使用 匯入私有金鑰 AWS CloudHSM KMU - AWS CloudHSM
語法範例參數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 匯入私有金鑰 AWS CloudHSM KMU

使用 AWS CloudHSM key_mgmt_util 中的 importPrivateKey命令,將非對稱私有金鑰從檔案匯入硬體安全模組 (HSM)。HSM 不允許以純文字直接匯入金鑰。命令會使用您指定的AES包裝金鑰加密私有金鑰,並在 內取消包裝金鑰HSM。如果您嘗試將 AWS CloudHSM 金鑰與憑證建立關聯,請參閱此主題

注意

您不能使用對稱或私有PEM金鑰匯入受密碼保護的金鑰。

您必須指定具有 OBJ_ATTR_ENCRYPT OBJ_ATTR_UNWRAP和 屬性值 的AES包裝金鑰1。若要尋找金鑰的屬性,請使用 getAttribute 命令。

注意

此命令不提供將匯入金鑰標記為不可匯出的選項。

在執行任何 key_mgmt_util 命令之前,您必須啟動 key_mgmt_util,並以加密使用者 (CU) HSM身分登入

語法

importPrivateKey -h

importPrivateKey -l <label>
                 -f <key-file>
                 -w <wrapping-key-handle>
                 [-sess]
                 [-id <key-id>]
                 [-m_value <0...8>]
                 [min_srv <minimum-number-of-servers>]
                 [-timeout <number-of-seconds>]
                 [-u <user-ids>]
                 [-wk <wrapping-key-file>]
                 [-attest]

範例

此範例示範如何使用 importPrivateKey將私有金鑰匯入 HSM。

範例 :匯入私有金鑰

此命令會從名為 rsa2048.key 且包含標籤 rsa2048-imported 的檔案,以及包含控制代碼 524299 的包裝金鑰,匯入私有金鑰。命令成功時,importPrivateKey 會傳回已匯入金鑰的金鑰控制代碼和成功訊息。

Command: importPrivateKey -f rsa2048.key -l rsa2048-imported -w 524299

BER encoded key length is 1216

Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS

Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS

Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS

Private Key Unwrapped.  Key Handle: 524301

Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

參數

此命令會使用下列參數。

-h

顯示命令的命令列說明。

必要:是

-l

指定使用者定義的私有金鑰標籤。

必要:是

-f

指定要匯入之金鑰的檔案名稱。

必要:是

-w

指定包裝金鑰的金鑰控制代碼。此為必要參數。若要找出金鑰控制代碼,請使用 findKey 命令。

若要判斷金鑰是否可以做為包裝金鑰使用,請使用 getAttribute 取得 OBJ_ATTR_WRAP 屬性 (262) 的值。若要建立包裝金鑰,請使用 genSymKey來建立AES金鑰 (類型 31)。

如果您使用 -wk 參數來指定外部的取消包裝金鑰,則在匯入期間會使用 -w 包裝金鑰來進行包裝,但不會用來取消包裝。

必要:是

-sess

將已匯入金鑰指定為工作階段金鑰。

預設:匯入的金鑰在叢集中保留為持久性 (符記) 金鑰。

必要:否

-id

指定要匯入之金鑰的 ID。

預設:無 ID 值。

必要:否

-m_value

指定必須核准使用匯入金鑰之密碼編譯操作的使用者數量。輸入從 08 的值。

只有當命令中的 -u 參數與足夠的使用者共享金鑰以符合 m_value 要求,此參數才有效。

預設:0

必要:否

-min_srv

指定參數值-timeout過期前,匯入的金鑰在HSMs其中同步的最小數量。如果未在規定時間內同步至指定數量的伺服器,金鑰就不會建立。

AWS CloudHSM 會自動將每個金鑰同步到叢集HSM中的每個金鑰。若要加快程序,請將 的值設定為min_srv小於叢集HSMs中的 數量,並設定低逾時值。然而,請注意有些請求可能不會產生金鑰。

預設:1

必要:否

-timout

指定當包含 min-serv 參數HSMs時,等待金鑰同步的秒數。如果未指定秒數,將持續輪詢下去。

預設:無限制

必要:否

-u

指定要分享匯入之私有金鑰的使用者清單。此參數授予其他HSM加密使用者 (CUs) 在密碼編譯操作中使用匯入金鑰的許可。

輸入以逗號分隔HSM的使用者 清單IDs,例如 -u 5,6。請勿包含目前HSM使用者的使用者 ID。若要在 CUs上尋找 IDs HSM的使用者HSM,請使用 listUsers

預設:只有現行使用者能夠使用匯入的金鑰。

必要:否

-wk

指定用於將匯入之金鑰包裝的金鑰。輸入包含純文字AES索引鍵之檔案的路徑和名稱。

當您加入此參數時,importPrivateKey 會使用 -wk 檔案中的金鑰來包裝匯入的金鑰。它也會使用 -w 參數指定的金鑰。

預設:使用在 -w 參數中指定的包裝金鑰來進行包裝和取消包裝。

必要:否

-attest

請對韌體回應進行證明檢查,以確保上面有叢集執行的韌體並未遭到盜用。

必要:否

相關主題