Enveloppez votre clé fournie par le client

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Encapsulez votre clé de chiffrement de données symétriques avec une clé d’encapsulation publique éphémère avant de pouvoir la charger sur votre instance.

    Avant de commencer

    Rôle requis : administrateur KMF ou opérateur de chiffrement KMF

    Vous devez disposer d’une clé de chiffrement de données symétrique dans un .bin pour exécuter ces étapes. Pour obtenir des instructions sur ce processus, reportez-vous à la section Configurer les clés fournies par le client pour Chiffrement de champ Enterprise.
    Important :
    Votre clé de chiffrement symétrique des données doit être au format binaire (. BIN). Si un autre format est utilisé, le message d’erreur suivant s’affiche :

    Échec de la validation du jeton. Veuillez attacher à nouveau le jeton non modifié.

    Pourquoi et quand exécuter cette tâche

    Pour modifier les propriétés facultatives qui contrôlent la taille, l’algorithme de remplissage et la période de validité de la clé, reportez-vous à la section Configurer les propriétés de la clé fournie par le client.

    Vous devez disposer d’un outil cryptographique pour encapsuler votre clé. L’exemple de ce document utilise OpenSSL 1.1. Pour plus d’informations sur OpenSSL, consultez les détails sur https://www.openssl.org. Si vous utilisez d’autres outils cryptographiques, tels que LibreSSL ou GnuTLS, reportez-vous à la documentation de ces produits pour connaître les étapes similaires.

    Procédure

    1. Accédez à la Tous > Sécurité de système > Chiffrement de champ > Modules de chiffrement de champ.
    2. Ouvrez un module de chiffrement de champ que vous avez précédemment créé.
      Remarque :
      Si vous n’avez pas encore créé de module de chiffrement de champ, vous pouvez en créer un en suivant les étapes de la section Configurer les Chiffrement de champ modules.
    3. Dans la liste connexe Module , ouvrez l’enregistrement cryptographique spécifique en sélectionnant le nom sous Alias de clé.
    4. Sélectionnez le bouton suivant jusqu’à ce que vous atteigniez la section Origine de la clé .
    5. Vérifiez que la valeur du champ Origine est Télécharger la clé fournie par le client.
      Si ce n’est pas le cas et que vous ne pouvez pas choisir cette valeur, reportez-vous aux étapes 3 à 5 de la section Configurer les clés fournies par le client pour Chiffrement de champ Enterprise.
    6. Dans le champ Alias de clé , créez un alias.
      Votre clé utilise cet alias une fois qu’elle est chargée.
    7. Sélectionnez Suivant.
    8. Sélectionnez le lien dans le champ Télécharger la clé d’encapsulation .

      Un fichier token_publickey est téléchargé sur votre ordinateur. Ne renommez pas ce fichier.

    9. Sur votre ordinateur local, décompressez et ouvrez le dossier token_publickey .
      Vous devez voir un fichier de jeton d’importation (.txt) et un fichier de clé publique (. PEM) dans ce dossier.
    10. Déplacez votre clé de chiffrement des données symétriques que vous avez générée dans ce dossier.
    11. Copiez le nom du fichier token_publickey dans votre presse-papiers.
    12. Ouvrez une session de terminal et accédez au dossier token_publickey .
    13. Entrez la commande suivante :
      Important :
      Remplacez tout texte entre crochets (<>) par vos noms et informations de fichier spécifiques. Utilisez la table d’exemples de commandes d’encapsulation de touches suivante comme guide.
      openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>. PEM -in <keyname.bin> -out wrapped_key_material -pkeyopt rsa_padding_mode : oaep -pkeyopt rsa_oaep_md :sha<128 ou 256>
      Tableau 1. Exemples de commandes d’encapsulation de clé
      Directions Commande Exemple

      Saisissez le publickey_<keyname>. PEM

      		 openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>. PEM openssl pkeyutl -encrypt -pubin -inkey publickey_567898643ffff. PEM
      Entrer le nom de votre clé de chiffrement de données symétriques -in <keyname.bin> -in mykey.bin
      Entrez la commande <-out> spécifiez si le matériel de clé encapsulé doit être 128 bits ou 256 bits -out wrapped_key_material -pkeyopt rsa_padding_mode :oaep -pkeyopt rsa_oaep_md :sha256 N/A

    Que faire ensuite

    Maintenant que votre clé est encapsulée, vous pouvez la télécharger sur votre instance en suivant la procédure de la section Télécharger la clé fournie par le client.