Schließen Sie Ihren vom Kunden bereitgestellten Schlüssel ein

  • Freigeben Version: Yokohama
  • Aktualisiert 31. Januar 2025
  • 2 Minuten Lesedauer

    • Umschließen Sie Ihren symmetrischen Datenverschlüsselungsschlüssel mit einem flüchtigen öffentlichen Umschließungsschlüssel, bevor Sie ihn in Ihre Instanz hochladen können.

    Vorbereitungen

    Erforderliche Rolle: KMF-Administrator oder KMF-kryptografischer Operator

    Sie müssen einen symmetrischen Datenverschlüsselungsschlüssel in einem haben .Bin Um diese Schritte auszuführen. Anweisungen zu diesem Prozess finden Sie unter Konfigurieren Sie vom Kunden bereitgestellte Schlüssel für Feldverschlüsselung Enterprise.
    Wichtig:
    Ihr symmetrischer Datenverschlüsselungsschlüssel muss ein Binärformat (.BIN) aufweisen. Wenn ein anderes Format verwendet wird, wird die folgende Fehlermeldung angezeigt:

    Validierung des Tokens fehlgeschlagen. Hängen Sie das unveränderte Token erneut an.

    Warum und wann dieser Vorgang ausgeführt wird

    Informationen zum Ändern optionaler Eigenschaften, die die Größe, den Auffüllungsalgorithmus und den Gültigkeitszeitraum des Schlüssels steuern, finden Sie unter Konfigurieren Sie Eigenschaften für den vom Kunden bereitgestellten Schlüssel.

    Sie benötigen ein kryptografisches Tool, um Ihren Schlüssel einzuschließen. Das Beispiel in diesem Dokument verwendet OpenSSL 1,1. Weitere Informationen zu OpenSSL finden Sie unter https://www.openssl.org. Wenn Sie andere kryptografische Tools wie LibreSSL oder GnuTLS verwenden, finden Sie ähnliche Schritte in der Dokumentation zu diesen Produkten.

    Prozedur

    1. Navigieren zu Alle > Systemsicherheit > Feldverschlüsselung > Feldverschlüsselungsmodulean.
    2. Öffnen Sie ein Feldverschlüsselungsmodul, das Sie zuvor erstellt haben.
      Hinweis:
      Wenn Sie noch kein Feldverschlüsselungsmodul erstellt haben, können Sie eines mithilfe der Schritte in erstellen Konfigurieren FeldverschlüsselungModule.
    3. In Modul Zugehörige Liste öffnen Sie den kryptografischen spezifischen Datensatz, indem Sie den Namen unter auswählen Schlüsselalias .
    4. Wählen Sie aus Weiter Schaltfläche, bis Sie erreichen Schlüsselursprung Abschnitt.
    5. Überprüfen Sie, ob Ursprung Feld hat einen Wert von Vom Kunden bereitgestellten Schlüssel hochladen .
      Wenn dies nicht der Fall ist und Sie diesen Wert nicht auswählen können, lesen Sie die Schritte 3–5 in Konfigurieren Sie vom Kunden bereitgestellte Schlüssel für Feldverschlüsselung Enterprise.
    6. In Schlüsselalias Feld, erstellen Sie einen Alias.
      Ihr Schlüssel verwendet diesen Alias, sobald er hochgeladen wurde.
    7. Wählen Sie Weiter.
    8. Wählen Sie den Link in aus Umschließenden Schlüssel herunterladen Feld.

      A Token_publickey Dateien werden auf Ihren Computer heruntergeladen. Benennen Sie diese Datei nicht um.

    9. Entpacken Sie auf Ihrem lokalen Computer, und öffnen Sie Token_publickey Ordner.
      In diesem Ordner sollten eine Import-Token-Datei (.txt) und eine öffentliche Schlüsseldatei (.PEM) angezeigt werden.
    10. Verschieben Sie Ihren von Ihnen generierten symmetrischen Datenverschlüsselungsschlüssel in diesen Ordner.
    11. Kopieren Sie den Namen von Token_publickey Datei in der Zwischenablage.
    12. Öffnen Sie eine Terminalsitzung, und navigieren Sie zu Token_publickey Ordner.
    13. Geben Sie den folgenden Befehl ein:
      Wichtig:
      Ersetzen Sie den Text in Klammern (<>) durch Ihre spezifischen Dateinamen und Informationen. Verwenden Sie die folgende Tabelle mit Beispielen für Schlüsselumschließungsbefehle als Leitfaden.
      openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>. PEM -in <keyname.bin> -out Wrapped_key_Material -pkeyopt rsa_padding_Mode: oaep -pkeyopt rsa_oaep_md:sha<128 oder 256>
      Tabelle : 1. Beispiele für Schlüsselumbruch-Befehl
      Richtungen Befehl Beispiel

      Geben Sie „publickey_<keyname>.PEM“ ein

      		 openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>.PEM openssl pkeyutl -encrypt -pubin -inkey publickey_567898643ffff.PEM
      Geben Sie den Namen Ihres symmetrischen Datenverschlüsselungsschlüssels ein -in <keyname.bin> -in mykey.bin
      Geben Sie den Befehl <-out> ein und geben Sie an, ob das umschlossene Schlüsselmaterial 128-Bit oder 256-Bit sein soll -Out Wrapped_key_Material -pkeyopt rsa_padding_Mode:oaep -pkeyopt rsa_oaep_md:sha256 NA

    Nächste Maßnahme

    Jetzt, da Ihr Schlüssel umgebrochen ist, können Sie ihn mithilfe des Verfahrens in in Ihre Instanz hochladen Laden Sie Ihren vom Kunden bereitgestellten Schlüssel hoch.