このトピックでは、exportPrivateKeyコマンドを使用してHSMから秘密鍵をエクスポートするプロセスについて説明します。
機能の説明
exportPrivateKeyコマンドは、キーを削除したり、そのプロパティを変更したり、暗号化操作に影響を与えたりすることなく、非対称秘密キーをHSMからファイルにエクスポートできます。
秘密鍵は、OBJ_ATTR_EXTRACTABLE (is exportable) プロパティ値が1に設定されている場合にのみエクスポートできます。 キーのプロパティを確認するには、getAttributeコマンドを使用します。 キープロパティの詳細については、キープロパティの定数を参照してください。
鍵はHSMから平文でエクスポートすることはできません。したがって、エクスポートされた秘密鍵はAESを使用して暗号化する必要があります。
exportPrivateKeyコマンドは、importPrivateKeyコマンドimportPrivateKeyと共に、秘密鍵のバックアップまたは移行を容易にする。
このコマンドを実行する前に、key_mgmt_toolを開始し、CU IDでHSMにログオンしていることを確認します。
構文
以下の構文に従ってパラメーターを入力します。 パラメーターの説明については、「parameters」をご参照ください。
exportPrivateKey -k <private-key-handle
-w <wrapping-key-handle>
-out <key-file>
[-m <wrapping-mechanism>]
[-wk <wrapping-key-file>]パラメーターは、構文で概説された順序で入力する必要があります。
例
この例では、暗号化にキーハンドル6を使用してハンドル値8の秘密鍵をエクスポートし、その秘密鍵をファイルexportKey.pemに保存することを示しています。
Command: exportPrivateKey -k 8 -w 6 -out /tmp/exportKey.pem
Cfm3ExportWrapKeyWithMech returned: 0x00 : HSM Return: SUCCESS
Cfm3ExportUnwrapKeyWithMech returned: 0x00 : HSM Return: SUCCESS
PEM formatted private key is written to /tmp/exportKey.pemParameters
パラメーター名 | 説明 | 必須 / 任意 | 有効な値 |
-k | エクスポートする秘密鍵のハンドルを示します。 | 対象 | findKeyを使用してキーハンドルを見つけます。 |
-w | エクスポートした秘密鍵の暗号化に使用する鍵ハンドルを指定します。 | 対象 | キーハンドルを見つけるには、findKeyを使用します。 |
-アウト | エクスポートした秘密鍵のファイル名を定義します。 | 対象 | 特定の要件なし |
-m | エクスポートした秘密鍵の暗号化メカニズムを指定します。 | 非対象 | 4 (NIST_AES_WRAP) |
-wk | エクスポートされた秘密鍵を復号化するためのAES鍵ファイル (パスとファイル名を含む) を示します。 | 非対象 | -wで指定された暗号化キーのデフォルト |