Exportar claves secretas con la KMU de AWS CloudHSM
Realice los siguientes pasos para importar una clave secreta del AWS CloudHSM mediante la key_mgmt_util (KMU).
Para exportar una clave secreta
-
Utilice el comando genSymKey para crear una clave de encapsulamiento. El siguiente comando crea una clave de encapsulamiento AES de 128 bits que solo es válida durante la sesión actual.
Command:genSymKey -t 31 -s 16 -sess -l export-wrapping-keyCfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS Symmetric Key Created. Key Handle: 524304 Cluster Error Status Node id 2 and err state 0x00000000 : HSM Return: SUCCESS -
Utilice uno de los siguientes comandos, en función del tipo de clave secreta que va a exportar.
-
Para exportar una clave simétrica, utilice el comando exSymKey. El siguiente ejemplo exporta una clave AES a un archivo denominado
aes256.key.exp. Para ver todas las opciones disponibles, utilice el comando exSymKey -h.Command:exSymKey -k 524295 -out aes256.key.exp -w 524304Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS Wrapped Symmetric Key written to file "aes256.key.exp"nota
La salida del comando indica que se ha escrito una "Wrapped Symmetric Key" (clave simétrica encapsulada) en el archivo de salida. Sin embargo, el archivo de salida contiene una clave sin cifrar (sin encapsular). Para exportar una clave encapsulada (cifrada) a un archivo, utilice el comando wrapKey.
-
Para exportar una clave privada, utilice el comando exportPrivateKey. El siguiente comando exporta una clave privada a un archivo denominado
rsa2048.key.exp. Para ver todas las opciones disponibles, utilice el comando exportPrivateKey -h.Command:exportPrivateKey -k 524296 -out rsa2048.key.exp -w 524304Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS PEM formatted private key is written to rsa2048.key.exp
-
