Importieren Sie einen Schlüssel aus einem Webservice

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Laden Sie einen externen Kundenschlüssel sicher in Ihre Instanz hoch, indem Sie einen Schlüssel aus einem Webservice importieren (z. B. die Schlüssel-REST-API). Sowohl symmetrische als auch asymmetrische öffentliche Schlüssel können in ein Ziel importiert werden KMFKryptografisches Modul.

    Der zu importierende Schlüssel (der Zielschlüssel) muss mit einem umschließenden Schlüssel verschlüsselt werden, bevor er in das kryptografische Zielmodul der Instanz hochgeladen wird. Dieser umschließende Schlüssel ist die öffentliche Komponente eines öffentlichen/privaten Schlüsselpaars, das in der Instanz vorhanden sein muss. Der Schlüssel ist eine Voraussetzung, bevor der umschlossene Zielschlüssel über „aus Webservices importieren“ hochgeladen werden kann.

    Diese beiden separaten Verfahren (Importieren des umschließenden Schlüsselpaars und Importieren des umschlossenen Zielschlüssels aus einem Webservice) werden in der folgenden Dokumentation beschrieben. Dieses Schlüsselpaar muss generiert und hochgeladen werden, damit es im internen kryptografischen Modul des Schlüsselimports der Instanz verfügbar ist.

    Hinweis:
    Dieses Beispiel verwendet OpenSSL für die Schlüssel- und Zertifikatgenerierung und das Postman-API-Testtool, um die REST-API-Verwendung anzuzeigen. Ersetzen Sie andere vergleichbare Tools basierend auf Ihren Unternehmensanforderungen.

    Importieren Sie das Schlüsselpaar zum Umwickeln/Entpacken

    Konfigurieren Key Management FrameworkImportieren Sie Einstellungen, bevor Sie einen Schlüssel importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_kmf.cryptographic_Manager

    Warum und wann dieser Vorgang ausgeführt wird

    In diesem Beispiel wird OpenSSL für die Schlüssel- und Zertifikatgenerierung verwendet. Ersetzen Sie andere vergleichbare Tools basierend auf Ihren Unternehmensanforderungen.

    Prozedur

    1. Verwenden Sie in Ihrer lokalen Umgebung das Terminal, um ein Zertifikat zu erstellen.
      Beispiel: openssl REQ -x509 -sha256 -nodes -days 365 -newkey rsa:4096 -keyout wrapping_private.key -out Wrapping_public.crt

      Dieses Zertifikat ist eine öffentliche Komponente, die einen Schlüssel enthält. Das Zertifikat wird zum Umschließen eines symmetrischen AES-Schlüssels verwendet.

    2. Verwenden Sie in Ihrer lokalen Umgebung das Terminal, um einen Schlüsselspeicher zu erstellen, der ein öffentliches Zertifikat (mit dem umschließenden Schlüssel) und einen privaten Entpackungsschlüssel enthält.
      Beispiel: openssl pkcs12 -Export -in Wrapping_public.crt -inkey wrapping_private.key -Name „Wrapping_key_alias“ -out Wrapping_Keystore.p12
    3. Navigieren Sie in Ihrer Instanz zu Alle > Schlüsselverwaltung > Einstellungen importieren > Schlüsselimporteinstellungenan.
    4. Überprüfen Sie im Abschnitt „Algorithmusdefinition“ Krypto-Zweck Ist auf festgelegt Asymmetrischer Schlüssel Wird Entpackt .Auswahl des Krypto-Zwecks.
    5. Wählen Sie einen geeigneten Algorithmus aus, der am asymmetrischen Schlüsselmaterial für den importierten Schlüsselspeicher ausgerichtet ist.
      Siehe Kryptografische SpezifikationFür zusätzliche Informationen.
    6. Wählen Sie Weiter.
    7. In Lebenszyklusdefinition Abschnitt auswählen Weiter Um fortzufahren.
    8. In Schlüsselursprung Wählen Sie eine der folgenden Optionen aus Importieren Sie aus PKCS12 Oder Importieren Sie aus BCFKS In Ursprung Feld.
      Hinweis:
      Wenn Sie den Beispielschlüsselspeicher aus Schritt 1 verwenden, wählen Sie aus Importieren Sie aus PKCS12 .
    9. Geben Sie ein Schlüsselalias Um den Schlüssel zu identifizieren.
      Dieser Alias muss mit dem Schlüsselalias (oder „Anzeigename“) übereinstimmen, der beim Generieren des hochzuladenden Zertifikats oder Schlüsselspeichers angegeben wurde. Wenn Sie das obige Beispiel fortsetzen, wäre dies Wrapping_key_alias .
    10. Wählen Sie Weiter.
      Die Schlüsselerstellung Abschnitt enthält Schlüssel Importieren Link, der ein Dialogfeld zum Hochladen des Schlüsselspeichers anzeigt. Wenn Sie das Beispiel fortsetzen, wäre dies Wrapping_Keystore.p12 .

    Importieren Sie einen umschlossenen Schlüssel aus einem Webservice

    Laden Sie Ihren umschlossenen Schlüssel mithilfe der Funktionalität „Schlüssel aus Webservice importieren“ in ein kryptografisches Modul hoch. Das Beispiel verwendet einen symmetrischen Schlüssel. Ähnliche Schritte können verwendet werden, um einen asymmetrischen Schlüssel zu importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_kmf.cryptographic_Manager (Modulkonfiguration), sn_kmf.cryptographic_Operator (Standardauthentifizierung für REST-Vorgang)

    Warum und wann dieser Vorgang ausgeführt wird

    KMF Der Zugriff auf den Importschlüssel-Endpunkt ist erforderlich, um den Schlüsselimport abzuschließen.

    In diesem Beispiel wird OpenSSL zum Generieren von Schlüsseln und Zertifikaten verwendet. Sie können andere vergleichbare Tools basierend auf Ihren Anforderungen ersetzen.

    Prozedur

    1. Umschließen Sie Ihren symmetrischen Schlüssel mithilfe des Terminals auf Ihrem lokalen Gerät mit dem Schlüsselimport-Modul „öffentlicher Schlüssel umschließender Schlüssel“.
      Beispiel: openssl pkeyutl -encrypt -pubin -inkey public_Wrapping_key.pem -in symmetric_key.bin -pkeyopt rsa_padding_Mode:oaep -pkeyopt rsa_oaep_md:sha256 -out wrapped_symmetric_key.txt
      In diesem Beispiel wird eine umschlossene Schlüsseldatei mit dem Namen erstellt wrapped_symmetric_key.txt .
    2. Erstellen Sie ein kryptografisches Modul, das an die API gebunden werden soll.
      Weitere Informationen finden Sie unter oder.
    3. Fügen Sie eine kryptografische Spezifikation mit der folgenden Auswahl hinzu.
      • Krypto-Zweck : Symmetrische Datenverschlüsselung/-Entschlüsselung .
      • Schlüsselursprung : Aus Webservice importieren Schlüsselursprung als Import aus Webservice ausgewählt.

        Weitere Informationen finden Sie unter oder.

    4. Führen Sie eine aus HTTP-POST-Anforderung Zum Import von einem Webservice-REST-Endpunkt.
      OptionWert/Format
      URL des Endpunkts https://<instance>/api/sn_kmf/key/Import?cryptoSpecSysID=<sys_id_of_crypto_spec> .
      CryptoSpecSysID-Parameter
      Die sys_ID Der neu erstellten Krypto-Spezifikation.
      Tipp:
      Klicken Sie mit der rechten Maustaste auf den Header der Krypto-Spezifikation, um zu kopieren sys_ID .
      Header-Inhaltstyp Anwendungs-/Octet-Stream.
      Textkörper Muss eine Dateianhangbinärdatei und den öffentlichen Schlüssel zum Importieren enthalten (Wrapped_symmetric_key.txt).
      Import aus Webservice-REST-Endpunkt Verwendet die Standardauthentifizierung von <username/password> .
      Hinweis:
      Stellen Sie sicher, dass der designierte Anwender über die Rolle „sn_kmf_cryptographic_operator“ verfügt.
      Der erfolgreiche Import des öffentlichen Schlüssels führt zu einer HTTP-Antwortnachricht mit Status 200 .
    5. Stellen Sie sicher, dass der Schlüssel erfolgreich in das kryptografische Zielmodul importiert wurde.Registerkarte „Krypto-Spezifikationsmodulschlüssel“ mit erfolgreichem Schlüsselimport.