Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Exportieren Sie einen AWS CloudHSM Schlüssel mit KMU
<a name="key_mgmt_util-wrapKey"></a>

Verwenden Sie den **wrapKey** Befehl in AWS CloudHSM key\$1mgmt\$1util, um eine verschlüsselte Kopie eines symmetrischen oder privaten Schlüssels aus dem Hardware-Sicherheitsmodul (HSM) in eine Datei zu exportieren. Wenn Sie **wrapKey** ausführen, geben Sie den zu exportierenden Schlüssel, einen Schlüssel in dem HSM zum Verschlüsseln (Wrap) des zu exportierenden Schlüssels und die Ausgabedatei an.

Der Befehl `wrapKey` schreibt den verschlüsselten Schlüssel in eine von Ihnen angegebene Datei, entfernt den Schlüssel jedoch nicht aus dem HSM oder verhindert, dass Sie ihn in kryptographischen Operationen verwenden. Sie können den gleichen Schlüssel mehrmals exportieren. 

Nur der Eigentümer eines Schlüssels, d.h. der Crypto-Benutzer (CU), der den Schlüssel angelegt hat, kann ihn exportieren. Benutzer, für die der Schlüssel freigegeben ist, können ihn in kryptografischen Vorgängen verwenden, können ihn aber nicht exportieren.

Um den verschlüsselten Schlüssel wieder in das HSM zu importieren, verwenden Sie. [unWrapKey](key_mgmt_util-unwrapKey.md) Um einen Klartext-Schlüssel aus einem HSM zu exportieren, verwenden Sie [exSymKey](key_mgmt_util-exSymKey.md)oder [exportPrivateKey](key_mgmt_util-exportPrivateKey.md)je nach Bedarf. [aesWrapUnwrap](key_mgmt_util-aesWrapUnwrap.md)Mit dem Befehl können verschlüsselte Schlüssel nicht entschlüsselt (entpackt) werden. **wrapKey**

Bevor Sie einen key\$1mgmt\$1util-Befehl ausführen, müssen Sie [key\$1mgmt\$1util starten](key_mgmt_util-setup.md#key_mgmt_util-start) und sich am HSM als Crypto-Benutzer (CU) [anmelden](key_mgmt_util-log-in.md). 

## Syntax
<a name="wrapKey-syntax"></a>

```
wrapKey -h

wrapKey -k <exported-key-handle>
        -w <wrapping-key-handle>
        -out <output-file>
        [-m <wrapping-mechanism>]
        [-aad <additional authenticated data filename>]
        [-t <hash-type>]
        [-noheader]
        [-i <wrapping IV>]  
        [-iv_file <IV file>]
        [-tag_size <num_tag_bytes>>]
```

## Beispiel
<a name="wrapKey-examples"></a>

**Example**  
Mit diesem Befehl wird ein symmetrischer 192-Bit-3DES-Schlüssel exportiert (Schlüssel-Handle `7`). Der Befehl verwendet einen 256-Bit-AES-Schlüssel im HSM (Schlüssel-Handle `14`), um den Schlüssel `7` zu verpacken. Anschließend wird der verschlüsselte 3DES-Schlüssel in die Datei `3DES-encrypted.key` geschrieben.  
Die Ausgabe zeigt, dass der Schlüssel `7` (der 3DES-Schlüssel) erfolgreich verpackt und in die angegebene Datei geschrieben wurde. Der verschlüsselte Schlüssel hat eine Länge von 307 Byte.  

```
        Command:  wrapKey -k 7 -w 14 -out 3DES-encrypted.key -m 4

        Key Wrapped.

        Wrapped Key written to file "3DES-encrypted.key length 307

        Cfm2WrapKey returned: 0x00 : HSM Return: SUCCESS
```

## Parameters
<a name="wrapKey-params"></a>

**-h**  
Zeigt Hilfe für den Befehl an.   
Erforderlich: Ja

**-k**  
Der Schlüssel-Handle des Schlüssels, den Sie exportieren möchten. Geben Sie das Schlüssel-Handle eines symmetrischen oder privaten Schlüssels ein, der Ihnen gehört. Verwenden Sie den [findKey](key_mgmt_util-findKey.md)-Befehl, um Schlüssel-Handles zu finden.  
Verwenden Sie den Befehl [getAttribute](key_mgmt_util-getAttribute.md), um sicherzustellen, dass ein Schlüssel exportiert werden kann, und um den Wert des Attributs `OBJ_ATTR_EXTRACTABLE` abzurufen, der von der Konstanten `354` dargestellt wird. Hilfe zur Interpretation der Schlüsselattribute finden Sie unter [AWS CloudHSM Referenz zu Schlüsselattributen für KMU](key-attribute-table.md).  
Zudem können Sie nur Schlüssel exportieren, deren Eigentümer Sie sind. Verwenden Sie den Befehl, um den Besitzer eines Schlüssels zu ermitteln. [getKeyInfo](key_mgmt_util-getKeyInfo.md)  
Erforderlich: Ja

**-w**  
Gibt den Wrapping-Schlüssel an. Geben Sie das Schlüssel-Handle eines AES-Schlüssels oder RSA-Schlüssels auf dem HSM ein. Dieser Parameter muss angegeben werden. Verwenden Sie den [findKey](key_mgmt_util-findKey.md)-Befehl, um Schlüssel-Handles zu finden.  
Um einen Wrapping-Schlüssel zu erstellen, verwenden Sie, [genSymKey](key_mgmt_util-genSymKey.md)um einen AES-Schlüssel (Typ 31) oder ein [RSAKeyGen-Paar](key_mgmt_util-genRSAKeyPair.md) zu generieren, um ein RSA-Schlüsselpaar (Typ 0) zu generieren. Wenn Sie ein RSA-Schlüsselpaar verwenden, achten Sie darauf, den Schlüssel mit einem der Schlüssel zu umwickeln und ihn mit dem anderen zu entpacken. Verwenden Sie [getAttribute](key_mgmt_util-getAttribute.md), um zu überprüfen, ob ein Schlüssel als Verpackungsschlüssel verwendet werden kann, und um den Wert des `OBJ_ATTR_WRAP`-Attributs abzurufen, der von der Konstanten `262` dargestellt wird.  
Erforderlich: Ja

**-out**  
Pfad und Name der Ausgabedatei. Wenn der Befehl erfolgreich ist, enthält diese Datei eine verschlüsselte Kopie des exportierten Schlüssels. Wenn die Datei bereits vorhanden ist, überschreibt der Befehl sie ohne Warnung.  
Erforderlich: Ja

**-m**  
Der Wert, der den Verschlüsselungsmechanismus bezeichnet. CloudHSM unterstützt die folgenden Mechanismen:       
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/key_mgmt_util-wrapKey.html)
Erforderlich: Ja  
Wenn Sie den `RSA_OAEP` Wrapping-Mechanismus verwenden, wird die maximale Schlüsselgröße, die Sie umbrechen können, durch den Modul des RSA-Schlüssels und die Länge des angegebenen Hashs wie folgt bestimmt: Maximale Schlüsselgröße = (modulusLengthInBytes-2\$1 hashLengthIn Bytes-2).  
Wenn Sie den RSA\$1PKCS-Wrapping-Mechanismus verwenden, wird die maximale Schlüsselgröße, die Sie umbrechen können, durch das Modul des RSA-Schlüssels wie folgt bestimmt: Maximale Schlüsselgröße = (Byte -11). modulusLengthIn

**-t**  
Der Wert, der den Hash-Algorithmus darstellt. CloudHSM unterstützt die folgenden Algorithmen:      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/cloudhsm/latest/userguide/key_mgmt_util-wrapKey.html)
Erforderlich: Nein

**AAD**  
Der Dateiname mit `AAD`.  
Gültig nur für `AES_GCM`- und `CLOUDHSM_AES_GCM`-Mechanismen.
Erforderlich: Nein

**-noheader**  
Lässt den Header weg, der CloudHSM-spezifische [Schlüsselattribute](key_mgmt_util-reference.md) angibt. Verwenden Sie diesen Parameter *nur*, wenn Sie planen, den Schlüssel mit Tools außerhalb von key\$1mgmt\$1util zu entpacken.  
Erforderlich: Nein

**-i**  
Der Initialisierungsvektor (IV) (Hex-Wert).  
Gültig nur, wenn mit dem `-noheader`-Parameter für `CLOUDHSM_AES_KEY_WRAP`- und `NIST_AES_WRAP`-Mechanismen übergeben.
Erforderlich: Nein

**-iv\$1file**  
Die Datei, in die Sie den als Antwort erhaltenen IV-Wert schreiben möchten.  
Gültig nur, wenn mit dem `-noheader`-Parameter für den `AES_GCM`-Mechanismus übergeben.
Erforderlich: Nein

**-tag\$1size**  
Die Größe des Tags, das zusammen mit verschlüsseltem Blob gespeichert werden soll.  
Gültig nur, wenn mit dem `-noheader`-Parameter für `AES_GCM`- und `CLOUDHSM_AES_GCM`-Mechanismen übergeben. Die Mindestgröße der Tags ist acht.
Erforderlich: Nein

[1] Gemäß den NIST-Richtlinien ist dies für Cluster im FIPS-Modus nach 2023 nicht zulässig. Für Cluster im Nicht-FIPS-Modus ist dies auch nach 2023 zulässig. Details dazu finden Sie unter [FIPS-140-Konformität: Mechanismus 2024 nicht mehr unterstützt](compliance-dep-notif.md#compliance-dep-notif-1).

## Verwandte Themen
<a name="wrapKey-seealso"></a>
+ [exSymKey](key_mgmt_util-exSymKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)