importPrivateKey

La commande importPrivateKey contenue dans key_mgmt_util importe une clé privée asymétrique depuis un fichier vers un HSM. Le HSM n'autorise pas l'importation directe de clés en texte clair. La commande chiffre la clé privée à l'aide d'une clé d'encapsulage AES que vous spécifiez et désencapsule la clé dans le HSM. Si vous essayez d'associer une AWS CloudHSM clé à un certificat, consultez cette rubrique.

Note

Vous ne pouvez pas importer une clé PEM protégée par mot de passe à l'aide d'une clé symétrique ou privée.

Vous devez spécifier une clé d'encapsulage AES dotée d’attribut OBJ_ATTR_UNWRAP et OBJ_ATTR_ENCRYPT d'une valeur 1. Pour obtenir les attributs d’une clé, utilisez la commande getAttribute.

Note

Cette commande n'offre pas la possibilité de marquer la clé importée comme non exportable.

Avant d'exécuter une commande key_mgmt_util, vous devez démarrer key_mgmt_util et vous connecter au HSM en tant qu'utilisateur de chiffrement (CU).

Syntaxe

importPrivateKey -h

importPrivateKey -l <label>
                 -f <key-file>
                 -w <wrapping-key-handle>
                 [-sess]
                 [-id <key-id>]
                 [-m_value <0...8>]
                 [min_srv <minimum-number-of-servers>]
                 [-timeout <number-of-seconds>]
                 [-u <user-ids>]
                 [-wk <wrapping-key-file>]
                 [-attest]

Exemples

Cet exemple montre comment utiliser importPrivateKey pour importer une clé privée dans un HSM.

Exemple : Importer une clé privée

Cette commande importe la clé privée depuis un fichier nommé rsa2048.key avec l'étiquette rsa2048-imported et une clé d'encapsulage avec handle 524299. Lorsque la commande réussit, importPrivateKey renvoie un handle de clé pour la clé importée et un message de réussite.

Command: importPrivateKey -f rsa2048.key -l rsa2048-imported -w 524299

BER encoded key length is 1216

Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS

Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS

Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS

Private Key Unwrapped.  Key Handle: 524301

Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

Paramètres

Cette commande accepte les paramètres suivants :

-h

Affiche l'aide de la ligne de commande pour la commande.

Obligatoire : oui

-l

Spécifie l'étiquette définie par l'utilisateur pour la clé privée.

Obligatoire : oui

-f

Spécifie le nom de fichier de la clé à importer.

Obligatoire : oui

-w

Spécifie le handle de clé de la clé d'encapsulage. Ce paramètre est obligatoire. Pour trouver des handles de clé, utilisez la commande findKey.

Pour déterminer si une clé peut être utilisée comme clé d'encapsulage, utilisez getAttribute pour obtenir la valeur de l'attribut OBJ_ATTR_WRAP (262). Pour créer une clé d'encapsulage, utilisez genSymKey pour créer une clé AES (type 31).

Si vous utilisez le paramètre -wk pour spécifier une clé de désencapsulage externe, la clé d'encapsulage -w est utilisée pour encapsuler la clé lors de l'import, mais pas pour la désencapsuler.

Obligatoire : oui

-sess

Spécifie la clé importée en tant que clé de session.

Par défaut, la clé importée est conservée en tant que clé persistante (jeton) dans le cluster.

Obligatoire : non

-id

Spécifie l'ID de la clé à importer.

Valeur par défaut : pas de valeur d'ID.

Obligatoire : non

-m_value

Spécifie le nombre d'utilisateurs qui doivent approuver les opérations cryptographiques qui utilisent la clé importée. Saisissez une valeur comprise entre 0 et 8.

Ce paramètre est valide uniquement quand le paramètre -u de la commande partage la clé avec suffisamment d'utilisateurs pour satisfaire l'exigence m_value.

Par défaut : 0

Obligatoire : non

-min_srv

Spécifie le nombre minimal de HSM sur lesquels la clé importée est synchronisée avant que la valeur du paramètre -timeout n'expire. Si la clé n'est pas synchronisée sur le nombre spécifié de serveurs dans le temps imparti, elle n'est pas créée.

AWS CloudHSM synchronise automatiquement chaque clé avec chaque HSM du cluster. Pour accélérer le processus, définissez la valeur de min_srv sur une valeur inférieure au nombre de HSM dans le cluster et définissez une valeur de délai d'expiration peu élevée. Toutefois, notez que certaines demandes peuvent ne pas générer une clé.

Valeur par défaut : 1

Obligatoire : non

-timout

Spécifie le délai d'attente (en secondes) pour la synchronisation de la clé sur les HSM lorsque le paramètre min-serv est inclus. Si aucun nombre n'est spécifié, l'interrogation continue indéfiniment.

Par défaut : pas de limite

Obligatoire : non

-u

Spécifie la liste des utilisateurs avec lesquels partager la clé privée importée. Ce paramètre autorise les autres utilisateurs de chiffrement (CU) du HSM à utiliser la clé importée pour les opérations cryptographiques.

Saisissez une liste d'ID utilisateur HSM séparés par des virgules, par exemple, -u 5,6. N'incluez pas l'ID utilisateur HSM de l'utilisateur actuel. Pour trouver les ID utilisateur HSM des CU sur le HSM, utilisez listUsers.

Par défaut, seul l'utilisateur actuel peut utiliser la clé importée.

Obligatoire : non

-wk

Spécifie la clé à utiliser pour encapsuler la clé en cours d'importation. Entrez le chemin et le nom d'un fichier qui contient une clé AES en texte brut.

Lorsque vous incluez ce paramètre, importPrivateKey utilise la clé dans le fichier -wk pour encapsuler la clé en cours d'importation. Il utilise également la clé spécifiée par le paramètre -w pour la désencapsuler.

Par défaut : Utilise la clé d'encapsulage spécifiée dans le paramètre -w pour encapsuler et désencapsuler.

Obligatoire : non

-attest

Effectue un contrôle d'attestation sur la réponse de microprogramme pour s'assurer que le microprogramme sur lequel le cluster s'exécute n'a pas été compromis.

Obligatoire : non

Rubriques en relation

• wrapKey

• unWrapKey

• genSymKey

• exportPrivateKey