Enveloppez votre clé fournie par le client

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Encapsulez la clé symétrique à utiliser pour le chiffrement avec la clé publique téléchargée.

    Avant de commencer

    Remarque :
    Cette procédure décrit les options disponibles avec KMF le système de base et les options à utiliser avec Chiffrement de champ Enterprise la fonctionnalité. Chiffrement de champ Enterprise La fonctionnalité n’est disponible que lorsque le module d’extension com.glide.now.platform.encryption est actif. Voir Activer Chiffrement de champ pour plus d’informations sur l’obtention Chiffrement de champ Enterprise de .

    Certaines des étapes décrites dans ce document nécessitent l’utilisation d’un outil cryptographique installé sur votre périphérique local. Les exemples de cette tâche utilisent l’outil OpenSSL. Pour en savoir plus sur cet outil, reportez-vous à la section https://www.openssl.org. Si vous utilisez d’autres outils cryptographiques, tels que LibreSSL ou GnuTLS, reportez-vous à la documentation de ces produits pour connaître les étapes similaires.

    • Modifiez les propriétés facultatives qui contrôlent la taille, l’algorithme de remplissage et la période de validité de la clé. Consultez Configurer les propriétés des clés fournies par le client.

    • Vous devez avoir votre clé symétrique (. BIN) pour le chiffrement.

      Important :
      Votre clé doit être au format binaire. Si un autre format est utilisé, la validation d’un jeton a échoué. Veuillez attacher à nouveau le jeton non modifié.Un message d’erreur s’affiche.

    • Vous devez disposer d’un outil cryptographique pour encapsuler votre clé. Cet exemple utilise OpenSSL 1.1.

    Rôle requis : sn_kmf.cryptographic_manager ou sn_kmf.admin

    Procédure

    1. Accédez à la Tous > Key Management Framework > Modules de chiffrement > Tous.
    2. Sélectionnez le module de chiffrement que vous avez créé pour la clé fournie par le client dans la liste connexe Spécifications de chiffrement.
    3. Vous serez dirigé vers l’étape de création de clé .
    4. Si vous n’avez pas encore téléchargé la clé d’emballage, cliquez sur le lien pour télécharger le fichier token_publickey<id>.zip et enregistrez-le au même emplacement que votre clé.
      Remarque :
      Ne renommez pas le fichier token_publickey<id> téléchargé.
    5. Décompressez le fichier sur votre réseau local.
      Le fichier zip contient deux fichiers, un jeton d’importation et une clé publique . Certificat PEM . Encapsulez votre clé symétrique avec la clé publique pour la chiffrer.
    6. Copiez le nom du fichier token_publickey dans votre presse-papiers.
    7. À partir d’une ligne de commande, utilisez le nom du fichier token_publickey copié pour ouvrir le dossier des fichiers décompressés en tant qu’espace réservé pour la clé emballée.
    8. Modifiez ce script en remplaçant les exemples par les noms de vos fichiers cryptographiques. 
      "downloads user.name$ cd token_publickey_<token>
openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>.PEM
-in <keyname.bin>
-out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha<128 or 256> "

      Pour plus d’informations, passez en revue les commandes d’encapsulation de touches dans le tableau suivant.

      Tableau 1. Commandes d’encapsulation de touches
      Directions Commande Exemple
      Ouvrez le répertoire de fichiers dans lequel vous avez téléchargé le jeton d’encapsulation. 
      cd
      		 token_publickey123456789 CD
      Collez le nom de la clé publique. Certificat PEM . 
      openssl pkeyutl -encrypt -pubin -inkey
      		 publickey_586798643ffff. PEM
      Collez le nom de votre clé ici. 
      -in
      		 mykey.bin
      Entrez la commande <-out> et spécifiez si la clé est 128 bits ou 256 bits. 
      -out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256
      		 N/A
    9. Exécutez la commande.
      Un message système s’affiche token_publickey_<keynumber>. La clé sera générée et un fichier wrapped_key_material ajouté au répertoire.
    10. Chargez la clé emballée.

    Que faire ensuite

    Revenir à Configurer et charger la clé fournie par le client pour charger votre clé emballée.