Schließen Sie Ihren vom Kunden bereitgestellten Schlüssel ein

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Umschließen Sie Ihren symmetrischen Datenverschlüsselungsschlüssel mit einem flüchtigen öffentlichen Umschließungsschlüssel, bevor Sie ihn in Ihre Instanz hochladen können.

    Vorbereitungen

    Erforderliche Rolle: KMF-Administrator oder KMF-kryptografischer Operator

    Sie müssen einen symmetrischen Datenverschlüsselungsschlüssel in einem haben .Bin Um diese Schritte auszuführen. Anweisungen zu diesem Prozess finden Sie unter Konfigurieren Sie vom Kunden bereitgestellte Schlüssel für Feldverschlüsselung Enterprise.
    Wichtig:
    Ihr symmetrischer Datenverschlüsselungsschlüssel muss ein Binärformat (.BIN) aufweisen. Wenn ein anderes Format verwendet wird, wird die folgende Fehlermeldung angezeigt:

    Validierung des Tokens fehlgeschlagen. Fügen Sie das unveränderte Token erneut an.

    Warum und wann dieser Vorgang ausgeführt wird

    Informationen zum Ändern optionaler Eigenschaften, die die Größe, den Auffüllalgorithmus und den Gültigkeitszeitraum des Schlüssels steuern, finden Sie unter Konfigurieren Sie Eigenschaften für den vom Kunden bereitgestellten Schlüssel.

    Sie benötigen ein kryptografisches Tool, um Ihren Schlüssel einzuschließen. Das Beispiel in diesem Dokument verwendet OpenSSL 1,1. Weitere Informationen zu OpenSSL finden Sie unter https://www.openssl.org. Wenn Sie andere kryptografische Tools wie LibreSSL oder GnuTLS verwenden, finden Sie ähnliche Schritte in der Dokumentation zu diesen Produkten.

    Prozedur

    1. Navigieren zu Alle > Systemsicherheit > Feldverschlüsselung > Feldverschlüsselungsmodulean.
    2. Öffnen Sie ein Feldverschlüsselungsmodul, das Sie zuvor erstellt haben.
      Hinweis:
      Wenn Sie noch kein Feldverschlüsselungsmodul erstellt haben, können Sie eines mit den Schritten in erstellen Konfigurieren Feldverschlüsselung Module.
    3. In Modul Zugehörige Liste öffnen Sie den kryptografischen spezifischen Datensatz, indem Sie unter den Namen auswählen Schlüsselalias .
    4. Wählen Sie aus Als Nächstes Schaltfläche, bis Sie erreichen Schlüsselursprung Abschnitt.
    5. Überprüfen Sie, ob Ursprung Feld hat einen Wert von Vom Kunden bereitgestellten Schlüssel hochladen .
      Wenn dies nicht der Fall ist und Sie diesen Wert nicht auswählen können, lesen Sie die Schritte 3–5 in Konfigurieren Sie vom Kunden bereitgestellte Schlüssel für Feldverschlüsselung Enterprise.
    6. In Schlüsselalias Feld erstellen Sie einen Alias.
      Ihr Schlüssel verwendet diesen Alias, sobald er hochgeladen wurde.
    7. Wählen Sie Weiter.
    8. Wählen Sie den Link im aus Umschließenden Schlüssel herunterladen Feld.

      A Token_publickey Dateien werden auf Ihren Computer heruntergeladen. Benennen Sie diese Datei nicht um.

    9. Entpacken und öffnen Sie auf Ihrem lokalen Computer Token_publickey Ordner.
      In diesem Ordner sollten eine Import-Token-Datei (.txt) und eine öffentliche Schlüsseldatei (.PEM) angezeigt werden.
    10. Verschieben Sie Ihren von Ihnen generierten symmetrischen Datenverschlüsselungsschlüssel in diesen Ordner.
    11. Kopieren Sie den Namen von Token_publickey Datei in Ihre Zwischenablage.
    12. Öffnen Sie eine Terminalsitzung, und navigieren Sie zu Token_publickey Ordner.
    13. Geben Sie den folgenden Befehl ein:
      Wichtig:
      Ersetzen Sie den Text in Klammern (<>) durch Ihre spezifischen Dateinamen und Informationen. Verwenden Sie die folgende Tabelle mit Beispielen für Schlüsselumwicklungsbefehle als Leitfaden.
      openssl-pkeyutl -encrypt -pubin -inkey publickey_<keyname>. PEM -in <keyname.bin> -out Wrapped_key_Material -pkeyopt rsa_padding_Mode: oaep -pkeyopt rsa_oaep_md:sha<128 oder 256>
      Tabelle : 1. Beispiele für Schlüsselumbruch-Befehl
      Richtungen Befehl Beispiel

      Geben Sie „publickey_<keyname>.PEM“ ein

      		 openssl-pkeyutl -encrypt -pubin -inkey publickey_<keyname>.PEM openssl pkeyutl -encrypt -pubin -inkey publickey_567898643ffff.PEM
      Geben Sie den Namen Ihres symmetrischen Datenverschlüsselungsschlüssels ein -in <keyname.bin> -in mykey.bin
      Geben Sie den Befehl <-out> ein, um anzugeben, ob das umschlossene Schlüsselmaterial 128-Bit oder 256-Bit sein soll -Out Wrapped_key_Material -pkeyopt rsa_Padding_Mode:oaep -pkeyopt rsa_oaep_md:sha256 NA

    Nächste Maßnahme

    Jetzt, da Ihr Schlüssel umgebrochen ist, können Sie ihn mithilfe des Verfahrens in in Ihre Instanz hochladen Laden Sie Ihren vom Kunden bereitgestellten Schlüssel hoch.