Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Wie verwendet man vertrauenswürdige Schlüssel, um Datenschlüssel einzuschließen AWS CloudHSM
Um einen vertrauenswürdigen Schlüssel zum Einbinden eines Datenschlüssels zu verwenden AWS CloudHSM, müssen Sie drei grundlegende Schritte ausführen:
1. Für den Datenschlüssel, den Sie mit einem vertrauenswürdigen Schlüssel umschließen möchten, setzen Sie dessen `CKA_WRAP_WITH_TRUSTED`-Attribut auf „true“.
1. Setzen Sie für den vertrauenswürdigen Schlüssel, mit dem Sie den Datenschlüssel umschließen möchten, dessen `CKA_TRUSTED`-Attribut auf „true“.
1. Verwenden Sie den vertrauenswürdigen Schlüssel, um den Datenschlüssel zu umschließen.
## Schritt 1: Das Datenschlüsselattribut `CKA_WRAP_WITH_TRUSTED` auf „true“ setzen
Wählen Sie für den Datenschlüssel, den Sie umschließen möchten, eine der folgenden Optionen, um das `CKA_WRAP_WITH_TRUSTED`-Schlüsselattribut auf „true“ zu setzen. Dadurch wird der Datenschlüssel eingeschränkt, so dass Anwendungen nur vertrauenswürdige Schlüssel verwenden können, um ihn zu verschlüsseln.
### Option 1: Wenn Sie einen neuen Schlüssel generieren, setzen Sie `CKA_WRAP_WITH_TRUSTED` auf „true“
Generieren Sie einen Schlüssel mit [PKCS \$111](pkcs11-library.md), [JCE](java-library.md) oder [CloudHSM-CLI](cloudhsm_cli.md). Weitere Einzelheiten finden Sie in den folgenden Beispielen.
------
#### [ PKCS \$111 ]
Um einen Schlüssel mit PKCS \$111 zu generieren, müssen Sie das `CKA_WRAP_WITH_TRUSTED`-Attribut des Schlüssels auf „true“ setzen. Wie im folgenden Beispiel gezeigt, tun Sie dies, indem Sie dieses Attribut in die `CK_ATTRIBUTE template` des Schlüssels aufnehmen und das Attribut dann auf „true“ setzen:
```
CK_BYTE_PTR label = "test_key";
CK_ATTRIBUTE template[] = {
{CKA_WRAP_WITH_TRUSTED, &true_val, sizeof(CK_BBOOL)},
{CKA_LABEL, label, strlen(label)},
...
};
```
Weitere Informationen finden Sie in [unseren öffentlichen Beispielen, die die Schlüsselgenerierung mit PKCS \$111 demonstrieren](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/tree/master/src/generate).
------
#### [ JCE ]
Um einen Schlüssel mit JCE zu generieren, müssen Sie das `WRAP_WITH_TRUSTED`-Attribut des Schlüssels auf „true“ setzen. Wie im folgenden Beispiel gezeigt, tun Sie dies, indem Sie dieses Attribut in die `KeyAttributesMap` des Schlüssels aufnehmen und das Attribut dann auf „true“ setzen:
```
final String label = "test_key";
final KeyAttributesMap keySpec = new KeyAttributesMap();
keySpec.put(KeyAttribute.WRAP_WITH_TRUSTED, true);
keySpec.put(KeyAttribute.LABEL, label);
...
```
Weitere Informationen finden Sie in [unseren öffentlichen Beispielen, die die Schlüsselgenerierung mit JCE demonstrieren](https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-samples.html#java-samples-code_5).
------
#### [ CloudHSM CLI ]
Um einen Schlüssel mit CloudHSM CLI zu generieren, müssen Sie das `wrap-with-trusted`-Attribut des Schlüssels auf „true“ setzen. Fügen Sie dazu `wrap-with-trusted=true` in das entsprechende Argument für den Befehl zur Schlüsselgenerierung ein:
+ Bei symmetrischen Schlüsseln fügen Sie `wrap-with-trusted` zum `attributes`-Argument hinzu.
+ Bei öffentlichen Schlüsseln fügen Sie `wrap-with-trusted` zum `public-attributes`-Argument hinzu.
+ Bei privaten Schlüsseln fügen Sie `wrap-with-trusted` zum `private-attributes`-Argument hinzu.
Weitere Informationen zur Generierung von Schlüsselpaaren finden Sie unter [Die generate-asymmetric-pair Kategorie in CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md).
Weitere Informationen zur Generierung von symmetrischen Schlüsseln finden Sie unter [Die Kategorie „Symmetrisch generieren“ in CloudHSM CLI](cloudhsm_cli-key-generate-symmetric.md).
------
### Option 2: Wenn Sie einen vorhandenen Schlüssel verwenden, verwenden Sie die CloudHSM CLI, um `CKA_WRAP_WITH_TRUSTED` auf „true“ zu setzen
Gehen Sie wie folgt vor, um das `CKA_WRAP_WITH_TRUSTED`-Attribut eines vorhandenen Schlüssels auf „true“ zu setzen:
1. Verwenden Sie den [Melden Sie sich mit der CloudHSM-CLI bei einem HSM an](cloudhsm_cli-login.md)-Befehl, um sich als Crypto-Benutzer (CU) anzumelden.
1. Verwenden Sie den [Legen Sie die Attribute von Schlüsseln mit der CloudHSM-CLI fest](cloudhsm_cli-key-set-attribute.md)-Befehl, um das `wrap-with-trusted`-Schlüsselattribut auf „true“ zu setzen.
```
aws-cloudhsm > key set-attribute --filter attr.label=test_key --name wrap-with-trusted --value true
{
"error_code": 0,
"data": {
"message": "Attribute set successfully"
}
}
```
## Schritt 2: Festlegen von `CKA_TRUSTED` des vertrauenswürdigen Schlüssels auf „true“
Um einen Schlüssel zu einem vertrauenswürdigen Schlüssel zu machen, muss sein `CKA_TRUSTED`-Attribut auf „true“ gesetzt werden. Sie können dazu entweder CloudHSM-CLI oder das CloudHSM Management Utility (CMU) verwenden.
+ Wenn Sie die CloudHSM-CLI verwenden, um das `CKA_TRUSTED`-Attribut eines Schlüssels festzulegen, finden Sie weitere Informationen unter [Markieren Sie einen Schlüssel mithilfe der CloudHSM-CLI als vertrauenswürdig](manage-keys-cloudhsm-cli-trusted.md).
+ Wenn Sie die CMU verwenden, um das `CKA_TRUSTED`-Attribut eines Schlüssels festzulegen, finden Sie weitere Informationen unter [So markieren Sie einen Schlüssel mit dem AWS CloudHSM Management Utility als vertrauenswürdig](cloudhsm_using_trusted_keys_control_key_wrap.md).
## Schritt 3. Verwenden Sie den vertrauenswürdigen Schlüssel, um den Datenschlüssel zu umschließen
Codebeispiele finden Sie unter den folgenden Links, um den in Schritt 1 referenzierten Datenschlüssel mit dem vertrauenswürdigen Schlüssel zu verbinden, den Sie in Schritt 2 festgelegt haben. In jedem Beispiel wird gezeigt, wie Schlüssel umgebrochen werden.
+ [AWS CloudHSM PKCS \$111 -Beispiele](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/tree/master/src/wrapping)
+ [AWS CloudHSM JCE-Beispiele](https://github.com/aws-samples/aws-cloudhsm-jce-examples/tree/sdk5/src/main/java/com/amazonaws/cloudhsm/examples)