顧客指定のキーをラップする

  • リリースバージョン: Yokohama
  • 更新日 2025年01月31日
  • 所要時間:3分

    • 対称データ暗号化キーを、インスタンスにアップロードする前に、エフェメラル公開ラッピングキーでラップします。

    始める前に

    必要なロール:KMF admin または KMF 暗号化オペレーター

    これらの手順を使用するには、 .bin に対称データ暗号化キーが必要です。このプロセスの手順については、「 の顧客指定のキーの構成 フィールド暗号化エンタープライズ」を参照してください。
    重要:
    対称データ暗号化キーはバイナリ形式 (.BIN)。別の形式が使用されている場合、次のエラーメッセージが表示されます。

    トークンの検証に失敗しました。変更されていないトークンを再添付してください。

    このタスクについて

    キーのサイズ、パディングアルゴリズム、および有効期間を制御するオプションのプロパティを変更するには、「 顧客指定のキーのプロパティの構成」を参照してください。

    キーをラップするには、暗号化ツールが必要です。このドキュメントの例では、OpenSSL 1.1 を使用しています。OpenSSL の詳細については、 https://www.openssl.org で詳細を参照してください。LibreSSL や GnuTLS などの他の暗号化ツールを使用している場合は、それらの製品のドキュメントで同様の手順について参照してください。

    手順

    1. 次のように移動する。 All (すべて) > システムセキュリティ > フィールド暗号化 > フィールド暗号化モジュール.
    2. 以前に作成したフィールド暗号化モジュールを開きます。
      注:
      フィールド暗号化モジュールをまだ作成していない場合は、「 フィールド暗号化モジュールの構成」の手順を使用して作成できます。
    3. [モジュール] 関連リストで、[キーのエイリアス] の下にある名前を選択して、暗号化固有のレコードを開きます。
    4. [キーの作成元] セクションが表示されるまで [次へ] ボタンを選択します。
    5. [作成元] フィールドの値が [顧客指定のキーをアップロードする] であることを確認します。
      設定されていない場合や、その値を選択できない場合は、 の顧客指定のキーの構成 フィールド暗号化エンタープライズの手順 3 〜 5 を参照してください。
    6. [キーエイリアス] フィールドで、エイリアスを作成します。
      キーは、アップロードされるとこのエイリアスを使用します。
    7. [Next (次へ)] を選択します。
    8. [ ラッピングキーのダウンロード ] フィールドのリンクを選択します。

      token_publickeyファイルがコンピューターにダウンロードされます。このファイルの名前は変更しないでください。

    9. ローカルマシンで、 token_publickey フォルダーを解凍して開きます。
      インポートトークンファイル (.txt) と公開鍵ファイル (.PEM) をこのフォルダーに格納します。
    10. 生成した対称データ暗号化キーをこのフォルダーに移動します。
    11. token_publickeyファイルの名前をクリップボードにコピーします。
    12. ターミナルセッションを開き、 token_publickey フォルダーに移動します。
    13. 次のコマンドを入力します。
      重要:
      括弧で囲まれたテキスト (<>) を特定のファイル名と情報に置き換えます。次のキーラッピングコマンドの例の表を参考にしてください。
      openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>。PEM -in <keyname.bin> -out wrapped_key_material -pkeyopt rsa_padding_mode: oaep -pkeyopt rsa_oaep_md:sha<128 または 256>
      表 : 1. キーラッピングコマンドの例
      方向 コマンド

      publickey_<keyname> を入力します。エンティティタイプ:

      		 openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>。エンティティタイプ: openssl pkeyutl -encrypt -pubin -inkey publickey_567898643ffff。エンティティタイプ:
      対称データ暗号化キーの名前を入力します -in <keyname.bin> -mykey.bin中
      ラップされたキーマテリアルが 128 ビットか 256 ビットかを指定する <-out> コマンドを入力します -out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 NA

    次のタスク

    キーがラップされたので、「 顧客指定のキーをアップロードする」の手順を使用してインスタンスにアップロードできます。