Importieren Sie einen Schlüssel aus einem Webservice

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Laden Sie einen externen Kundenschlüssel sicher in Ihre Instanz hoch, indem Sie einen Schlüssel aus einem Webservice importieren (z. B. die Schlüssel-REST-API). Sowohl symmetrische als auch asymmetrische öffentliche Schlüssel können in ein kryptografisches Modul des Ziels KMF importiert werden.

    Der zu importierende Schlüssel (der Zielschlüssel) muss mit einem umschließenden Schlüssel verschlüsselt werden, bevor er in das kryptografische Zielmodul der Instanz hochgeladen wird. Dieser Wrapping-Schlüssel ist die öffentliche Komponente eines öffentlichen/privaten Schlüsselpaars, das in der Instanz vorhanden sein muss. Der Schlüssel ist eine Voraussetzung, damit der umschlossene Zielschlüssel über Aus Webservices importieren hochgeladen werden kann.

    Diese beiden separaten Verfahren (Importieren des umschließenden Schlüsselpaars und Importieren des umschlossenen Zielschlüssels aus einem Webdienst) werden in der folgenden Dokumentation beschrieben. Dieses Schlüsselpaar muss generiert und hochgeladen werden, damit es im internen kryptografischen Modul für den Schlüsselimport der Instanz verfügbar ist.

    Hinweis:
    In diesem Beispiel werden OpenSSL für die Schlüssel- und Zertifikatgenerierung und das Postman-API-Testtool verwendet, um die Verwendung der REST-API zu zeigen. Ersetzen Sie andere vergleichbare Tools basierend auf Ihren Unternehmensanforderungen.

    Importieren Sie das Schlüsselpaar zum Packen/Entpacken

    Konfigurieren Sie die Importeinstellungen für Key Management Framework, bevor Sie einen Schlüssel importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_kmf.cryptographic_manager

    Warum und wann dieser Vorgang ausgeführt wird

    In diesem Beispiel wird OpenSSL für die Schlüssel- und Zertifikatgenerierung verwendet. Ersetzen Sie andere vergleichbare Tools basierend auf Ihren Unternehmensanforderungen.

    Prozedur

    1. Verwenden Sie in Ihrer lokalen Umgebung das Terminal, um ein -Zertifikat zu erstellen.
      Beispiel: openedsl req -x509 -sha256 -nodes -days 365 -newkey rsa:4096 -keyout Wrapping_private.key -out Wrapping_public.crt

      Dieses Zertifikat ist eine öffentliche Komponente, die einen Schlüssel enthält. Das Zertifikat wird zum Wrapping eines symmetrischen AES-Schlüssels verwendet.

    2. Verwenden Sie in Ihrer lokalen Umgebung das Terminal, um einen Schlüsselspeicher zu erstellen, der ein öffentliches Zertifikat (mit dem Packenschlüssel) und einen privaten Entpackenschlüssel enthält.
      Beispiel:openedsl pkcs12 -export -in Wrapping_public.crt -inkey Wrapping_private.key -name "wrapping_key_alias" -out Wrapping_keystore.p12
    3. Navigieren Sie in Ihrer -Instanz zu Alle > Schlüsselverwaltung > Einstellungen importieren > Schlüsselimporteinstellungen.
    4. Überprüfen Sie im Abschnitt „Algorithmusdefinition“, ob das Feld Krypto-Zweck auf Entpacken des asymmetrischen Schlüsselsfestgelegt ist.Auswahl des kryptografischen Zwecks.
    5. Wählen Sie einen geeigneten Algorithmus aus, der am asymmetrischen Schlüsselmaterial für den importierten Schlüsselspeicher ausgerichtet ist.
      Weitere Informationen finden Sie unter Kryptografische Spezifikation.
    6. Wählen Sie Weiter.
    7. Wählen Sie im Abschnitt „Lebenszyklusdefinition“Weiter, um fortzufahren.
    8. Wählen Sie im Abschnitt „Schlüsselursprung“ im Feld Herkunft entweder Aus PKCS12 importieren oder Aus BCFKS importieren aus.
      Hinweis:
      Wenn Sie den Beispielschlüsselspeicher aus Schritt 1 verwenden, wählen Sie Aus PKCS12 importierenaus.
    9. Geben Sie einen Schlüsselalias ein, um den Schlüssel zu identifizieren.
      Dieser Alias muss mit dem Schlüsselalias (oder dem „Anzeigenamen“) übereinstimmen, der beim Generieren des hochzuladenden Zertifikats oder Schlüsselspeichers angegeben wurde. In Fortsetzung des obigen Beispiels wäre dies Wrapping_key_alias.
    10. Wählen Sie Weiter.
      Der Abschnitt „Schlüsselerstellung“ enthält den Link Schlüssel importieren, über den ein Dialogfeld zum Hochladen des Schlüsselspeichers angezeigt wird. Um das Beispiel fortzusetzen, wäre dies Wrapping_keystore.p12.

    Importieren Sie einen umschlossenen Schlüssel aus einem Webservice

    Laden Sie Ihren umschlossenen Schlüssel mit der Funktion zum Importieren von Schlüsseln aus der Webservice-Funktion in ein kryptografisches Modul hoch. Im Beispiel wird ein symmetrischer Schlüssel verwendet. Ähnliche Schritte können verwendet werden, um einen asymmetrischen Schlüssel zu importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_kmf.cryptographic_manager (Modulkonfiguration), sn_kmf.cryptographic_operator (REST-Vorgang Standardauthentifizierung)

    Warum und wann dieser Vorgang ausgeführt wird

    KMF Zum Abschließen des Schlüsselimportvorgangs ist der Zugriff auf den Importschlüssel-Endpunkt erforderlich.

    In diesem Beispiel wird OpenSSL zum Generieren von Schlüsseln und Zertifikaten verwendet. Sie können andere vergleichbare Tools basierend auf Ihren Anforderungen ersetzen.

    Prozedur

    1. Verwenden Sie das Terminal auf Ihrem lokalen Gerät, und umschließen Sie Ihren symmetrischen Schlüssel mit dem Public Key Wrapping-Schlüssel des Moduls Key Import (Schlüsselimportmodul).
      Beispiel: openedsl pkeyutl -encrypt -pubin -inkey public_wrapping_key.pem -in metric_key.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 -out Wrapped_metric_key.txt
      In diesem Beispiel wird eine umschlossene Schlüsseldatei mit dem Namen umschlossener_symmetrischer_schlüssel.txterstellt.
    2. Erstellen Sie ein kryptografisches Modul, das an die API gebunden werden soll.
      Weitere Informationen finden Sie unter oder.
    3. Fügen Sie eine kryptografische Spezifikation mit der folgenden Auswahl hinzu.
      • Kryptografischer Zweck: Symmetrische Datenverschlüsselung/-entschlüsselung.
      • Schlüsselursprung: Import aus Webservice Schlüsselursprung als Import aus Webservice ausgewählt.

        Weitere Informationen finden Sie unter oder.

    4. Führen Sie eine HTTP POST-Anforderung an den Import von einem Webservice-REST-Endpunkt aus.
      OptionWert/Format
      URL des Endpunkts https://<instance> /api/sn_kmf/key/import?cryptoSpecSysID=<sys_id_of_crypto_spec> .
      CryptoSpecSysID-Parameter
      Die sys_id der neu erstellten Krypto-Spezifikation.
      Tipp:
      Klicken Sie mit der rechten Maustaste auf den Header der Krypto-Spezifikation, um die sys_idzu kopieren.
      Header-Inhaltstyp Anwendung/Oktett-Stream.
      Textkörper Muss eine binäre Anhangdatei und den zu importierenden öffentlichen Schlüssel (wrapped_metric_key.txt) enthalten.
      Import aus Webservice-REST-Endpunkt Verwendet die Standardauthentifizierung von<username/password> .
      Hinweis:
      Vergewissern Sie sich, dass der angegebene Benutzer über die Rolle sn_kmf_cryptographic_operator verfügt.
      Der erfolgreiche Import des öffentlichen Schlüssels führt zu einer HTTP-Antwortnachricht mit dem Status 200.
    5. Stellen Sie sicher, dass der Schlüssel erfolgreich in das kryptografische Zielmodul importiert wurde.Registerkarte „Krypto-Spezifikationsmodulschlüssel“ mit erfolgreichem Schlüsselimport.