Clase de Java KeyStore del AWS CloudHSM para Client SDK 5
La clase KeyStore
de AWS CloudHSM proporciona un almacén de claves PKCS12 para fines especiales. Este almacén de claves puede almacenar certificados junto con datos de la clave y relacionar estos certificados con los datos de clave que están almacenados en AWS CloudHSM. La clase KeyStore
de AWS CloudHSM implementa la interfaz de proveedor de servicios (SPI) KeyStore
de Java Cryptography Extension (JCE). Para obtener más información sobre el uso de KeyStore
, consulte Clase KeyStore
nota
Como los certificados son información pública, para maximizar la capacidad de almacenamiento de las claves criptográficas, AWS CloudHSM no permite almacenar certificados en los HSM.
Elegir el almacén de claves adecuado para Client SDK 5 de AWS CloudHSM
El proveedor de la extensión criptográfica de Java (JCE) de AWS CloudHSM ofrece un AWS CloudHSM KeyStore específico. La clase KeyStore
de AWS CloudHSM admite la transferencia de operaciones clave al HSM, el almacenamiento local de certificados y las operaciones basadas en certificados.
Cargue el almacén de claves de CloudHSM para usos especiales de la siguiente manera:
KeyStore ks = KeyStore.getInstance("CloudHSM")
Inicializar la KeyStore del AWS CloudHSM para Client SDK 5
Inicie sesión en el almacén de claves de AWS CloudHSM de la misma manera que inicia sesión en el proveedor de JCE. Puede utilizar variables de entorno o el archivo de propiedades del sistema, aunque debe iniciar sesión antes de empezar a usar el almacén de claves de CloudHSM. Para ver un ejemplo de inicio de sesión en un HSM mediante el proveedor JCE, consulte Inicio de sesión en un HSM
Si lo desea, puede especificar una contraseña para cifrar el archivo PKCS12 local que contiene los datos del almacén de claves. Cuando se crea el almacén de claves de AWS CloudHSM, se establece la contraseña, que se proporciona cuando se utilizan los métodos load, set y get.
Para crear instancias de un nuevo objeto KeyStore de CloudHSM, haga lo siguiente:
ks.load(null, null);
Para escribir los datos del almacén de claves en un archivo, utilice el método store
. A partir de ese momento, puede cargar el almacén de claves existente utilizando el método load
con el archivo de origen y la contraseña de la siguiente manera:
ks.load(inputStream, password);
Usar la KeyStore del AWS CloudHSM para Client SDK 5 de AWS CloudHSM
El objeto KeyStore de AWS CloudHSM se ajusta a la especificación de la clase KeyStore
-
load
Carga el almacén de claves a partir de la secuencia de entrada especificada. Si se estableció una contraseña al guardar el almacén de claves, debe proporcionarse esta misma contraseña para que la carga se realice correctamente. Establezca los dos parámetros en null para inicializar un nuevo almacén de claves vacío.
KeyStore ks = KeyStore.getInstance("CloudHSM"); ks.load(inputStream, password);
-
aliases
Devuelve una enumeración de los nombres de alias de todas las entradas de la instancia especificada del almacén de claves. Los resultados incluyen objetos almacenados localmente en el archivo PKCS12 y objetos residentes en el HSM.
Código de muestra:
KeyStore ks = KeyStore.getInstance("CloudHSM"); for(Enumeration<String> entry = ks.aliases(); entry.hasMoreElements();) { String label = entry.nextElement(); System.out.println(label); }
-
containsalias
Devuelve true si el almacén de claves tiene acceso al menos a un objeto con el alias especificado. El almacén de claves comprueba los objetos almacenados localmente en el archivo PKCS12 y los objetos residentes en el HSM.
-
deleteEntry
Elimina una entrada de certificado del archivo PKCS12 local. No se pueden eliminar datos de claves almacenados en un HSM utilizando el objeto KeyStore de AWS CloudHSM. Puede eliminar las claves mediante el método
destroy
de la interfaz Destruible. ((Destroyable) key).destroy();
-
getCertificate
Devuelve el certificado asociado a un alias, si está disponible. Si el alias no existe o hace referencia a un objeto que no es un certificado, la función devuelve NULL.
KeyStore ks = KeyStore.getInstance("CloudHSM"); Certificate cert = ks.getCertificate(alias);
-
getCertificateAlias
Devuelve el nombre (alias) de la primera entrada del almacén de claves cuyos datos coinciden con el certificado especificado.
KeyStore ks = KeyStore.getInstance("CloudHSM"); String alias = ks.getCertificateAlias(cert);
-
getCertificateChain
Devuelve la cadena de certificados asociada con el alias especificado. Si el alias no existe o hace referencia a un objeto que no es un certificado, la función devuelve NULL.
-
getCreationDate
Devuelve la fecha de creación de la entrada identificada por el alias especificado. Si no hay disponible ninguna fecha de creación, la función devuelve la fecha en la que el certificado pasó a ser válido.
-
getKey
GetKey se pasa al HSM y devuelve un objeto de clave que se corresponde con la etiqueta especificada. Como
getKey
consulta directamente el HSM, puede utilizarse con cualquier clave del HSM, independientemente de si la generó KeyStore.Key key = ks.getKey(keyLabel, null);
-
isCertificateEntry
Comprueba si la entrada con el alias especificado representa una entrada de certificado.
-
isKeyEntry
Comprueba si la entrada con el alias especificado representa una entrada de clave. La acción busca el alias tanto en el archivo PKCS12 como en el HSM.
-
setCertificateEntry
Asigna el certificado especificado al alias proporcionado. Si el alias proporcionado ya se utiliza para identificar una clave o un certificado, se inicia una excepción
KeyStoreException
. Puede utilizar el código de JCE para obtener el objeto de clave y después utilizar el métodoSetKeyEntry
del almacén de claves para asociar el certificado a la clave. -
setKeyEntry
con una clavebyte[]
Actualmente, esta API no es compatible con SDK 5 de cliente.
-
setKeyEntry
con un objetoKey
Asigna la clave especificada al alias proporcionado y la almacena dentro del HSM. Si la clave aún no existe en el HSM, se importará al HSM como una clave de sesión extraíble.
Si el objeto
Key
es de tipoPrivateKey
, debe ir acompañado de la cadena de certificados correspondiente.Si el alias ya existe, la llamada a
SetKeyEntry
inicia una excepciónKeyStoreException
y evita que la clave se sobrescriba. Si es necesario sobrescribir la clave, utilice KMU o JCE para ese propósito. -
engineSize
Devuelve el número de entradas del almacén de claves.
-
store
Guarda el almacén de claves en el flujo de salida especificado como un archivo PKCS12 y lo protege con la contraseña proporcionada. Además, conserva todas las claves cargadas (que se establecen mediante llamadas a
setKey
).