Importieren von Schlüsseln

Um geheime Schlüssel, d. h. symmetrische Schlüssel und asymmetrische private Schlüssel in das HSM zu importieren, müssen Sie zunächst einen Wrapping-Schlüssel im HSM erstellen. Öffentliche Schlüssel können direkt ohne Umhüllungsschlüssel importiert werden.

Importieren geheimer Schlüssel

Führen Sie die folgenden Schritte aus, um einen geheimen Schlüssel zu importieren. Wenn Sie einen geheimen Schlüssel importieren möchten, speichern Sie ihn zunächst in einer Datei. Speichern Sie symmetrische Schlüssel als Rohbytes und asymmetrische private Schlüssel im PEM-Format.

Dieses Beispiel zeigt, wie man einen geheimen Klartext-Schlüssel aus einer Datei in das HSM importiert. Um einen verschlüsselten Schlüssel aus einer Datei in das HSM zu importieren, verwenden Sie den Befehl. unWrapKey

So importieren Sie einen geheimen Schlüssel

1. Verwenden Sie den genSymKeyBefehl, um einen Wrapping-Schlüssel zu erstellen. Mit dem folgenden Befehl wird ein 128-Bit-AES-Schlüssel erstellt, der nur für die aktuelle Sitzung gilt. Sie können einen Sitzungsschlüssel oder einen persistenten Schlüssel als Wrapping-Schlüssel verwenden.

   Command: genSymKey -t 31 -s 16 -sess -l import-wrapping-key
   Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
   
   Symmetric Key Created.  Key Handle: 524299
   
   Cluster Error Status
   Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

2. Verwenden Sie, abhängig vom Typ des geheimen Schlüssels, den Sie importieren, einen der folgenden Befehle.

   • Verwenden Sie den imSymKeyBefehl, um einen symmetrischen Schlüssel zu importieren. Mit dem folgenden Befehl wird ein AES-Schlüssel aus einer Datei mit dem Namen aes256.key importiert, wobei der im vorangehenden Schritt erstellte Umhüllungsschlüssel benötigt wird. Verwenden Sie den Befehl imSymKey -h, um alle verfügbaren Optionen anzuzeigen.

     Command: imSymKey -f aes256.key -t 31 -l aes256-imported -w 524299
     Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
     
     Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS
     
     Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS
     
     Symmetric Key Unwrapped.  Key Handle: 524300
     
     Cluster Error Status
     Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
     Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
     Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

   • Verwenden Sie den Befehl, um einen asymmetrischen privaten Schlüssel zu importieren. importPrivateKey Mit dem folgenden Befehl wird ein privater Schlüssel aus einer Datei mit dem Namen rsa2048.key importiert, wobei der im vorangehenden Schritt erstellte Umhüllungsschlüssel benötigt wird. Verwenden Sie den Befehl importPrivateKey -h, um alle verfügbaren Optionen anzuzeigen.

     Command: importPrivateKey -f rsa2048.key -l rsa2048-imported -w 524299
     BER encoded key length is 1216
     
     Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
     
     Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS
     
     Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS
     
     Private Key Unwrapped.  Key Handle: 524301
     
     Cluster Error Status
     Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
     Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
     Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

Importieren von öffentlichen Schlüsseln

Verwenden Sie den importPubKeyBefehl, um einen öffentlichen Schlüssel zu importieren. Verwenden Sie den Befehl importPubKey -h, um alle verfügbaren Optionen anzuzeigen.

Im folgenden Beispiel wird öffentlicher RSA-Schlüssel aus einer Datei mit dem Namen rsa2048.pub importiert.

Command: importPubKey -f rsa2048.pub -l rsa2048-public-imported
Cfm3CreatePublicKey returned: 0x00 : HSM Return: SUCCESS

Public Key Handle: 524302

Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS