Enveloppez votre clé fournie par le client

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Encapsulez votre clé de chiffrement de données symétriques avec une clé d’emballage publique éphémère avant de pouvoir la charger sur votre instance.

    Avant de commencer

    Rôle requis : security_admin et sn_kmf.cryptographic_manager ou sn_kmf.admin

    Vous devez disposer d’une clé de chiffrement de données symétrique dans un .bin pour effectuer ces étapes. Pour obtenir des instructions sur ce processus, reportez-vous à la section Configurer les clés fournies par le client pour Chiffrement de champ Enterprise.
    Important :
    Votre clé de chiffrement des données symétriques doit être au format binaire (. BIN). Si un autre format est utilisé, le message d’erreur suivant s’affiche :

    Échec de la validation du jeton. Veuillez attacher à nouveau le jeton non modifié.

    Pourquoi et quand exécuter cette tâche

    Pour modifier les propriétés facultatives qui contrôlent la taille, l’algorithme de remplissage et la période de validité de la clé, reportez-vous à la section Configurer les propriétés de la clé fournie par le client.

    Vous devez disposer d’un outil cryptographique pour encapsuler votre clé. L’exemple de ce document utilise OpenSSL 1.1. Pour plus d’informations sur OpenSSL, consultez les détails sur https://www.openssl.org. Si vous utilisez d’autres outils cryptographiques, tels que LibreSSL ou GnuTLS, reportez-vous à la documentation de ces produits pour connaître les étapes similaires.

    Procédure

    1. Accédez à la Tous > Sécurité de système > Chiffrement de champ > Expérience de chiffrement de champ.
    2. Sélectionnez Afficher les détails du module dans la vue d’ensemble des modules de chiffrement de champ pour ouvrir le module de chiffrement de champ que vous avez créé précédemment.
      Remarque :
      Si vous n’avez pas encore créé de module de chiffrement de champ, vous pouvez en créer un en suivant les étapes de la section Configurer les Chiffrement de champ modules.
    3. Dans la section Spécification cryptographique, sélectionnez Gérer les paramètres de spécification.
    4. Sélectionnez le bouton Next (Suivant) jusqu’à ce que vous atteigniez la section Key Origin (Origine de la clé).
    5. Vérifiez que le champ Origine a la valeur Télécharger la clé fournie par le client.
      Si cette valeur ne peut pas être sélectionnée, reportez-vous aux étapes 3 à 5 de .Configurer les clés fournies par le client pour Chiffrement de champ Enterprise
    6. Dans le champ Alias de la clé , créez un alias.
      Votre clé utilise cet alias une fois chargée.
    7. Sélectionnez Suivant.
    8. Sélectionnez le lien dans le champ Télécharger la clé d’encapsulation .

      Un fichier token_publickey est téléchargé sur votre ordinateur. Ne renommez pas ce fichier.

    9. Sur votre ordinateur local, décompressez et ouvrez le dossier token_publickey .
      Vous devriez voir un fichier de jeton d’importation (.txt) et un fichier de clé publique (. PEM) dans ce dossier.
    10. Déplacez votre clé de chiffrement des données symétriques que vous avez générée dans ce dossier.
    11. Copiez le nom du fichier token_publickey dans votre presse-papier.
    12. Ouvrez une session de terminal et accédez au dossier token_publickey .
    13. Entrez la commande suivante :
      Important :
      Remplacez tout texte entre crochets (<>) par vos noms et informations de fichier spécifiques. Utilisez la table d’exemples de commandes d’encapsulation de touches suivante comme guide.
      openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>. PEM -in <keyname.bin> -out wrapped_key_material -pkeyopt rsa_padding_mode :oaep -pkeyopt rsa_oaep_md :sha256
      Tableau 1. Exemples de commandes d’encapsulation de clé
      Directions Commande Exemple

      Saisissez le publickey_< keyname >. PEM

      		 openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>. PEM openssl pkeyutl -encrypt -pubin -inkey publickey_567898643ffff. PEM
      Saisissez le nom de votre clé de chiffrement de données symétriques -in <keyname.bin> -in mykey.bin
      Entrez la commande <-out> et spécifiez si le matériel de clé encapsulée doit utiliser un chiffrement 256 bits -out wrapped_key_material -pkeyopt rsa_padding_mode :oaep -pkeyopt rsa_oaep_md :sha256 N/A

    Que faire ensuite

    Maintenant que votre clé est encapsulée, vous pouvez la télécharger sur votre instance en suivant la procédure dans .