本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 匯出私有 AWS CloudHSM 金鑰 KMU
使用 AWS CloudHSM key_mgmt_util 中的 exportPrivateKey命令,將非對稱私有金鑰從硬體安全模組 (HSM) 匯出至 檔案。HSM 不允許以純文字直接匯出金鑰。命令會使用您指定的AES包裝金鑰來包裝私有金鑰、解密包裝的位元組,並將純文字私有金鑰複製到 檔案。
exportPrivateKey 命令不會從 移除金鑰HSM、變更其金鑰屬性,或阻止您在進一步的密碼編譯操作中使用金鑰。您可以多次匯出相同的金鑰。
您只能匯出私有金鑰具有 OBJ_ATTR_EXTRACTABLE 屬性值 1。您必須指定具有 OBJ_ATTR_WRAP和 OBJ_ATTR_DECRYPT 屬性值 的AES包裝金鑰1。若要尋找金鑰的屬性,請使用 getAttribute 命令。
在執行任何 key_mgmt_util 命令之前,您必須啟動 key_mgmt_util,並以加密使用者 (CU) HSM身分登入 。
語法
exportPrivateKey -h exportPrivateKey -k<private-key-handle-w<wrapping-key-handle>-out<key-file>[-m<wrapping-mechanism>] [-wk<wrapping-key-file>]
範例
此範例示範如何使用 從 匯出exportPrivateKey私有金鑰HSM。
範例 :匯出私有金鑰
此命令15會使用具有 處理常式的包裝金鑰,將具有 處理常式的私有金鑰匯出16至名為 PEM的檔案exportKey.pem。當命令成功時,exportPrivateKey 會傳回成功訊息。
Command:exportPrivateKey -k 15 -w 16 -out exportKey.pemCfm3WrapKey returned: 0x00 : HSM Return: SUCCESS Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS PEM formatted private key is written to exportKey.pem
參數
此命令會使用下列參數。
-h-
顯示命令的命令列說明。
必要:是
-k-
指定要匯出之私有金鑰的金鑰控制代碼。
必要:是
-w-
指定包裝金鑰的金鑰控制代碼。此為必要參數。若要找出金鑰控制代碼,請使用 findKey 命令。
若要判斷金鑰是否可以做為包裝金鑰使用,請使用 getAttribute 取得
OBJ_ATTR_WRAP屬性 (262) 的值。若要建立包裝金鑰,請使用 genSymKey來建立AES金鑰 (類型 31)。如果您使用
-wk參數來指定外部的取消包裝金鑰,則在匯出期間會使用-w包裝金鑰來進行包裝,但不會用來取消包裝。必要:是
-out-
指定將寫入匯出之私有金鑰的檔案名稱。
必要:是
-m-
指定用來包裝匯出之私有金鑰的包裝機制。唯一的有效值是
4,這代表NIST_AES_WRAP mechanism.。預設:4 (
NIST_AES_WRAP)必要:否
-wk-
指定用於將匯出之金鑰取消包裝的金鑰。輸入包含純文字AES索引鍵之檔案的路徑和名稱。
當您加入此參數時,exportPrivateKey 會使用在
-w檔案中的金鑰來包裝要匯出的金鑰,並使用-wk參數指定的金鑰來取消包裝此金鑰。預設:使用在
-w參數中指定的包裝金鑰來進行包裝和取消包裝。必要:否
相關主題
