCS-PSS 機制產生簽章
在 CloudHSM CLI 中使用 **crypto sign rsa-pkcs-pss**命令,使用 RSA 私有金鑰和`RSA-PKCS-PSS`簽署機制產生簽章。
若要使用 **crypto sign rsa-pkcs-pss**命令,您必須先在 AWS CloudHSM 叢集中擁有 RSA 私有金鑰。您可以使用 `sign` 屬性設定為 的 [使用 CloudHSM CLI 產生非對稱 RSA 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)命令來產生 RSA 私有金鑰`true`。
**注意**
可以使用[CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)子命令 AWS CloudHSM 在 中驗證簽章。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 加密使用者 (CU)
## 要求
+ 若要執行此命令,必須以 CU 的身分登入。
## 語法
```
aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism
Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data >
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function [possible values: sha1, sha224, sha256, sha384, sha512]
--data-path The path to the file containing the data to be signed
--data Base64 Encoded data to be signed
--mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length The salt length
--approval Filepath of signed quorum token file to approve operation
--data-type The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help Print help
```
## 範例
這些範例示範如何使用`RSA-PKCS-PSS`簽署機制和`SHA256`雜湊函數**crypto sign rsa-pkcs-pss**來產生簽章。此命令在 HSM 中使用私有金鑰。
**Example 範例:產生基礎 64 編碼資料的簽章**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
**Example 範例:產生資料檔案的簽章**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
## 引數
******
要在其中執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
******
要簽署的 Base64 編碼資料。
必要:是 (除非透過資料路徑提供)
******
指定要簽署的資料位置。
必要:是 (除非透過資料提供)
******
指定雜湊函數。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
必要:是
******
索引鍵參考 (例如 `key-reference=0xabc`) 或以空格分隔的索引鍵屬性清單,格式為 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`以選取相符的索引鍵。
如需支援的 CloudHSM CLI 金鑰屬性清單,請參閱 CloudHSM CLI 的金鑰屬性。
必要:是
******
指定遮罩產生函數。
遮罩產生函數雜湊函數必須符合簽署機制雜湊函數。
有效值:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
必要:是
******
指定 salt 長度。
必要:是
******
指要核准操作的已簽署規定人數權杖檔案的檔案路徑。只有在私有金鑰的金鑰用量服務規定人數值大於 1 時才需要。
******
指定是否應將資料參數的值雜湊為簽署演算法的一部分。`raw` 用於未雜湊的資料;`digest`用於已雜湊的摘要。
有效值:
+ raw
+ 摘要
## 相關主題
+ [CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)
## 相關主題
+ [CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI 中的加密驗證類別
在 CloudHSM CLI 中, **crypto verify** 是一組命令的父類別,當 與父類別結合時, 會確認檔案是否已由指定的金鑰簽署。 **crypto verify**具有下列子命令:
+ [crypto 驗證 ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [加密驗證 ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [加密驗證 rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [加密驗證 rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
**crypto verify** 命令會比較已簽章的檔案與來源檔案,並根據指定的公有金鑰和簽署機制,分析它們在密碼編譯上是否相關。
**注意**
檔案可以使用 AWS CloudHSM [CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)操作登入。
# 在 CloudHSM CLI 中驗證使用 ECDSA 機制簽署的簽章
在 CloudHSM CLI 中使用 **crypto verify ecdsa**命令來完成下列操作:
+ 確認檔案已由指定的公有金鑰在 HSM 中簽署。
+ 驗證簽章是否使用 ECDSA 簽署機制產生。
+ 比較已簽章的檔案與來源檔案,並根據指定的 ecdsa 公有金鑰和簽署機制,判斷兩者是否在密碼編譯上相關。
+ ECDSA 驗證函數預期簽章的格式為 `r||s`,其中 r 和 s 元件會串連為原始二進位資料。
若要使用 **crypto verify ecdsa**命令,您必須先在 AWS CloudHSM 叢集中擁有 EC 公有金鑰。您可以使用 `verify` 屬性設定為 的 [使用 CloudHSM CLI 匯入 PEM 格式金鑰](cloudhsm_cli-key-import-pem.md)命令匯入 EC 公有金鑰`true`。
**注意**
您可以使用[CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)子命令在 CloudHSM CLI 中產生簽章。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 加密使用者 (CU)
## 要求
+ 若要執行此命令,必須以 CU 的身分登入。
## 語法
```
aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism
Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 範例
這些範例示範如何使用 **crypto verify ecdsa** 驗證使用 ECDSA 簽署機制和`SHA256`雜湊函數產生的簽章。此命令在 HSM 中使用公有金鑰。
**Example 範例:使用 Base64 編碼資料驗證 Base64 編碼簽章**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 範例:使用資料檔案驗證簽章檔案**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 範例:證明錯誤簽署關係**
此命令會使用 ECDSA `/home/data`簽署機制產生位於 中的簽章,驗證位於 的資料是否由具有 標籤`ecdsa-public`的公有金鑰簽署`/home/signature`。由於指定的引數不會構成真正的簽署關係,因此 命令會傳回錯誤訊息。
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## 引數
******
要在其中執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
******
要簽署的 Base64 編碼資料。
必要:是 (除非透過資料路徑提供)
******
指定要簽署的資料位置。
必要:是 (除非透過資料路徑提供)
******
指定雜湊函數。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
必要:是
******
索引鍵參考 (例如 `key-reference=0xabc`) 或以空格分隔的索引鍵屬性清單,格式為 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`以選取相符的索引鍵。
如需支援的 CloudHSM CLI 金鑰屬性清單,請參閱 CloudHSM CLI 的金鑰屬性。
必要:是
******
Base64 編碼簽章。
必要:是 (除非透過簽章路徑提供)
******
指定簽章的位置。
必要:是 (除非透過簽章路徑提供)
******
指定是否應將資料參數的值雜湊為簽署演算法的一部分。`raw` 用於未雜湊的資料;`digest`用於已雜湊的摘要。
有效值:
+ raw
+ 摘要
## 相關主題
+ [CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)
# 在 CloudHSM CLI 中驗證使用 HashEdDSA 機制簽署的簽章
**重要**
僅在非 FIPS 模式下的 hsm2m.medium 執行個體上支援 HashEdDSA 簽章驗證操作。
在 CloudHSM CLI 中使用 **crypto verify ed25519ph**命令來完成下列操作:
+ 使用指定的 Ed25519 公有金鑰驗證資料或檔案的簽章。
+ 確認使用 HashEdDSA 簽署機制產生簽章。如需 HashEdDSA 的其他資訊,請參閱 [NIST SP 186-5 第 7.8 節。](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf)
若要使用 **crypto verify ed25519ph**命令,您必須先在 AWS CloudHSM 叢集中擁有 Ed25519 公有金鑰。您可以使用 `curve` 參數設為 且`ed25519``verify`屬性設為 的 [使用 CloudHSM CLI 產生非對稱 EC 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)命令來產生 Ed25519 金鑰對`true`,或使用 `verify` 屬性設為 的 [使用 CloudHSM CLI 匯入 PEM 格式金鑰](cloudhsm_cli-key-import-pem.md)命令來匯入 Ed25519 公有金鑰`true`。
**注意**
您可以使用[CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)子命令在 CloudHSM CLI 中產生簽章。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 加密使用者 (CU)
## 要求
+ 若要執行此命令,必須以 CU 的身分登入。
+ 僅在非 FIPS 模式下的 hsm2m.medium 執行個體上支援 HashEdDSA 簽章驗證操作。
## 語法
```
aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism
Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## 範例
這些範例示範如何使用 **crypto verify ed25519ph** 驗證使用 Ed25519ph 簽署機制和`sha512`雜湊函數產生的簽章。此命令在 HSM 中使用 Ed25519 公有金鑰。
**Example 範例:使用 Base64 編碼資料驗證 Base64 編碼簽章**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data YWJj \
--signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 範例:使用資料檔案驗證簽章檔案**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data-path data.txt \
--signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
## 引數
******
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
******
要驗證的 Base64 編碼資料。
必要:是 (除非透過資料路徑提供)
******
指定要驗證的資料位置。
必要:是 (除非透過資料參數提供)
******
指定雜湊函數。Ed25519ph 僅支援 SHA512。
有效值:
+ sha512
必要:是
******
索引鍵參考 (例如 `key-reference=0xabc`) 或以空格分隔的索引鍵屬性清單,格式為 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`以選取相符的索引鍵。
如需支援的 CloudHSM CLI 金鑰屬性清單,請參閱 [CloudHSM CLI 的金鑰屬性](cloudhsm_cli-key-attributes.md)。
必要:是
******
Base64 編碼簽章。
必要:是 (除非透過簽章路徑提供)
******
指定簽章的位置。
必要:是 (除非透過簽章參數提供)
******
指定是否應將資料參數的值雜湊為驗證演算法的一部分。`raw` 用於未雜湊的資料;`digest`用於已雜湊的摘要。
有效值:
+ raw
+ 摘要
必要:是
## 相關主題
+ [CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)
+ [在 CloudHSM CLI 中使用 HashEdDSA 機制產生簽章](cloudhsm_cli-crypto-sign-ed25519ph.md)
# 在 CloudHSM CLI 中驗證使用 RSA-PKCS 機制簽署的簽章
在 CloudHSM CLI 中使用 **crypto verify rsa-pkcs**命令完成下列操作:
+ 確認檔案已由指定的公有金鑰在 HSM 中登入。
+ 驗證簽章是否使用`RSA-PKCS`簽署機制產生。
+ 比較已簽章的檔案與來源檔案,並根據指定的 rsa 公有金鑰和簽署機制,判斷兩者是否與密碼編譯相關。
若要使用 **crypto verify rsa-pkcs**命令,您必須先在 AWS CloudHSM 叢集中擁有 RSA 公有金鑰。
**注意**
您可以使用 CloudHSM CLI 搭配 [CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)子命令來產生簽章。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 加密使用者 (CU)
## 要求
+ 若要執行此命令,必須以 CU 的身分登入。
## 語法
```
aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism
Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 範例
這些範例示範如何使用 **crypto verify rsa-pkcs** 驗證使用 RSA-PKCS 簽署機制和`SHA256`雜湊函數產生的簽章。此命令在 HSM 中使用公有金鑰。
**Example 範例:使用 Base64 編碼資料驗證 Base64 編碼簽章**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 範例:使用資料檔案驗證簽章檔案**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 範例:證明錯誤簽署關係**
此命令`rsa-public`會使用 RSAPKCS 簽署機制來產生位於 中的簽章,驗證無效資料是否由具有 標籤的公有金鑰簽署`/home/signature`。由於指定的引數不會構成真正的簽署關係,因此 命令會傳回錯誤訊息。
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## 引數
******
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
******
要簽署的 Base64 編碼資料。
必要:是 (除非透過資料路徑提供)
******
指定要簽署的資料位置。
必要:是 (除非透過資料路徑提供)
******
指定雜湊函數。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
必要:是
******
索引鍵參考 (例如 `key-reference=0xabc`) 或以空格分隔的索引鍵屬性清單,格式為 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`以選取相符的索引鍵。
如需支援的 CloudHSM CLI 金鑰屬性清單,請參閱 CloudHSM CLI 的金鑰屬性。
必要:是
******
Base64 編碼簽章。
必要:是 (除非透過簽章路徑提供)
******
指定簽章的位置。
必要:是 (除非透過簽章路徑提供)
******
指定是否應將資料參數的值雜湊為簽署演算法的一部分。`raw` 用於未雜湊的資料;`digest`用於已雜湊的摘要。
對於 RSA-PKCS,資料必須以 [RFC 8017 第 9.2](https://www.rfc-editor.org/rfc/rfc8017#section-9.2) 節中指定的 DER 編碼格式傳遞
有效值:
+ raw
+ 摘要
## 相關主題
+ [CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)
# 在 CloudHSM CLI 中驗證使用 RSA-PKCS-PSS 機制簽署的簽章
使用 CloudHSM CLI 中的 **crypto sign rsa-pkcs-pss**命令來完成下列操作。
+ 確認檔案已由指定的公有金鑰在 HSM 中簽署。
+ 驗證簽章是否使用 RSA-PKCS-PSS 簽署機制產生。
+ 比較已簽章的檔案與來源檔案,並根據指定的 rsa 公有金鑰和簽署機制,判斷兩者是否與密碼編譯相關。
若要使用 **crypto verify rsa-pkcs-pss**命令,您必須先在 AWS CloudHSM 叢集中擁有 RSA 公有金鑰。您可以使用金鑰匯入 pem 命令 ADD UNWRAP LINK HERE) 匯入 RSA 公有金鑰,並將 `verify` 屬性設定為 `true`。
**注意**
您可以使用 CloudHSM CLI 搭配 [CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)子命令來產生簽章。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 加密使用者 (CU)
## 要求
+ 若要執行此命令,必須以 CU 的身分登入。
## 語法
```
aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism
Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--mgf
The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length
The salt length
-h, --help
Print help
```
## 範例
這些範例示範如何使用 **crypto verify rsa-pkcs-pss** 驗證使用 RSA-PKCS-PSS 簽署機制和`SHA256`雜湊函數產生的簽章。此命令在 HSM 中使用公有金鑰。
**Example 範例:使用 Base64 編碼資料驗證 Base64 編碼簽章**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 範例:使用資料檔案驗證簽章檔案**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 範例:證明錯誤簽署關係**
此命令`rsa-public`會使用 RSAPKCSPSS 簽署機制來產生位於 中的簽章,驗證無效資料是否由具有標籤的公有金鑰簽署`/home/signature`。由於指定的引數不會構成真正的簽署關係,因此命令會傳回錯誤訊息。
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## 引數
******
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
******
要簽署的 Base64 編碼資料。
必要:是 (除非透過資料路徑提供)
******
指定要簽署的資料位置。
必要:是 (除非透過資料路徑提供)
******
指定雜湊函數。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
必要:是
******
索引鍵參考 (例如 `key-reference=0xabc`) 或以空格分隔的索引鍵屬性清單,格式為 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`以選取相符的索引鍵。
如需支援的 CloudHSM CLI 金鑰屬性清單,請參閱 CloudHSM CLI 的金鑰屬性。
必要:是
******
指定遮罩產生函數。
遮罩產生函數雜湊函數必須符合簽署機制雜湊函數。
有效值:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
必要:是
******
Base64 編碼簽章。
必要:是 (除非透過簽章路徑提供)
******
指定簽章的位置。
必要:是 (除非透過簽章路徑提供)
******
指定是否應將資料參數的值雜湊為簽署演算法的一部分。`raw` 用於未雜湊的資料;`digest`用於已雜湊的摘要。
有效值:
+ raw
+ 摘要
## 相關主題
+ [CloudHSM CLI 中的加密簽署類別](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的加密驗證類別](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI 中的金鑰類別
在 CloudHSM CLI 中, **key** 是一組命令的父類別,當 與父類別結合時,會建立專屬於 金鑰的命令。目前,此類別由以下命令組成:
+ [delete](cloudhsm_cli-key-delete.md)
+ [產生的檔案](cloudhsm_cli-key-generate-file.md)
+ [產生非對稱金鑰對](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [產生非對稱 RSA 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
+ [產生非對稱 EC 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [產生對稱金錀](cloudhsm_cli-key-generate-symmetric.md)
+ [產生對稱 AES 金錀](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [產生對稱通用私密金錀](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [匯入 pem](cloudhsm_cli-key-import-pem.md)
+ [列出](cloudhsm_cli-key-list.md)
+ [複製](cloudhsm_cli-key-replicate.md)
+ [設定屬性](cloudhsm_cli-key-set-attribute.md)
+ [共用](cloudhsm_cli-key-share.md)
+ [取消共用](cloudhsm_cli-key-unshare.md)
+ [取消包裝](cloudhsm_cli-key-unwrap.md)
+ [包裝](cloudhsm_cli-key-wrap.md)
# 使用 CloudHSM CLI 刪除金鑰
使用 CloudHSM CLI 中的 **key delete**命令,從 AWS CloudHSM 叢集刪除金鑰。您一次只能刪除一個金鑰。刪除金鑰對中的一個金鑰,對金鑰對中的另一個金鑰沒有影響。
只有建立金鑰並因此擁有金鑰的 CU 才能刪除金鑰。共用金鑰但卻未擁有金鑰的使用者可以在密碼編譯操作中使用金鑰,但不能刪除它。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 加密使用者 (CU)
## 要求
+ 若要執行此命令,必須以 CU 的身分登入。
## 語法
```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster
Usage: key delete [OPTIONS] --filter [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for deletion
-h, --help Print help
```
## 範例
```
aws-cloudhsm > key delete --filter attr.label="ec-test-public-key"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
## 引數
******
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
***<篩選條件>***
索引鍵參考 (例如 `key-reference=0xabc`) 或以 形式分隔的索引鍵屬性清單`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`,以選取要刪除的相符索引鍵。
如需支援的 CloudHSM CLI 金鑰屬性清單,請參閱 [CloudHSM CLI 的金鑰屬性](cloudhsm_cli-key-attributes.md)
必要:是
## 相關主題
+ [使用 CloudHSM CLI 列出使用者的金鑰](cloudhsm_cli-key-list.md)
+ [使用 CloudHSM CLI 匯出非對稱金鑰](cloudhsm_cli-key-generate-file.md)
+ [使用 CloudHSM CLI 取消共用金鑰](cloudhsm_cli-key-unshare.md)
+ [CloudHSM CLI 的金鑰屬性](cloudhsm_cli-key-attributes.md)
+ [使用 CloudHSM CLI 篩選金鑰](manage-keys-cloudhsm-cli-filtering.md)
# 使用 CloudHSM CLI 匯出非對稱金鑰
在 CloudHSM CLI 中使用 **key generate-file**命令,從硬體安全模組 (HSM) 匯出非對稱金鑰。如果目標是私有金鑰,則會以仿造 PEM 格式匯出私有金鑰的參考。如果目標是公有金鑰,則會以 PEM 格式匯出公有金鑰位元組。
仿造 PEM 檔案不包含實際的私有金鑰材料,而是參考 HSM 中的私有金鑰,可用來從 Web 伺服器建立 SSL/TLS 卸載 AWS CloudHSM。如需詳細資訊,請參閱 [SSL/TLS 卸載](ssl-offload.md)。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 加密使用者 (CU)
## 要求
若要執行此命令,必須以 CU 的身分登入。
## 語法
```
aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
--path
Filepath where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
-h, --help
Print help (see a summary with '-h')
```
## 範例
此範例示範如何使用 在 AWS CloudHSM 叢集中**key generate-file**產生金鑰檔案。
**Example**
```
aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## 引數
******
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
***<篩選條件>***
索引鍵參考 (例如 `key-reference=0xabc`) 或以 形式分隔的索引鍵屬性清單`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`,以選取要刪除的相符索引鍵。
如需支援的 CloudHSM CLI 金鑰屬性清單,請參閱 [CloudHSM CLI 的金鑰屬性](cloudhsm_cli-key-attributes.md)
必要:否
******
指金鑰檔案的編碼格式
必要:是
******
指要寫入金鑰檔案的檔案路徑
必要:是
## 產生 KSP 金鑰參考 (Windows)
**注意**
此功能僅適用於 SDK 5.16.0 版及更新版本。
### 先決條件
+ 您只能在 Windows 平台上產生 KSP 金鑰參考。
+ 您必須以加密使用者 (CU) 身分登入。
### 檔案位置
根據預設,AWS CloudHSM 會將產生的檔案存放在: `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition`
若要指定不同的位置,請使用 `--path` 參數。
### 語法
```
aws-cloudhsm > help key generate-file --encoding ksp-key-reference
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
- ksp-key-reference: KSP key reference format
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided with multiple clusters configured, will error
--path
Directory path where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
--all
Generate ksp key reference for all available key pairs in HSM
-h, --help
Print help (see a summary with '-h')
```
### 範例 – 使用私有金鑰的屬性篩選條件產生 KSP 金鑰參考
下列範例會為具有特定標籤的私有金鑰產生 KSP 金鑰參考。
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --path --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
### 範例 – 產生所有金鑰對的 KSP 金鑰參考
下列範例會為叢集中的所有金鑰對產生 KSP 金鑰參考。
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --all
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## 相關主題
+ [CloudHSM CLI 的金鑰屬性](cloudhsm_cli-key-attributes.md)
+ [使用 CloudHSM CLI 篩選金鑰](manage-keys-cloudhsm-cli-filtering.md)
+ [CloudHSM CLI 中的 generate-asymmetric-pair 類別](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [CloudHSM CLI 中的產生對稱類別](cloudhsm_cli-key-generate-symmetric.md)
# CloudHSM CLI 中的 generate-asymmetric-pair 類別
在 CloudHSM CLI 中, **key generate-asymmetric-pair** 是一組命令的父類別,當 與父類別結合時,會建立產生非對稱金鑰對的命令。目前,此類別由以下命令組成:
+ [產生非對稱 EC 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [產生非對稱 RSA 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# 使用 CloudHSM CLI 產生非對稱 EC 金鑰對
在 CloudHSM CLI 中使用 **key asymmetric-pair ec**命令,在您的 AWS CloudHSM 叢集中產生非對稱橢圓曲線 (EC) 金鑰對。
## 使用者類型
下列類型的使用者可以執行此命令。
+ 加密使用者 (CU)
## 要求
若要執行此命令,必須以 CU 的身分登入。
## 語法
```
aws-cloudhsm > help key generate-asymmetric-pair ec
Generate an Elliptic-Curve Cryptography (ECC) key pair
Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label --private-label --curve
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--public-label
Label for the public key
--private-label
Label for the private key
--session
Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
--curve
Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1, ed25519]
--public-attributes [...]
Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--private-attributes [...]
Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--share-crypto-users [...]
Space separated list of Crypto User usernames to share the EC private key with
--manage-private-key-quorum-value
The quorum value for key management operations for the private key
--use-private-key-quorum-value
The quorum value for key usage operations for the private key
-h, --help
Print help
```
## 範例
下列範例示範如何使用 **key generate-asymmetric-pair ec** 命令來建立 EC 金鑰對。
**Example 範例:建立 EC 金鑰對**
```
aws-cloudhsm > key generate-asymmetric-pair ec \
--curve secp224r1 \
--public-label ec-public-key-example \
--private-label ec-private-key-example
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x000000000012000b",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "ec",
"label": "ec-public-key-example",
"id": "",
"check-value": "0xd7c1a7",
"class": "public-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 57,
"ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
"curve": "secp224r1"
}
},
"private_key": {
"key-reference": "0x000000000012000c",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "ec",
"label": "ec-private-key-example",
"id": "",
"check-value": "0xd7c1a7",
"class": "private-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 122,
"ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
"curve": "secp224r1"
}
}
}
}
```
**Example 範例:建立具有選用屬性的 EC 金鑰對**
```
aws-cloudhsm > key generate-asymmetric-pair ec \
--curve secp224r1 \
--public-label ec-public-key-example \
--private-label ec-private-key-example \
--public-attributes encrypt=true \
--private-attributes decrypt=true
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x00000000002806eb",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "ec",
"label": "ec-public-key-example",
"id": "",
"check-value": "0xedef86",
"class": "public-key",
"encrypt": true,
"decrypt": false,
"token": true,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 57,
"ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
"curve": "secp224r1"
}
},
"private_key": {
"key-reference": "0x0000000000280c82",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "ec",
"label": "ec-private-key-example",
"id": "",
"check-value": "0xedef86",
"class": "private-key",
"encrypt": false,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 122,
"ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
"curve": "secp224r1"
}
}
}
}
```
**Example 範例:使用規定人數值建立 EC 金鑰對**
使用規定人數控制產生金鑰時,該金鑰必須與等於最大金鑰規定人數值的最小使用者數目相關聯。關聯的使用者包括金鑰擁有者和與金鑰共用的加密使用者。若要判斷要共用金鑰的最小使用者數量,請取得金鑰使用量值與金鑰管理量值之間的最大規定人數值,並減去 1 以考慮金鑰擁有者,該擁有者預設與金鑰相關聯。若要與更多使用者共用金鑰,請使用 **[使用 CloudHSM CLI 共用金鑰](cloudhsm_cli-key-share.md)**命令。
```
aws-cloudhsm > key generate-asymmetric-pair ec \
--curve secp224r1 \
--public-label ec-public-key-example \
--private-label ec-private-key-example \
--public-attributes verify=true \
--private-attributes sign=true
--share-crypto-users cu2 cu3 cu4 \
--manage-private-key-quorum-value 4 \
--use-private-key-quorum-value 2
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x00000000002806eb",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "ec",
"label": "ec-public-key-example",
"id": "",
"check-value": "0xedef86",
"class": "public-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": true,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 57,
"ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
"curve": "secp224r1"
}
},
"private_key": {
"key-reference": "0x0000000000280c82",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [
{
"username": "cu2",
"key-coverage": "full"
},
{
"username": "cu3",
"key-coverage": "full"
},
{
"username": "cu4",
"key-coverage": "full"
},
],
"key-quorum-values": {
"manage-key-quorum-value": 4,
"use-key-quorum-value": 2
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "ec",
"label": "ec-private-key-example",
"id": "",
"check-value": "0xedef86",
"class": "private-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": true,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 122,
"ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
"curve": "secp224r1"
}
}
}
}
```
## 引數
******
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
***