Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Exporter une AWS CloudHSM clé privée à l'aide de KMU
Utilisez la **exportPrivateKey** commande du AWS CloudHSM key\$1mgmt\$1util pour exporter une clé privée asymétrique d'un module de sécurité matérielle (HSM) vers un fichier. Le HSM n'autorise pas l'exportation directe des clés en texte clair. La commande encapsule la clé privée à l'aide d'une clé d'encapsulage AES que vous spécifiez, déchiffre les octets encapsulés et copie la clé privée en texte clair dans un fichier.
La commande **exportPrivateKey** ne supprime pas la clé du HSM, ne modifie pas ses [attributs de clé](key-attribute-table.md), ni ne vous empêche d'utiliser la clé dans d'autres opérations de chiffrement. Vous pouvez exporter la même clé plusieurs fois.
Vous pouvez uniquement exporter les clés privées qui ont la valeur d'attribut `OBJ_ATTR_EXTRACTABLE``1`. Vous devez spécifier une clé d'encapsulage AES dotée de la valeur d’attribut `OBJ_ATTR_WRAP` et`OBJ_ATTR_DECRYPT` `1`. Pour obtenir les attributs d’une clé, utilisez la commande [**getAttribute**](key_mgmt_util-getAttribute.md).
Avant d'exécuter une commande key\$1mgmt\$1util, vous devez [démarrer key\$1mgmt\$1util](key_mgmt_util-setup.md#key_mgmt_util-start) et vous [connecter](key_mgmt_util-log-in.md) au HSM en tant qu'utilisateur de chiffrement (CU).
## Syntaxe
```
exportPrivateKey -h
exportPrivateKey -k
-w
-out
[-m ]
[-wk ]
```
## Exemples
Cet exemple montre comment utiliser **exportPrivateKey** pour exporter une clé privée hors d'un HSM.
**Example : Exporter une clé privée**
Cette commande exporte une clé privée avec le handle `15` à l'aide d'une clé d'encapsulage avec handle `16` vers un fichier PEM appelé `exportKey.pem`. Lorsque la commande aboutit, **exportPrivateKey** renvoie un message de réussite.
```
Command: exportPrivateKey -k 15 -w 16 -out exportKey.pem
Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
PEM formatted private key is written to exportKey.pem
```
## Parameters
Cette commande accepte les paramètres suivants :
**`-h`**
Affiche l'aide de la ligne de commande pour la commande.
Obligatoire : oui
**`-k`**
Spécifie le handle de clé de la clé privée à exporter.
Obligatoire : oui
**`-w`**
Spécifie le handle de clé de la clé d'encapsulage. Ce paramètre est obligatoire. Pour trouver des handles de clé, utilisez la commande [**findKey**](key_mgmt_util-findKey.md).
Pour déterminer si une clé peut être utilisée comme clé d'encapsulage, utilisez [**getAttribute**](key_mgmt_util-getAttribute.md) pour obtenir la valeur de l'attribut `OBJ_ATTR_WRAP` (262). Pour créer une clé d'encapsulage, utilisez [**genSymKey**](key_mgmt_util-genSymKey.md) pour créer une clé AES (type 31).
Si vous utilisez le paramètre `-wk` pour spécifier une clé de désencapsulage externe, la clé d'encapsulage `-w` est utilisée pour encapsuler la clé lors de l'exportation, mais pas pour la désencapsuler.
Obligatoire : oui
**`-out`**
Spécifie le nom du fichier dans lequel la clé privée exportée sera écrite.
Obligatoire : oui
**`-m`**
Spécifie le mécanisme d'encapsulage pour encapsuler la clé privée exporté. La seule valeur valide est `4`, qui représente le `NIST_AES_WRAP mechanism.`.
Par défaut :4 ( `NIST_AES_WRAP`)
Obligatoire : non
**`-wk`**
Spécifie la clé à utiliser pour désencapsuler la clé en cours d'exportation. Entrez le chemin et le nom d'un fichier qui contient une clé AES en texte brut.
Lorsque vous incluez ce paramètre, **exportPrivateKey** utilise la clé dans le fichier `-w` pour encapsuler la clé en cours d'exportation, puis la clé spécifiée par le paramètre `-wk` pour la désencapsuler.
Par défaut : Utilise la clé d'encapsulage spécifiée dans le paramètre `-w` pour encapsuler et désencapsuler.
Obligatoire : non
## Rubriques en relation
+ [importPrivateKey](key_mgmt_util-importPrivateKey.md)
+ [wrapKey](key_mgmt_util-wrapKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)
+ [genSymKey](key_mgmt_util-genSymKey.md)