Verwenden der CloudHSM-CLI zum Generieren von Schlüsseln - AWS CloudHSM
Generieren von symmetrischen SchlüsselnGenerieren von asymmetrischen SchlüsselnVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der CloudHSM-CLI zum Generieren von Schlüsseln

Bevor Sie einen Schlüssel generieren können, müssen Sie CloudHSM-CLI starten und sich als Crypto-Benutzer (CU) anmelden. Zum Generieren der Schlüssel auf dem HSM verwenden Sie den entsprechenden Befehl für die Art von Schlüssel, die Sie erstellen möchten.

Generieren von symmetrischen Schlüsseln

Verwenden Sie die unter key generate-symmetric aufgeführten Befehle, um symmetrische Schlüssel zu generieren. Verwenden Sie den Befehl help key generate-symmetric, um alle verfügbaren Optionen anzuzeigen.

Generieren eines AES-Schlüssels

Verwenden Sie den key generate-symmetric aes-Befehl, um AES-Schlüssel zu generieren. Verwenden Sie den Befehl help key generate-symmetric aes, um alle verfügbaren Optionen anzuzeigen.

Das folgende Beispiel generiert einen 32-Byte-AES-Schlüssel.

aws-cloudhsm > key generate-symmetric aes \
    --label aes-example \
    --key-length-bytes 32

Argumente

<LABEL>

Gibt eine benutzerdefinierte Bezeichnung für den AES-Schlüssel an.

Erforderlich: Ja

<KEY-LENGTH-BYTES>

Gibt die Schlüssellänge in Byte an.

Zulässige Werte:

  • 16, 24 und 32

Erforderlich: Ja

<KEY_ATTRIBUTES>

Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten AES-Schlüssel festgelegt werden sollen, in der Form von KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (z. B. token=true)

Eine Liste der unterstützten AWS CloudHSM Schlüsselattribute finden Sie unterSchlüsselattribute für CloudHSM-CLI.

Erforderlich: Nein

<SESSION>

Erstellt einen Schlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden. Verwenden Sie diesen Parameter, wenn Sie einen Schlüssel zum Packen nur für kurze Zeit benötigen, z. B. einen Schlüssel, der einen anderen Schlüssel verschlüsselt und dann schnell entschlüsselt. Verwenden Sie keinen Sitzungsschlüssel, um Daten zu verschlüsseln, die Sie nach dem Ende der Sitzung möglicherweise entschlüsseln müssen.

Um einen Sitzungsschlüssel in einen persistenten (Token-)Schlüssel zu ändern, verwenden Sie key set-attribute.

Wenn Schlüssel generiert werden, handelt es sich standardmäßig um persistente/Token-Schlüssel. Die Verwendung von <SESSION> ändert dies und stellt sicher, dass ein mit diesem Argument erzeugter Schlüssel eine Sitzung/ephemisch ist

Erforderlich: Nein

Generieren Sie einen generischen geheimen Schlüssel

Verwenden Sie den key generate-symmetric generic-secret-Befehl, um generische geheime Schlüssel zu generieren. Verwenden Sie den Befehl help key generate-symmetric generic-secret, um alle verfügbaren Optionen anzuzeigen.

Das folgende Beispiel generiert einen generischen 32-Byte-Schlüssel.

aws-cloudhsm > key generate-symmetric generic-secret \
    --label generic-secret-example \
    --key-length-bytes 32
Argumente
<LABEL>

Gibt eine benutzerdefinierte Bezeichnung für den generischen geheimen Schlüssel an.

Erforderlich: Ja

<KEY-LENGTH-BYTES>

Gibt die Schlüssellänge in Byte an.

Zulässige Werte:

  • 1 bis 800

Erforderlich: Ja

<KEY_ATTRIBUTES>

Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten generischen geheimen Schlüssel festgelegt werden sollen, in der Form von KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (z. B. token=true)

Eine Liste der unterstützten AWS CloudHSM Schlüsselattribute finden Sie unterSchlüsselattribute für CloudHSM-CLI.

Erforderlich: Nein

<SESSION>

Erstellt einen Schlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden. Verwenden Sie diesen Parameter, wenn Sie einen Schlüssel zum Packen nur für kurze Zeit benötigen, z. B. einen Schlüssel, der einen anderen Schlüssel verschlüsselt und dann schnell entschlüsselt. Verwenden Sie keinen Sitzungsschlüssel, um Daten zu verschlüsseln, die Sie nach dem Ende der Sitzung möglicherweise entschlüsseln müssen.

Um einen Sitzungsschlüssel in einen persistenten (Token-)Schlüssel zu ändern, verwenden Sie key set-attribute.

Wenn Schlüssel generiert werden, handelt es sich standardmäßig um persistente/Token-Schlüssel. Die Verwendung von <SESSION> ändert dies und stellt sicher, dass ein mit diesem Argument erzeugter Schlüssel eine Sitzung/ephemisch ist

Erforderlich: Nein

Generieren von asymmetrischen Schlüsseln

Verwenden Sie die in Schlüssel generate-asymmetric-pair aufgeführten Befehle, um asymmetrische Schlüsselpaare zu erzeugen.

Generieren Sie einen RSA-Schlüssel

Verwenden Sie den key generate-asymmetric-pair rsa-Befehl, um ein RSA-Schlüsselpaar zu erzeugen. Verwenden Sie den Befehl help key generate-asymmetric-pair rsa, um alle verfügbaren Optionen anzuzeigen.

Das folgende Beispiel generiert ein 2048-Bit-RSA-Schlüsselpaar.

aws-cloudhsm > key generate-asymmetric-pair rsa \
    --public-exponent 65537 \
    --modulus-size-bits 2048 \
    --public-label rsa-public-example \
    --private-label rsa-private-example

Argumente

<PUBLIC_LABEL>

Gibt eine benutzerdefinierte Bezeichnung für den öffentlichen Schlüssel an.

Erforderlich: Ja

<PRIVATE_LABEL>

Gibt eine benutzerdefinierte Bezeichnung für den private-key an.

Erforderlich: Ja

<MODULUS_SIZE_BITS>

Gibt die Länge des Moduls in Bits an. Der minimale Wert beträgt 2048.

Erforderlich: Ja

<PUBLIC_EXPONENT>

Gibt den öffentlichen Exponenten an. Bei diesem Wert muss es sich eine ungerade Zahl gleich oder größer als 65537 handeln.

Erforderlich: Ja

<PUBLIC_KEY_ATTRIBUTES>

Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten öffentlichen RSA-Schlüssel festgelegt werden sollen, in der Form von KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (z. B. token=true).

Eine Liste der unterstützten AWS CloudHSM Schlüsselattribute finden Sie unterSchlüsselattribute für CloudHSM-CLI.

Erforderlich: Nein

<SESSION>

Erstellt einen Schlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden. Verwenden Sie diesen Parameter, wenn Sie einen Schlüssel zum Packen nur für kurze Zeit benötigen, z. B. einen Schlüssel, der einen anderen Schlüssel verschlüsselt und dann schnell entschlüsselt. Verwenden Sie keinen Sitzungsschlüssel, um Daten zu verschlüsseln, die Sie nach dem Ende der Sitzung möglicherweise entschlüsseln müssen.

Um einen Sitzungsschlüssel in einen persistenten (Token-)Schlüssel zu ändern, verwenden Sie key set-attribute.

Wenn Schlüssel generiert werden, handelt es sich standardmäßig um persistente/Token-Schlüssel. Die Verwendung von <SESSION> ändert dies und stellt sicher, dass ein mit diesem Argument erzeugter Schlüssel eine Sitzung/ephemisch ist

Erforderlich: Nein

Generieren von ECC- (Elliptic Curve Cryptography-)Schlüsselpaaren

Verwenden Sie den key generate-asymmetric-pair ec-Befehl, um ein EC-Schlüsselpaar zu generieren. Wenn Sie alle verfügbaren Optionen, einschließlich einer Liste der unterstützten Ellipsenkurven anzeigen möchten, verwenden Sie den Befehl help key generate-asymmetric-pair ec.

Das folgende Beispiel erzeugt ein EC-Schlüsselpaar unter Verwendung der elliptischen Kurve Secp384r1.

aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp384r1 \
    --public-label ec-public-example \
    --private-label ec-private-example
Argumente
<PUBLIC_LABEL>

Gibt eine benutzerdefinierte Bezeichnung für den öffentlichen Schlüssel an. Die maximal zulässige Größe für Client SDK 5.11 und höher label beträgt 127 Zeichen. Das Client-SDK 5.10 und früher ist auf 126 Zeichen begrenzt.

Erforderlich: Ja

<PRIVATE_LABEL>

Gibt eine benutzerdefinierte Bezeichnung für den private-key an. Die maximal zulässige Größe für Client-SDK 5.11 und höher label beträgt 127 Zeichen. Das Client-SDK 5.10 und früher ist auf 126 Zeichen begrenzt.

Erforderlich: Ja

<CURVE>

Gibt die ID für die elliptische Kurve an.

Zulässige Werte:

  • prime256v1

  • secp256r1

  • secp224r1

  • secp384r1

  • secp256k1

  • secp521r1

Erforderlich: Ja

<PUBLIC_KEY_ATTRIBUTES>

Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten öffentlichen EC-Schlüssel festgelegt werden sollen, in der Form von KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (z. B. token=true).

Eine Liste der unterstützten AWS CloudHSM Schlüsselattribute finden Sie unterSchlüsselattribute für CloudHSM-CLI.

Erforderlich: Nein

<PRIVATE_KEY_ATTRIBUTES>

Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten privaten EC-Schlüssel festgelegt werden sollen, in der Form von KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (z. B. token=true).

Eine Liste der unterstützten AWS CloudHSM Schlüsselattribute finden Sie unterSchlüsselattribute für CloudHSM-CLI.

Erforderlich: Nein

<SESSION>

Erstellt einen Schlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden. Verwenden Sie diesen Parameter, wenn Sie einen Schlüssel zum Packen nur für kurze Zeit benötigen, z. B. einen Schlüssel, der einen anderen Schlüssel verschlüsselt und dann schnell entschlüsselt. Verwenden Sie keinen Sitzungsschlüssel, um Daten zu verschlüsseln, die Sie nach dem Ende der Sitzung möglicherweise entschlüsseln müssen.

Um einen Sitzungsschlüssel in einen persistenten (Token-)Schlüssel zu ändern, verwenden Sie key set-attribute.

Standardmäßig handelt es sich bei den generierten Schlüsseln um persistente (Token-)Schlüssel. Das Übergeben von <SESSION> ändert dies und stellt sicher, dass es sich bei einem mit diesem Argument generierten Schlüssel um einen (kurzlebigen) Sitzungsschlüssel handelt.

Erforderlich: Nein

Verwandte Themen