Packen Sie Ihren vom Kunden bereitgestellten Schlüssel ein

  • Freigeben Version: Yokohama
  • Aktualisiert 31. Januar 2025
  • 2 Minuten Lesedauer

    • Umschließen Sie Ihren symmetrischen Datenverschlüsselungsschlüssel mit einem flüchtigen öffentlichen Packschlüssel, bevor Sie ihn in Ihre -Instanz hochladen können.

    Vorbereitungen

    Erforderliche Rolle: KMF-Administrator oder KMF-Kryptografie-Operator

    Sie müssen einen symmetrischen Datenverschlüsselungsschlüssel in einer .bin haben, um diese Schritte ausführen zu können. Anweisungen zu diesem Prozess finden Sie unter Konfigurieren Sie vom Kunden bereitgestellte Schlüssel für Feldverschlüsselung Enterprise.
    Wichtig:
    Der symmetrische Datenverschlüsselungsschlüssel muss im Binärformat (.BIN) vorliegen. Wenn ein anderes Format verwendet wird, wird die folgende Fehlermeldung angezeigt:

    Die Validierung des Tokens ist fehlgeschlagen. Fügen Sie das unveränderte Token erneut an.

    Warum und wann dieser Vorgang ausgeführt wird

    Informationen zum Ändern optionaler Eigenschaften, die Größe, Abstandsalgorithmus und Gültigkeitszeitraum des Schlüssels steuern, finden Sie unter Konfigurieren Sie Eigenschaften für den vom Kunden bereitgestellten Schlüssel.

    Sie benötigen ein kryptografisches Tool, um Ihren Schlüssel zu umschließen. Im Beispiel in diesem Dokument wird OpenSSL 1.1 verwendet. Weitere Informationen zu OpenSSL finden Sie im Detail unter https://www.openssl.org. Wenn Sie andere kryptografische Tools wie LibreSSL oder GnuTLS verwenden, finden Sie ähnliche Schritte in der Dokumentation zu diesen Produkten.

    Prozedur

    1. Navigieren zu Alle > Systemsicherheit > Feldverschlüsselung > Feldverschlüsselungsmodule.
    2. Öffnen Sie ein Feldverschlüsselungsmodul, das Sie zuvor erstellt haben.
      Hinweis:
      Wenn Sie noch kein Feldverschlüsselungsmodul erstellt haben, können Sie anhand der Schritte in Konfigurieren Sie Feldverschlüsselung -Moduleeines erstellen.
    3. Öffnen Sie in der zugehörigen Liste „Modul“ den kryptografiespezifischen Datensatz, indem Sie den Namen unter Schlüsselaliasauswählen.
    4. Wählen Sie die Schaltfläche Weiter, bis Sie den Abschnitt Schlüsselursprung erreichen.
    5. Vergewissern Sie sich, dass das Feld Quelle den Wert „Vom Kunden bereitgestellten Schlüssel hochladen“enthält.
      Ist dies nicht der Fall und können Sie diesen Wert nicht auswählen, lesen Sie die Schritte 3 bis 5 in Konfigurieren Sie vom Kunden bereitgestellte Schlüssel für Feldverschlüsselung Enterprise.
    6. Erstellen Sie im Feld Schlüsselalias einen Alias.
      Ihr Schlüssel verwendet diesen Alias, sobald er hochgeladen wurde.
    7. Wählen Sie Weiter.
    8. Wählen Sie den Link im Feld „Umwickelter Download-Schlüssel“ aus.

      Die Datei „token_publickey“ wird auf Ihren Computer heruntergeladen. Benennen Sie diese Datei nicht um.

    9. Entpacken und öffnen Sie auf Ihrem lokalen Computer den Ordner „token_publickey“.
      In diesem Ordner sollten eine Import-Token-Datei (.txt) und eine öffentliche Schlüsseldatei (.PEM) angezeigt werden.
    10. Verschieben Sie den von Ihnen generierten symmetrischen Datenverschlüsselungsschlüssel in diesen Ordner.
    11. Kopieren Sie den Namen der Datei token_publickey in die Zwischenablage.
    12. Öffnen Sie eine Terminalsitzung, und navigieren Sie zum Ordner token_publickey.
    13. Geben Sie den folgenden Befehl ein:
      Wichtig:
      Ersetzen Sie den Text in Klammern (<>) durch Ihre spezifischen Dateinamen und Informationen. Verwenden Sie die folgende Tabelle mit Beispielen für Key Wrapping-Befehle als Leitfaden.
      openedsl pkeyutl -encrypt -pubin -inkey publickey_<keyname> . PEM -in<keyname.bin> -out Wrapped_key_material -pkeyopt rsa_padding_mode: oaep -pkeyopt rsa_oaep_md:sha<128 oder 256>
      Tabelle : 1. Beispiele für Schlüsselumbruchbefehle
      Richtungen Befehl Beispiel

      publickey_ eingeben<keyname> .PEM

      		 openedsl pkeyutl -encrypt -pubin -inkey publickey_<keyname> .PEM openedsl pkeyutl -encrypt -pubin -inkey publickey_567898643ffff.PEM
      Geben Sie den Namen Ihres symmetrischen Datenverschlüsselungsschlüssels ein -in <keyname.bin> -in mykey.bin
      Geben Sie den Befehl <-out> ein, um anzugeben, ob das umschlossene Schlüsselmaterial 128 Bit oder 256 Bit groß sein soll -out umwickelt_schlüssel_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 NA

    Nächste Maßnahme

    Nachdem Ihr Schlüssel jetzt umschlossen ist, können Sie ihn mit dem in Laden Sie Ihren vom Kunden bereitgestellten Schlüssel hochbeschriebenen Verfahren in Ihre Instanz hochladen.