Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Exportación de una AWS CloudHSM clave privada mediante KMU
<a name="key_mgmt_util-exportPrivateKey"></a>

Utilice el **exportPrivateKey** comando del AWS CloudHSM key\$1mgmt\$1util para exportar una clave privada asimétrica de un módulo de seguridad de hardware (HSM) a un archivo. El HSM no permite la exportación directa de claves en texto sin cifrar. El comando encapsula la clave privada con una clave de encapsulamiento AES que usted especifique, descifra los bytes encapsulados y copia la clave privada de texto sin cifrar en un archivo.

El comando **exportPrivateKey** no elimina la clave del HSM, no cambia sus [atributos de clave](key-attribute-table.md) ni le impide a usted utilizar la clave en operaciones criptográficas posteriores. Puede exportar la misma clave varias veces.

Solo puede exportar claves privadas que tengan un atributo `OBJ_ATTR_EXTRACTABLE` con valor `1`. Debe especificar una clave de encapsulamiento AES que tenga los atributos `OBJ_ATTR_WRAP` y `OBJ_ATTR_DECRYPT` con valor `1`. Para buscar los atributos de una clave, utilice el comando [**getAttribute**](key_mgmt_util-getAttribute.md).

Antes de ejecutar cualquier comando de key\$1mgmt\$1util, debe [iniciar key\$1mgmt\$1util](key_mgmt_util-setup.md#key_mgmt_util-start) e [lniciar sesión](key_mgmt_util-log-in.md) en el HSM como usuario de criptografía (CU).

## Sintaxis
<a name="exportPrivateKey-syntax"></a>

```
exportPrivateKey -h

exportPrivateKey -k <private-key-handle>
                 -w <wrapping-key-handle>
                 -out <key-file>
                 [-m <wrapping-mechanism>]
                 [-wk <wrapping-key-file>]
```

## Ejemplos
<a name="exportPrivateKey-examples"></a>

Este ejemplo muestra cómo utilizar **exportPrivateKey** para exportar una clave privada de un HSM.

**Example : exportación de una clave privada**  
Este comando exporta la clave privada con el identificador `15` utilizando una clave de encapsulación con el identificador `16` a un archivo PEM denominado `exportKey.pem`. Cuando el comando se ejecuta correctamente, **exportPrivateKey** devuelve un mensaje de confirmación.  

```
Command: exportPrivateKey -k 15 -w 16 -out exportKey.pem

Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS

        Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

PEM formatted private key is written to exportKey.pem
```

## Parameters
<a name="exportPrivateKey-parameters"></a>

Este comando admite los siguientes parámetros.

**`-h`**  
Muestra la ayuda de la línea de comando para el comando.  
Obligatorio: sí

**`-k`**  
Especifica el identificador de clave de la clave privada que se va a exportar.  
Obligatorio: sí

**`-w`**  
Especifica el identificador de la clave de encapsulamiento. Este parámetro es obligatorio. Para buscar identificadores de clave, utilice el comando [**findKey**](key_mgmt_util-findKey.md).  
Para determinar si una clave se puede utilizar como clave de encapsulación, utilice [**getAttribute**](key_mgmt_util-getAttribute.md) para obtener el valor del atributo `OBJ_ATTR_WRAP` (262). Para crear una clave de encapsulación, utilice [**genSymKey**](key_mgmt_util-genSymKey.md) para crear una clave AES (de tipo 31).  
Si utiliza el parámetro `-wk` para especificar una clave de desencapsulación externa, la clave de encapsulación `-w` se utiliza para encapsular, pero no para desencapsular, la clave durante la exportación.  
Obligatorio: sí

**`-out`**  
Especifica el nombre del archivo en el que se escribirá la clave privada exportada.  
Obligatorio: sí

**`-m`**  
Especifica el mecanismo de encapsulación que se aplicará a la clave privada que se va a exportar. El único valor válido es `4`, que representa el mecanismo `NIST_AES_WRAP mechanism.`  
Valor predeterminado: 4 (`NIST_AES_WRAP`)  
Obligatorio: no

**`-wk`**  
Especifica la clave que se utilizará para desencapsular la clave que se está exportando. Escriba la ruta y el nombre de un archivo que contenga una clave AES sin cifrar.  
Si se incluye este parámetro, **exportPrivateKey** utiliza la clave del archivo especificado en el parámetro `-w` para encapsular la clave que se va a exportar y utiliza la clave especificada con el parámetro `-wk` para desencapsularla.  
Valor predeterminado: utilizar la clave de encapsulación especificada en el parámetro `-w` para encapsular y desencapsular.  
Obligatorio: no

## Temas relacionados
<a name="exportPrivateKey-seealso"></a>
+ [importPrivateKey](key_mgmt_util-importPrivateKey.md)
+ [wrapKey](key_mgmt_util-wrapKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)
+ [genSymKey](key_mgmt_util-genSymKey.md)