웹 서비스에서 키 임포트

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • 웹 서비스에서 키 임포트를 사용하여 외부 고객 키를 인스턴스에 안전하게 업로드합니다(예: 키 REST API). 대칭 및 비대칭 공개 키를 모두 대상 KMF 암호화 모듈로 가져올 수 있습니다.

    가져올 키(대상 키)는 인스턴스의 대상 암호화 모듈에 업로드되기 전에 래핑 키로 암호화되어야 합니다. 이 래핑 키는 퍼블릭/프라이빗 키 페어의 퍼블릭 구성요소로, 인스턴스에 있어야 합니다. 이 키는 래핑된 대상 키를 웹 서비스에서 가져오기를 통해 업로드하기 전에 반드시 필요합니다.

    이러한 두 가지 개별 절차(래핑 키 쌍 가져오기 및 웹 서비스에서 래핑된 대상 키 가져오기)는 다음 설명서에 자세히 설명되어 있습니다. 이 키 페어를 생성하고 업로드해야 인스턴스의 내부 키 임포트 암호화 모듈에서 사용할 수 있습니다.

    주:
    이 예제에서는 키 및 인증서 생성에 OpenSSL을 사용하고 Postman API 테스트 도구를 사용하여 REST API 사용을 표시합니다. 회사 요구 사항에 따라 유사한 다른 도구로 대체하십시오.

    래핑/래핑 해제 키 페어 임포트

    키를 임포트하기 전에 임포트 설정을 구성합니다 핵심 관리 프레임워크 .

    시작하기 전에

    필요한 역할: sn_kmf.cryptographic_manager

    이 태스크 정보

    이 예제에서는 키 및 인증서 생성에 OpenSSL을 사용합니다. 회사 요구 사항에 따라 유사한 다른 도구로 대체하십시오.

    프로시저

    1. 로컬 환경에서 터미널을 사용하여 인증서를 만듭니다.
      예: openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:4096 -keyout wrapping_private.key -out wrapping_public.crt

      이 인증서는 키를 포함하는 공용 구성 요소입니다. 인증서는 AES 대칭 키를 래핑하는 데 사용됩니다.

    2. 로컬 환경에서 터미널을 사용하여 공용 인증서(래핑 키 포함) 및 개인 래핑 해제 키를 포함하는 키 저장소를 만듭니다.
      예:openssl pkcs12 -export -in wrapping_public.crt -inkey wrapping_private.key -name "wrapping_key_alias" -out wrapping_keystore.p12
    3. 인스턴스에서 모두 > 주요 운영 > 설정 임포트 > 주요 임포트 설정.
    4. Algorithm Definition(알고리즘 정의) 섹션에서 Crypto Purpose(암호화 목적 )가 Asymmetric Key Unwrapping(비대칭 키 래핑 해제)으로 설정되어 있는지 확인합니다.암호화 목적 선택.
    5. 임포트한 키 저장소의 비대칭 키 재질에 맞는 적절한 알고리즘을 선택합니다.
      자세한 내용은 암호화 목적, 알고리즘 및 주요 정보 문서를 참조하십시오.
    6. 다음을 선택합니다.
    7. 수명 주기 정의 섹션에서 다음을 선택하여 계속합니다.
    8. 키 원본 섹션의 원본 필드에서 PKCS12에서 가져오기 또는 BCFKS에서 가져오기를 선택합니다.
      주:
      1단계의 예제 키 저장소를 사용하는 경우 PKCS12에서 가져오기를 선택합니다.
    9. 키 별칭을 입력하여 키를 식별합니다.
      이 별명은 업로드할 증명서 또는 키 스토어를 작성할 때 지정된 키 별명(또는 "식별 이름")과 일치해야 합니다. 위의 예를 계속하면 wrapping_key_alias 될 것입니다.
    10. 다음을 선택합니다.
      Key Creation(키 생성) 섹션에는 키 스토어를 업로드하는 대화 상자를 표시하는 Import Key(키 임포트) 링크가 포함되어 있습니다. 예제를 계속하면 wrapping_keystore.p12가 됩니다.

    웹 서비스에서 래핑된 키 임포트

    웹 서비스 기능에서 키 임포트를 사용하여 래핑된 키를 암호화 모듈에 업로드합니다. 이 예제에서는 대칭 키를 사용합니다. 유사한 단계를 사용하여 비대칭 키를 가져올 수 있습니다.

    시작하기 전에

    필요한 역할: sn_kmf.cryptographic_manager(모듈 구성), sn_kmf.cryptographic_operator(REST 운영 기본 인증)

    이 태스크 정보

    KMF 키 임포트 프로세스를 완료하려면 임포트 키 엔드포인트 접근 권한이 필요합니다.

    이 예제에서는 OpenSSL을 사용하여 키와 인증서를 생성합니다. 요구 사항에 따라 다른 유사한 도구로 대체할 수 있습니다.

    프로시저

    1. 로컬 장치의 터미널을 사용하여 키 가져오기 모듈 공개 키 래핑 키를 사용하여 대칭 키를 래핑합니다.
      예: openssl pkeyutl -encrypt -pubin -inkey public_wrapping_key.pem -in symmetric_key.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 -out wrapped_symmetric_key.txt
      이 예제에서는 wrapped_symmetric_key.txt라는 래핑된 키 파일을 만듭니다.
    2. API에 연결할 암호화 모듈을 작성합니다.
      자세한 내용은 "또는" 문서를 참조하십시오.
    3. 다음 선택 항목을 사용하여 암호화 사양을 추가합니다.
      • 암호화 목적: 대칭 데이터 암호화/암호 해독.
      • 키 원본: 웹 서비스에서 임 포트 웹 서비스에서 임포트로 선택한 키 원본입니다.

        자세한 내용은 "또는"을 참조하십시오.

    4. 웹 서비스 REST 엔드포인트에서 임포트에 대한 HTTP POST 요청을 실행합니다.
      옵션값/형식
      엔드포인트의 URL https://<instance>/api/sn_kmf/key/import?cryptoSpecSysID=<sys_id_of_crypto_spec>.
      CryptoSpecSysID 매개변수
      새로 작성된 암호화 사양의 sys_id 입니다.
      팁:
      암호화 사양의 헤더를 마우스 오른쪽 버튼으로 클릭하여 sys_id 복사합니다.
      헤더-콘텐츠-유형 application/octet-stream입니다.
      본문 첨부 파일 바이너리 및 임포트할 공개 키(wrapped_symmetric_key.txt)를 포함해야 합니다.
      웹 서비스 REST 엔드포인트에서 임포트 <사용자 이름/암호>의 기본 인증을 사용합니다.
      주:
      지정된 사용자에게 sn_kmf_cryptographic_operator 역할이 있는지 확인합니다.
      공개 키를 성공적으로 가져오면 상태 200의 HTTP 응답 메시지가 나타납니다.
    5. 키를 대상 암호화 모듈로 성공적으로 가져왔는지 확인합니다.키 임포트에 성공한 암호화 사양 모듈 키 탭입니다.