Encapsuler votre clé fournie par le client

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Encapsulez la clé symétrique à utiliser pour le chiffrement avec la clé publique téléchargée.

    Avant de commencer

    Remarque :
    Cette procédure décrit les options disponibles avec KMF le système de base et les options à utiliser avec Entreprise de Chiffrement au niveau des colonnes la fonctionnalité. Entreprise de Chiffrement au niveau des colonnes La fonctionnalité n’est disponible que lorsque le module d’extension com.glide.now.platform.encryption est actif. Pour Activer Chiffrement au niveau des colonnes – Entreprise plus d’informations sur l’obtention de Entreprise de Chiffrement au niveau des colonnes.

    Certaines des étapes décrites dans ce document nécessitent l’utilisation d’un outil de chiffrement installé sur votre appareil local. Les exemples de cette tâche utilisent l’outil OpenSSL. Pour plus d’informations sur cet outil, reportez-vous à la section https://www.openssl.org. Si vous utilisez d’autres outils cryptographiques, tels que LibreSSL ou GnuTLS, reportez-vous à la documentation de ces produits pour connaître les étapes similaires.

    • Modifiez les propriétés facultatives qui contrôlent la taille, l’algorithme de remplissage et la période de validité de la clé. Consultez Configurer les propriétés des clés fournies par le client.

    • Vous devez disposer de votre clé symétrique (. BIN) pour le chiffrement.

      Important :
      Votre clé doit être au format binaire. Si un autre format est utilisé, la validation d’un jeton a échoué. Veuillez attacher à nouveau le jeton non modifié.Un message d’erreur s’affiche.

    • Vous devez disposer d’un outil cryptographique pour encapsuler votre clé. Cet exemple utilise OpenSSL 1.1.

    Rôle requis : sn_kmf.cryptographic_manager ou sn_kmf.admin

    Procédure

    1. Accédez à la Tout > Key Management Framework > Modules de chiffrement > Tout.
    2. Sélectionnez le module de chiffrement que vous avez créé pour la clé fournie par le client dans la liste connexe Spécifications de chiffrement.
    3. Vous serez dirigé vers l’étape de création de clé .
    4. Si vous n’avez pas encore téléchargé la clé d’encapsulation, cliquez sur le lien pour télécharger le fichier token_publickey<id>.zip et l’enregistrer au même emplacement que votre clé.
      Remarque :
      Ne renommez pas le fichier token_publickey<id> téléchargé.
    5. Décompressez le fichier sur votre réseau local.
      Le fichier zip contient deux fichiers, un jeton d’importation et une clé publique . Certificat PEM . Encapsulez votre clé symétrique avec la clé publique pour la chiffrer.
    6. Copiez le nom du fichier token_publickey dans votre presse-papiers.
    7. À partir d’une ligne de commande, utilisez le nom du fichier token_publickey copié pour ouvrir le dossier des fichiers décompressés en tant qu’espace réservé pour la clé enveloppée.
    8. Modifiez ce script en remplaçant les exemples par les noms de vos fichiers de chiffrement. 
      "downloads user.name$ cd token_publickey_<token>
openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>.PEM
-in <keyname.bin>
-out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha<128 or 256> "

      Passez en revue les commandes d’emballage de clé dans le tableau suivant pour plus d’informations.

      Tableau 1. Commandes d’emballage de clé
      Directions Commande Exemple
      Ouvrez le répertoire de fichiers dans lequel vous avez téléchargé le jeton d’encapsulation. 
      cd
      		 token_publickey123456789 CD
      Collez le nom de la clé publique. Certificat PEM . 
      openssl pkeyutl -encrypt -pubin -inkey
      		 publickey_586798643ffff. PEM
      Collez le nom de votre clé ici. 
      -in
      		 mykey.bin
      Entrez la commande <-out> et spécifiez si la clé est 128 bits ou 256 bits. 
      -out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256
      		 N/A
    9. Exécutez la commande.
      Un message système affiche token_publickey_<numéro de clé>. La clé sera générée et un fichier wrapped_key_material ajouté au répertoire.
    10. Chargez la clé emballée.

    Que faire ensuite

    Retournez à Configurer et charger votre clé fournie par le client pour charger votre clé enveloppée.