importPrivateKey - AWS CloudHSM
SintaksContohParameterTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

importPrivateKey

importPrivateKeyPerintah di key_mgmt_util mengimpor kunci pribadi asimetris dari file ke HSM. HSM tidak mengizinkan impor langsung kunci dalam cleartext. Perintah mengenkripsi kunci pribadi menggunakan kunci pembungkus AES yang Anda tentukan dan membuka kunci di dalam HSM. Jika Anda mencoba mengaitkan AWS CloudHSM kunci dengan sertifikat, lihat topik ini.

catatan

Anda tidak dapat mengimpor kunci PEM yang dilindungi kata sandi menggunakan kunci simetris atau pribadi.

Anda harus menentukan kunci pembungkus AES yang memiliki OBJ_ATTR_UNWRAP dan nilai OBJ_ATTR_ENCRYPT atribut. 1 Untuk menemukan atribut kunci, gunakan perintah getAttribute.

catatan

Perintah ini tidak menawarkan pilihan untuk menandai kunci yang diimpor sebagai tidak dapat ekspor.

Sebelum Anda menjalankan perintah key_mgmt_util, Anda harus memulai key_mgmt_util dan masuk ke HSM sebagai pengguna kripto (CU).

Sintaks

importPrivateKey -h

importPrivateKey -l <label>
                 -f <key-file>
                 -w <wrapping-key-handle>
                 [-sess]
                 [-id <key-id>]
                 [-m_value <0...8>]
                 [min_srv <minimum-number-of-servers>]
                 [-timeout <number-of-seconds>]
                 [-u <user-ids>]
                 [-wk <wrapping-key-file>]
                 [-attest]

Contoh

Contoh ini menunjukkan cara menggunakan importPrivateKey untuk mengimpor kunci privat ke HSM.

contoh : Impor kunci pribadi

Perintah ini mengimpor kunci privat dari sebuah file bernama rsa2048.key dengan label rsa2048-imported dan kunci pembungkus dengan handel 524299. Ketika perintah berhasil, importPrivateKey mengembalikan handel kunci untuk kunci yang diimpor dan pesan sukses.

Command: importPrivateKey -f rsa2048.key -l rsa2048-imported -w 524299

BER encoded key length is 1216

Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS

Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS

Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS

Private Key Unwrapped.  Key Handle: 524301

Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

Parameter

Perintah ini membawa parameter berikut.

-h

Menampilkan bantuan baris perintah untuk perintah.

Wajib: Ya

-l

Menentukan label kunci privat yang ditetapkan pengguna.

Wajib: Ya

-f

Menentukan nama file kunci untuk diimpor.

Wajib: Ya

-w

Menentukan handel kunci dari kunci pembungkus. Parameter ini diperlukan. Untuk menemukan handel kunci, gunakan perintah findKey.

Untuk menentukan apakah kunci dapat digunakan sebagai kunci pembungkus, gunakan getAttribute untuk mendapatkan nilai dari atribut OBJ_ATTR_WRAP (262). Untuk membuat kunci pembungkus, gunakan genSymKey untuk membuat kunci AES (tipe 31).

Jika Anda menggunakan parameter -wk untuk menentukan kunci pembuka bungkus eksternal, kunci pembungkus -w digunakan untuk membungkus, tapi tidak membuka, kunci selama impor.

Wajib: Ya

-sess

Menentukan kunci diimpor sebagai kunci sesi.

Default: Kunci yang diimpor disimpan sebagai kunci persisten (token) di klaster.

Wajib: Tidak

-id

Menentukan ID kunci yang akan diimpor.

Default: Tidak ada nilai ID.

Wajib: Tidak

-m_value

Menentukan jumlah pengguna yang harus menyetujui operasi kriptografi yang menggunakan kunci impor. Masukkan nilai dari 0 sampai 8.

Parameter ini hanya valid jika parameter -u dalam perintah membagikan kunci dengan cukup pengguna untuk memenuhi persyaratan m_value.

Default: 0

Wajib: Tidak

-min_srv

Menentukan jumlah minimum HSM tempat kunci yang diimpor disinkronkan sebelum nilai parameter -timeout kedaluwarsa. Jika kunci tidak disinkronkan ke jumlah tertentu server dalam waktu yang ditentukan, kunci tidak dibuat.

AWS CloudHSM secara otomatis menyinkronkan setiap kunci ke setiap HSM di cluster. Untuk mempercepat proses Anda, tetapkan nilai min_srv menjadi kurang dari jumlah HSM di klaster dan menetapkan nilai waktu habis rendah. Namun, perhatikan bahwa beberapa permintaan mungkin tidak menghasilkan kunci.

Default: 1

Wajib: Tidak

-timout

Menentukan jumlah detik untuk menunggu kunci untuk disinkronkan di HSM ketika parameter min-serv disertakan. Jika tidak ada nomor yang ditentukan, polling berlanjut selamanya.

Default: Tanpa batas

Wajib: Tidak

-u

Menentukan daftar pengguna dengan siapa berbagi kunci privat yang diimpor. Parameter ini memberikan izin pengguna kripto HSM (CU) lainnya untuk menggunakan kunci yang diimpor dalam operasi kriptografi.

Masukkan daftar ID pengguna HSM yang dipisahkan koma, seperti -u 5,6. Jangan sertakan ID pengguna HSM dari pengguna saat ini. Untuk menemukan ID pengguna HSM CU pada HSM, gunakan listUsers.

Default: Hanya pengguna saat ini dapat menggunakan kunci privat.

Wajib: Tidak

-wk

Menentukan kunci yang akan digunakan untuk membungkus kunci yang sedang diimpor. Masukkan jalur dan nama file yang berisi kunci AES plaintext.

Bila Anda menyertakan parameter ini, importPrivateKey menggunakan kunci dalam file -wk untuk membungkus kunci yang sedang diimpor. Parameter ini juga menggunakan kunci yang ditentukan oleh parameter -w untuk membukanya.

Default: Gunakan kunci pembungkus yang ditentukan dalam parameter -w untuk membungkus dan membuka.

Wajib: Tidak

-attest

Melakukan pemeriksaan pengesahan pada respons firmware untuk memastikan bahwa firmware tempat klaster berjalan belum disisipi.

Wajib: Tidak

Topik terkait