View a markdown version of this page

JCE プロバイダーがプライベートキーシークレットを から抽出することを許可する AWS CloudHSM - AWS CloudHSM

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

JCE プロバイダーがプライベートキーシークレットを から抽出することを許可する AWS CloudHSM

次の手順を使用して、 AWS CloudHSM JCE プロバイダーがプライベートキーシークレットを抽出できるようにします。

重要

この設定変更により、HSM クラスターからすべてのクリアの EXTRACTABLE キーバイトを抽出できるようになります。セキュリティを高めるには、キーラッピング方法を使用して HSM から安全にキーを抽出することを検討してください。これにより、HSM からキーバイトが意図せず抽出されるのを防ぐことができます。

  1. 以下のコマンドを使用して、プライベート キーと シークレット キーを JCE で抽出できるようにします。

    Linux
    
$ /opt/cloudhsm/bin/configure-jce --enable-clear-key-extraction-in-software
    Windows
    
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --enable-clear-key-extraction-in-software

  2. クリアキー抽出を有効にすると、以下の方法でプライベートキーをメモリーに抽出できるようになります。

    Class 方法 Format (getEncoded)
    Key getEncoded () RAW
    ECPrivateKey getEncoded () PKCS#8
    getS() 該当なし
    RSAPrivateCrtKey getEncoded () X.509
    getPrivateExponent() 該当なし
    getPrimeP() 該当なし
    getPrimeQ() 該当なし
    getPrimeExponentP() 該当なし
    getPrimeExponentQ() 該当なし
    getCrtCoefficient() 該当なし

JCE がキーをクリアでエクスポートできないようにして、デフォルトの動作に戻したい場合は、以下のコマンドを実行します。

Linux

$ /opt/cloudhsm/bin/configure-jce --disable-clear-key-extraction-in-software
Windows

PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-clear-key-extraction-in-software