keytool を使用して新しい AWS CloudHSM キーを作成する - AWS CloudHSM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

keytool を使用して新しい AWS CloudHSM キーを作成する

keytool を使用して、 AWS CloudHSM JCE SDK でサポートされているキーの RSA、AES、および DESede タイプを生成できます。

重要

keytool で生成されたキーはソフトウェアで生成され、抽出可能な永続キー AWS CloudHSM として にインポートされます。

エクスポートできないキーを keytool の外部で生成したうえで、対応する証明書をキーストアにインポートすることを強くお勧めします。keytool と Jarsigner を介して抽出可能な RSA キーまたは EC キーを使用する場合、プロバイダーは からキーをエクスポートし AWS CloudHSM 、ローカルでキーを使用してオペレーションに署名します。

複数のクライアントインスタンスが AWS CloudHSM クラスターに接続されている場合、1 つのクライアントインスタンスのキーストアに証明書をインポートしても、他のクライアントインスタンスで証明書が自動的に使用可能になるわけではないことに注意してください。各クライアントインスタンスでキーおよび関連する証明書を登録するには、「keytool を使用して AWS CloudHSM CSR を生成する」の説明に従って Java アプリケーションを実行する必要があります。または、1 つのクライアントで必要な変更を行い、結果のキーストアファイルを他のすべてのクライアントインスタンスにコピーすることもできます。

例 1: 対称型 AES-256 キーを生成し、作業ディレクトリの「example_keystore.store」という名前のキーストアファイルに保存します。<secret label> を独自のラベルに置き換えます。

Linux
$ keytool -genseckey -alias <secret label> -keyalg aes \
	-keysize 256 -keystore example_keystore.store \
	-storetype CloudHSM -J-classpath '-J/opt/cloudhsm/java/*' \
Windows
PS C:\> keytool -genseckey -alias <secret label> -keyalg aes `
	-keysize 256 -keystore example_keystore.store `
	-storetype CloudHSM -J-classpath '-J"C:\Program Files\Amazon\CloudHSM\java\*"'

例 2: RSA 2,048 キーペアを生成し、作業ディレクトリの「example_keystore.store」という名前のキーストアファイルに保存します。<RSA key pair label> を独自のラベルに置き換えます。

Linux
$ keytool -genkeypair -alias <RSA key pair label> \
	-keyalg rsa -keysize 2048 \
	-sigalg sha512withrsa \
	-keystore example_keystore.store \
	-storetype CLOUDHSM \
	-J-classpath '-J/opt/cloudhsm/java/*'
Windows
PS C:\> keytool -genkeypair -alias <RSA key pair label> `
	-keyalg rsa -keysize 2048 `
	-sigalg sha512withrsa `
	-keystore example_keystore.store `
	-storetype CLOUDHSM `
	-J-classpath '-J"C:\Program Files\Amazon\CloudHSM\java\*"'

サポートされている署名アルゴリズムのリストは、Java ライブラリにあります。