고객 제공 키 래핑

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 31일
  • 읽기2분

    • 대칭 데이터 암호화 키를 인스턴스에 업로드하기 전에 임시 공개 래핑 키로 래핑합니다.

    시작하기 전에

    필요한 역할: KMF 관리자 또는 KMF 암호화 연산자

    이러한 단계를 사용하려면 .bin 에 대칭 데이터 암호화 키가 있어야 합니다. 이 프로세스에 대한 지침은 다음 문서를 참조하십시오 에 대한 고객 공급 키 구성 필드 암호화 엔터프라이즈.
    중요사항:
    대칭 데이터 암호화 키는 이진 형식(. BIN). 다른 형식을 사용하는 경우 다음 오류 메시지가 표시됩니다.

    토큰 확인에 실패했습니다. 수정되지 않은 토큰을 다시 첨부하십시오.

    이 태스크 정보

    키의 크기, 패딩 알고리즘 및 유효 기간을 제어하는 선택적 속성을 수정하려면 문서를 참조하십시오 고객 제공 키에 대한 속성 구성.

    키를 래핑할 암호화 도구가 있어야 합니다. 이 문서의 예에서는 OpenSSL 1.1을 사용합니다. OpenSSL에 대한 자세한 내용은 다음 문서를 참조하십시오 https://www.openssl.org. LibreSSL 또는 GnuTLS와 같은 다른 암호화 도구를 사용하는 경우 해당 제품의 설명서에서 유사한 단계를 참조하세요.

    프로시저

    1. 다음으로 이동 모두 > 시스템 보안 > 필드 암호화 > 필드 암호화 모듈.
    2. 이전에 생성한 필드 암호화 모듈을 엽니다.
      주:
      아직 필드 암호화 모듈을 생성하지 않은 경우 다음의 모듈 구성 필드 암호화단계를 사용하여 생성할 수 있습니다.
    3. 모듈 관련 목록에서 키 별칭 아래의 이름을 선택하여 암호화 특정 기록을 엽니다.
    4. 키 원본 섹션에 도달할 때까지 다음 단추를 선택합니다.
    5. 원본 필드에 고객 공급 키 업로드 값이 있는지 확인합니다.
      그렇지 않고 해당 값을 선택할 수 없는 경우 의 3-5 에 대한 고객 공급 키 구성 필드 암호화 엔터프라이즈단계를 참조하십시오.
    6. 키 별칭 필드에서 별칭을 생성합니다.
      키가 업로드되면 이 별칭을 사용합니다.
    7. 다음을 선택합니다.
    8. 래핑 키 다운로드 필드에서 링크를 선택합니다.

      token_publickey 파일이 컴퓨터에 다운로드됩니다. 이 파일의 이름을 바꾸지 마십시오.

    9. 로컬 컴퓨터에서 압축을 풀고 token_publickey 폴더를 엽니다.
      가져오기 토큰 파일(.txt)과 공개 키 파일(. PEM)을 사용합니다.
    10. 생성한 대칭 데이터 암호화 키를 이 폴더로 이동합니다.
    11. token_publickey 파일의 이름을 클립보드에 복사합니다.
    12. 터미널 세션을 열고 token_publickey 폴더로 이동합니다.
    13. 다음 명령을 입력합니다.
      중요사항:
      괄호로 묶인 텍스트(<>)를 특정 파일 이름 및 정보로 바꿉니다. 다음 키 래핑 명령 예제 테이블을 가이드로 사용합니다.
      openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>. PEM -in <keyname.bin> -out wrapped_key_material -pkeyopt rsa_padding_mode: oaep -pkeyopt rsa_oaep_md:sha<128 또는 256>
      표 1. 키 래핑 명령 예시
      지시 명령 예제

      publickey_<keyname>을 입력합니다. 펨

      		 openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>. 펨 openssl pkeyutl -encrypt -pubin -inkey publickey_567898643ffff. 펨
      대칭 데이터 암호화 키의 이름 입력 -in <keyname.bin> -in mykey.bin
      <-out> 명령을 입력하여 래핑된 키 구성 요소가 128비트인지 256비트인지 지정합니다. -out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 해당 사항 없음

    다음에 수행할 작업

    이제 키가 래핑되었으므로 의 절차를 고객 공급 키 업로드사용하여 인스턴스에 업로드할 수 있습니다.