本文介紹如何使用importPrivateKey命令在HSM上匯入私密金鑰。
功能說明
importPrivateKey命令將非對稱私密金鑰從檔案匯入到HSM。
HSM不允許以明文形式直接匯入密鑰,需要使用的AES對私人密鑰進行加密,並在HSM中解密。
可藉助exportPrivateKey命令和匯入私密金鑰命令importPrivateKey完成私密金鑰的備份或遷移。
在運行此命令之前,必須啟動key_mgmt_tool並以CU身份登入HSM。
文法
請按照下方文法輸入參數,參數說明請參見參數。
importPrivateKey -l <label>
-f <key-file>
-w <wrapping-key-handle>
[-sess]
[-id <key-id>]
[-m_value <0...8>]
[min_srv <minimum-number-of-servers>]
[-timeout <number-of-seconds>]
[-u <user-ids>]
[-wk <wrapping-key-file>]
[-attest] 您必須按文法指定的順序輸入參數。
樣本
本文以匯入keypair.pem私密金鑰檔案,並產生一個標籤為rsa2048-imported的密鑰為例。其中用來加密私密金鑰的密鑰控制代碼為6,輸出顯示匯入的私密金鑰在HSM的控制代碼為17。
Command: importPrivateKey -f keypair.pem -l rsa2048-imported -w 6
BER encoded key length is 1218
Cfm3ImportWrapKey returned: 0x00 : HSM Return: SUCCESS
Cfm3CreateUnwrapTemplate2 returned: 0x00 : HSM Return: SUCCESS
Cfm3ImportUnWrapKey: 0x00 : HSM Return: SUCCESS
Private Key Imported. Key Handle: 17
Cluster Status:
Node id 0 status: 0x00000000 : HSM Return: SUCCESS參數
參數名稱 | 描述 | 是否必需 | 有效值 |
-f | 指定儲存匯入密鑰的檔案名稱。 | 是 | 無特殊要求 |
-w | 指定加密匯入私密金鑰的AES密鑰控制代碼。 | 是 | 無特殊要求 |
-l | 指定匯入密鑰的標籤。 | 是 | 無特殊要求 |
-id | 指定匯入密鑰的ID。 | 否 | 無特殊要求 |
-sess | 指定匯入密鑰作為工作階段金鑰。 | 否 | 無特殊要求 |
-nex | 將密鑰設定成不可匯出。 | 否 | 無特殊要求 |
-u | 指定共用匯入密鑰的使用者ID,如有多個使用者請使用逗號分隔。 | 否 | 無特殊要求 |
-m_value | 指定可使用匯入密鑰的使用者數量。 | 否 | 0~8 |
-attest | 對韌體響應進行完整性檢查。 | 否 | 無特殊要求 |
-min_srv |
| 否 | 無特殊要求 |
-timeout |
| 否 | 無特殊要求 |