Encapsule sua chave fornecida pelo cliente

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Encaple sua chave de criptografia de dados simétrica com uma chave de encapsulamento pública efêmera antes de carregá-la para sua instância.

    Antes de Iniciar

    Função necessária: Administrador do KMF ou Operador criptográfico do KMF

    Você deve ter uma chave de criptografia de dados simétrica em um .bin para usar estas etapas. Para obter instruções sobre este processo, consulte Configurar chaves fornecidas pelo cliente para Criptografia de campo Enterprise.
    Importante:
    Sua chave de criptografia de dados simétrica deve estar em um formato binário (.BIN). Se outro formato for usado, a seguinte mensagem de erro:

    Validação de token com falha. Reanexe o token não modificado.

    Por Que e Quando Desempenhar Esta Tarefa

    Para modificar propriedades opcionais que controlam o tamanho, o algoritmo de preenchimento e o período de validade da chave, consulte Configure as propriedades da chave fornecida pelo cliente.

    Você deve ter uma ferramenta criptográfica para encapsular sua chave. O exemplo neste documento usa OpenSSL 1,1. Para obter mais informações sobre OpenSSL, consulte os detalhes em https://www.openssl.org. Se você estiver usando outras ferramentas criptográficas, como LibreSSL ou GnuTLS, consulte a documentação desses produtos para obter etapas semelhantes.

    Procedimento

    1. Navegar até Tudo > Segurança do sistema > Criptografia de campo > Módulos de criptografia de campo.
    2. Abra um módulo de criptografia de campo que você criou anteriormente.
      Nota:
      Se você ainda não criou um módulo de criptografia de campo, poderá criar um usando as etapas em Configurar Criptografia de campo módulos.
    3. Em Módulo para abrir o registro criptográfico específico, selecione o nome em Alias de chave .
    4. Selecione Próximo até chegar ao Origem da chave seção.
    5. Verifique se o Origem o campo tem um valor de Carregue a chave fornecida pelo cliente .
      Caso contrário, e você não possa escolher esse valor, consulte as etapas 3 a 5 em Configurar chaves fornecidas pelo cliente para Criptografia de campo Enterprise.
    6. Em Alias da chave crie um alias.
      Sua chave usa este alias depois que é carregada.
    7. Selecione Avançar.
    8. Selecione o link em Baixar chave de encapsulamento campo.

      . token_publickey downloads de arquivos para o seu computador. Não renomeie este arquivo.

    9. Em sua máquina local, descompacte e abra token_publickey pasta.
      Você deve ver um arquivo de token de importação (.txt) e um arquivo de chave pública (.pem) nesta pasta.
    10. Mova sua chave de criptografia de dados simétrica que você gerou para esta pasta.
    11. Copie o nome do token_publickey arquivo para sua área de transferência.
    12. Abra uma sessão de terminal e navegue até token_publickey pasta.
    13. Insira o seguinte comando:
      Importante:
      Substitua qualquer texto entre colchetes (>) pelos nomes e informações de arquivo específicos. Use a tabela de exemplos de comando de encapsulamento de chave a seguir como guia.
      openssl pkeyutl -encrypt -publin -inkey publickey_<keyname>. PEM -In <keyname.bin> -out wrapped_key_material -pkeyopt rsa_padding_mode: Oaep -pkeyopt rsa_oaep_md:sha128 ou 256>
      Tabela 1. Exemplos de comando de encapsulamento de chave
      Direções Comando Exemplo

      Insira publickey_<keyname>.pem

      		 openssl pkeyutl -encrypt -publin -inkey publickey_<keyname>.pem openssl pkeyutl -encrypt -publin -inkey publickey_567898643ffff.pem
      Insira o nome da sua chave de criptografia de dados simétrica -in <keyname.bin> -in mykey.bin
      Especifique se o material da chave encapsulada deve ser de 128 bits ou 256 bits wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 N/D

    O que Fazer Depois

    Agora que sua chave está encapsulada, você pode carregá-la para sua instância usando o procedimento em Carregue sua chave fornecida pelo cliente.