Importieren Sie einen Schlüssel aus einem Webservice

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Laden Sie einen externen Kundenschlüssel sicher in Ihre Instanz hoch, indem Sie einen Schlüssel aus einem Webservice importieren (z. B. die Schlüssel-REST-API). Sowohl symmetrische als auch asymmetrische öffentliche Schlüssel können in ein Ziel importiert werden KMF Kryptografisches Modul.

    Der zu importierende Schlüssel (der Zielschlüssel) muss mit einem umschließenden Schlüssel verschlüsselt werden, bevor er in das kryptografische Zielmodul der Instanz hochgeladen wird. Dieser umschließende Schlüssel ist die öffentliche Komponente eines öffentlichen/privaten Schlüsselpaars, das in der Instanz vorhanden sein muss. Der Schlüssel ist eine Voraussetzung, bevor der umschlossene Zielschlüssel über „aus Webservices importieren“ hochgeladen werden kann.

    Diese beiden separaten Verfahren (Importieren des umschließenden Schlüsselpaars und Importieren des umschlossenen Zielschlüssels aus einem Webservice) werden in der folgenden Dokumentation beschrieben. Dieses Schlüsselpaar muss generiert und hochgeladen werden, damit es im internen kryptografischen Modul des Schlüsselimports der Instanz verfügbar ist.

    Hinweis:
    In diesem Beispiel wird OpenSSL für die Schlüssel- und Zertifikatgenerierung und das Postman-API-Testtool verwendet, um die REST-API-Verwendung anzuzeigen. Ersetzen Sie andere vergleichbare Tools basierend auf Ihren Unternehmensanforderungen.

    Importieren Sie das Schlüsselpaar zum Umwickeln/Entpacken

    Konfigurieren Key Management Framework Importieren Sie Einstellungen, bevor Sie einen Schlüssel importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_kmf.cryptographic_Manager

    Warum und wann dieser Vorgang ausgeführt wird

    In diesem Beispiel wird OpenSSL für die Schlüssel- und Zertifikatgenerierung verwendet. Ersetzen Sie andere vergleichbare Tools basierend auf Ihren Unternehmensanforderungen.

    Prozedur

    1. Verwenden Sie in Ihrer lokalen Umgebung das Terminal, um ein Zertifikat zu erstellen.
      Beispiel: openssl REQ -x509 -sha256 -nodes -days 365 -newkey rsa:4096 -keyout wrapping_private.key -out Wrapping_public.crt

      Dieses Zertifikat ist eine öffentliche Komponente, die einen Schlüssel enthält. Das Zertifikat wird zum Umschließen eines symmetrischen AES-Schlüssels verwendet.

    2. Verwenden Sie in Ihrer lokalen Umgebung das Terminal, um einen Schlüsselspeicher zu erstellen, der ein öffentliches Zertifikat (mit dem Umschließungsschlüssel) und einen privaten Entpackungsschlüssel enthält.
      Beispiel: openssl pkcs12 -Export -in Wrapping_public.crt -inkey wrapping_private.key -Name „Wrapping_key_alias“ -out Wrapping_Keystore.p12
    3. Navigieren Sie in Ihrer Instanz zu Alle > Schlüsselverwaltung > Einstellungen importieren > Schlüsselimporteinstellungenan.
    4. Überprüfen Sie im Abschnitt „Algorithmusdefinition“ Krypto-Zweck Ist auf festgelegt Asymmetrischer Schlüssel Wird Entpackt .Auswahl des Krypto-Zwecks.
    5. Wählen Sie einen entsprechenden Algorithmus aus, der am asymmetrischen Schlüsselmaterial für den importierten Schlüsselspeicher ausgerichtet ist.
      Weitere Informationen finden Sie unter Übersicht über kryptografische Spezifikationen.
    6. Wählen Sie Weiter.
    7. In Lebenszyklusdefinition Abschnitt auswählen Als Nächstes Um fortzufahren.
    8. In Schlüsselursprung Wählen Sie entweder aus Importieren Sie aus PKCS12 Oder Import aus BCFKS In Ursprung Feld.
      Hinweis:
      Wenn Sie den Beispielschlüsselspeicher aus Schritt 1 verwenden, wählen Sie aus Importieren Sie aus PKCS12 .
    9. Geben Sie ein Schlüsselalias Um den Schlüssel zu identifizieren.
      Dieser Alias muss mit dem Schlüsselalias (oder „Anzeigename“) übereinstimmen, der beim Generieren des hochzuladenden Zertifikats oder Schlüsselspeichers angegeben wurde. Wenn Sie das obige Beispiel fortsetzen, wäre dies Wrapping_key_alias .
    10. Wählen Sie Weiter.
      Die Schlüsselerstellung Abschnitt enthält einen Schlüssel Importieren Link, der ein Dialogfeld zum Hochladen des Schlüsselspeichers anzeigt. Wenn Sie das Beispiel fortsetzen, wäre dies Wrapping_Keystore.p12 .

    Importieren Sie einen umschlossenen Schlüssel aus einem Webservice

    Laden Sie Ihren umschlossenen Schlüssel mithilfe der Funktionalität „Schlüssel aus Webservice importieren“ in ein kryptografisches Modul hoch. Das Beispiel verwendet einen symmetrischen Schlüssel. Ähnliche Schritte können verwendet werden, um einen asymmetrischen Schlüssel zu importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_kmf.cryptographic_Manager (Modulkonfiguration), sn_kmf.cryptographic_Operator (Standardauthentifizierung für REST-Vorgang)

    Warum und wann dieser Vorgang ausgeführt wird

    KMF Der Zugriff auf den Importschlüssel-Endpunkt ist erforderlich, um den Schlüsselimport abzuschließen.

    In diesem Beispiel wird OpenSSL zum Generieren von Schlüsseln und Zertifikaten verwendet. Sie können andere vergleichbare Tools basierend auf Ihren Anforderungen ersetzen.

    Prozedur

    1. Umschließen Sie Ihren symmetrischen Schlüssel mithilfe des Terminals auf Ihrem lokalen Gerät mit dem Schlüsselimport-Modul „öffentlicher Schlüssel umschließender Schlüssel“.
      Beispiel: openssl pkeyutl -crypt -pubin -inkey public_Wrapping_key.pem -in symmetric_key.bin -pkeyopt rsa_Padding_Mode:oaep -pkeyopt rsa_oaep_md:sha256 -out wrapped_symmetric_key.txt
      In diesem Beispiel wird eine umschlossene Schlüsseldatei mit dem Namen erstellt wrapped_symmetric_key.txt .
    2. Erstellen Sie ein kryptografisches Modul, das an die API gebunden werden soll.
      Weitere Informationen finden Sie unter oder.
    3. Fügen Sie eine kryptografische Spezifikation mit den folgenden Auswahlen hinzu.
      • Krypto-Zweck : Symmetrische Datenverschlüsselung/-Entschlüsselung .
      • Schlüsselursprung : Aus Webservice importieren Schlüsselursprung als Import aus Webservice ausgewählt.

        Weitere Informationen finden Sie unter oder .

    4. Führen Sie eine aus HTTP-POST-Anforderung Zum Import von einem Webservice-REST-Endpunkt.
      OptionWert/Format
      URL des Endpunkts https://<instance>/api/sn_kmf/key/Import?cryptoSpecSysID=<sys_id_of_crypto_spec> .
      CryptoSpecSysID-Parameter
      Die sys_ID Der neu erstellten Krypto-Spezifikation.
      Tipp:
      Klicken Sie mit der rechten Maustaste auf den Header der Krypto-Spezifikation, um zu kopieren sys_ID .
      Header-Inhaltstyp Anwendungs-/Octet-Stream.
      Textkörper Muss eine Dateianhangbinäre und den öffentlichen Schlüssel zum Importieren (Wrapped_symmetric_key.txt) enthalten.
      Import aus Webservice-REST-Endpunkt Verwendet die Standardauthentifizierung von <username/password> .
      Hinweis:
      Stellen Sie sicher, dass der designierte Anwender über die Rolle sn_kmf_cryptographic_Operator verfügt.
      Der erfolgreiche Import des öffentlichen Schlüssels führt zu einer HTTP-Antwortnachricht mit Status 200 .
    5. Überprüfen Sie, ob der Schlüssel erfolgreich in das kryptografische Zielmodul importiert wurde.Registerkarte „Schlüssel des Krypto-Spezifikationsmoduls“ mit erfolgreichem Schlüsselimport.