Encapsule sua chave fornecida pelo cliente

  • Versão de lançamento: Yokohama
  • Atualizado 31 de jan. de 2025
  • 2 min. de leitura

    • Encapsule sua chave de criptografia de dados simétrica com uma chave de encapsulamento pública efêmera antes de carregá-la na sua instância.

    Antes de Iniciar

    Função necessária: administrador KMF ou operador criptográfico KMF

    Você deve ter uma chave de criptografia de dados simétrica em um .bin para usar essas etapas. Para obter instruções sobre esse processo, consulte Configurar chaves fornecidas pelo cliente para Criptografia de campo Enterprise.
    Importante:
    Sua chave de criptografia de dados simétrica deve estar em um formato binário (.BIN). Se outro formato for usado, a seguinte mensagem de erro:

    Falha na validação do token. Anexe novamente o token não modificado.

    Por Que e Quando Desempenhar Esta Tarefa

    Para modificar propriedades opcionais que controlam o tamanho, o algoritmo de preenchimento e o período de validade da chave, consulte Configurar propriedades da chave fornecida pelo cliente.

    Você deve ter uma ferramenta criptográfica para encapsular sua chave. O exemplo neste documento usa OpenSSL 1.1. Para obter mais informações sobre OpenSSL, consulte os detalhes em https://www.openssl.org. Se você estiver usando outras ferramentas criptográficas, como LibreSSL ou GnuTLS, consulte a documentação desses produtos para etapas semelhantes.

    Procedimento

    1. Navegar até Tudo > Segurança do sistema > Criptografia de campo > Módulos de criptografia de campo.
    2. Abra um módulo de criptografia de campo que você criou anteriormente.
      Nota:
      Se você ainda não criou um módulo de criptografia de campo, poderá criar um usando as etapas em Configurar Criptografia de campo módulos.
    3. Na lista relacionada ao Módulo, abra o registro criptográfico específico selecionando o nome em Alias da chave.
    4. Selecione o botão Avançar até chegar à seção Origem da chave.
    5. Verifique se o campo Origem tem um valor de Carregar chave fornecida pelo cliente.
      Caso contrário, e você não puder escolher esse valor, consulte as etapas 3 a 5 em Configurar chaves fornecidas pelo cliente para Criptografia de campo Enterprise.
    6. No campo Alias da chave, crie um alias.
      Sua chave usa este alias depois de carregada.
    7. Selecione Avançar.
    8. Selecione o link no campo Baixar chave de encapsulamento.

      Um arquivo token_publickey é baixado para o seu computador. Não renomeie este arquivo.

    9. Na máquina local, descompacte e abra a pasta token_publickey.
      Você deve ver um arquivo de token de importação (.txt) e um arquivo de chave pública (.PEM) nesta pasta.
    10. Mova a chave de criptografia de dados simétrica que você gerou para esta pasta.
    11. Copie o nome do arquivo token_publickey para a área de transferência.
    12. Abra uma sessão de terminal e navegue até a pasta token_publickey.
    13. Insira o seguinte comando:
      Importante:
      Substitua qualquer texto entre colchetes (<>) pelos nomes e informações de arquivo específicos. Use a tabela de exemplos de comando de encapsulamento de chave a seguir como guia.
      openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname> . PEM - entrada<keyname.bin> -out wraped_key_material -pkeyopt rsa_padding_mode: oaep -pkeyopt rsa_oaep_md:sha<128 ou 256>
      Tabela 1. Exemplos de comando de encapsulamento de chave
      Direções Comando Exemplo

      Insira publickey_<keyname> .PEM

      		 openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname> .PEM openssl pkeyutl -encrypt -pubin -inkey publickey_567898643ffff.PEM
      Insira o nome da sua chave de criptografia de dados simétrica -in <keyname.bin> -em mykey.bin
      Insira o comando <-out> para especificar se o material da chave encapsulada deve ser de 128 bits ou 256 bits -out wraped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 N/D

    O que Fazer Depois

    Agora que sua chave está encapsulada, você pode carregá-la para sua instância usando o procedimento em Carregar a chave fornecida pelo cliente.