Encapsulamento da chave fornecida pelo cliente

Versão de lançamento: Australia

Atualizado 12 de mar. de 2026

2 min. de leitura

Encapsule sua chave de criptografia de dados simétrica com uma chave de encapsulamento pública efêmera antes de carregá-la na sua instância.

Antes de Iniciar

Função necessária: Security_admin e sn_kmf.cryptographic_manager ou sn_kmf.admin

Para realizar essas etapas, você deve ter uma chave de criptografia de dados simétrica em um .bin. Para obter instruções sobre esse processo, consulte Configuração de chaves fornecidas pelo cliente para Criptografia de campo Enterprise.

Importante:

Sua chave de criptografia de dados simétrica deve estar em formato binário (.BIN). Se o formato for diferente, será exibida a seguinte mensagem de erro:

Falha na validação do token. Anexe novamente o token não modificado.

Por Que e Quando Desempenhar Esta Tarefa

Para modificar as propriedades opcionais que controlam o tamanho, o algoritmo de preenchimento e o período de validade da chave, consulte Configuração das propriedades de chaves fornecidas pelo cliente.

Você deve ter uma ferramenta criptográfica para encapsular sua chave. O exemplo neste documento se baseia no OpenSSL 1.1. Para obter mais informações sobre OpenSSL, consulte os detalhes em https://www.openssl.org. Se você estiver usando outras ferramentas criptográficas, como LibreSSL ou GnuTLS, consulte a documentação desses produtos para obter etapas semelhantes.

Procedimento

Navegar até Tudo > Segurança do sistema > Criptografia de campo > Experiência de criptografia de campo.
Selecione Exibir detalhes do módulo em Visão geral dos módulos de criptografia de campo para abrir o módulo de criptografia de campo que você criou anteriormente.

Nota:
Se você ainda não criou um módulo de criptografia de campo, poderá fazê-lo seguindo as etapas apresentadas em Configuração de módulos da Criptografia de campo.
Em Especificação criptográfica , selecione Gerenciar configurações de especificação .
Selecione o botão Avançar até chegar à seção Origem da chave.
Verifique se o campo Origem tem o valor Carregar chave fornecida pelo cliente.
Se esse valor não puder ser selecionado, consulte as etapas de 3 a 5 em Configuração de chaves fornecidas pelo cliente para Criptografia de campo Enterprise.
No campo Alias da chave, crie um alias.
Sua chave usará esse alias depois de carregada.
Selecione Avançar.
Selecione o link no campo Fazer download da chave de encapsulamento.

Um arquivo token_publickey é baixado para o seu computador. Não renomeie esse arquivo.
Na máquina local, descompacte e abra a pasta token_publickey.
Deve haver um arquivo de token de importação (.txt) e um arquivo de chave pública (.PEM) nessa pasta.
Mova a chave de criptografia de dados simétrica que você gerou nessa pasta.
Copie o nome do arquivo token_publickey para a área de transferência.
Abra uma sessão de terminal e navegue até a pasta token_publickey.

Insira o seguinte comando:

Importante:

Substitua qualquer texto entre colchetes (<>) pelos nomes e informações de arquivo específicos. Use como orientação a tabela de exemplos de comando de encapsulamento de chave a seguir.

openssl pkeyutl -encrypt -pubin -inkey publickey_<nomedachave>. <keyname.bin> -In -out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

Tabela 1. Exemplos de comando de encapsulamento da chave
Direções	Comando	Exemplo
Insira publickey_<nomedachave>.PEM	`openssl pkeyutl -encrypt -pubin -inkey publickey_<nomedachave>.PEM`	`openssl pkeyutl -encrypt -pubin -inkey publickey_567898643ffff.PEM`
Insira o nome da sua chave de criptografia de dados simétrica.	`-in <nomedachave.bin>`	`-in mykey.bin`
Insira o comando "out" e especifique se o material da chave encapsulada deve usar criptografia de 256 bits	`-out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256`	N/D

O que Fazer Depois

Agora que sua chave está encapsulada, você pode carregá-la para sua instância usando o procedimento fornecido em .