本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# CloudHSM CLI 命令的引用
CloudHSM CLI 可帮助管理员管理其集群中的用户。 AWS CloudHSM CloudHSM CLI 可以在两种模式下运行:交互模式和单命令模式。要快速开始使用,请参阅 [AWS CloudHSM 命令行界面 (CLI) 入门](cloudhsm_cli-getting-started.md)。
要运行大多数 CloudHSM CLI 命令,必须启动 CloudHSM CLI 并登录 HSM。如果您添加或删除 HSMs,请更新 CloudHSM CLI 的配置文件。否则,您所做的更改可能不会对集群 HSMs 中的所有人生效。
以下主题介绍 CloudHSM CLI 中的命令:
| 命令 | 说明 | 用户类型 |
| --- | --- | --- |
| [激活](cloudhsm_cli-cluster-activate.md) | 激活一个 CloudHSM 集群并确认该集群是新集群。必须先完成此操作,然后才能执行任何其他操作。 | 未激活的管理员 |
| [hsm-info](cloudhsm_cli-cluster-hsm-info.md) | 列出您的集群 HSMs 中的。 | 全部 [1](#cli-ref-1),包括未经身份验证的用户。不需要登录名。 |
| [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) | 使用 EC 私有密钥和 ECDSA 签名机制生成签名。 | 加密用户 (CU) |
| [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) | 使用 Ed25519 私钥和 D HashEd SA 签名机制生成签名。 | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) | 使用 RSA 私有密钥和 RSA-PKCS 签名机制生成签名。 | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) | 使用 RSA 私钥和签名机制生成 RSA-PKCS-PSS签名。 | CU |
| [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) | 确认文件已通过给定的公有密钥在 HSM 中签名。验证签名是否是使用 ECDSA 签名机制生成的。将签名文件与源文件进行比较,并根据给定的 ecdsa 公有密钥和签名机制确定两者是否具有加密相关性。 | CU |
| [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) | 使用 E HashEd d25519 公钥验证 DSA 签名。 | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) | 确认文件已通过给定的公有密钥在 HSM 中签名。验证签名是否是使用 RSA-PKCS 签名机制生成的。将签名文件与源文件进行比较,并根据给定的 rsa 公有密钥和签名机制确定两者是否具有加密相关性。 | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) | 确认文件已通过给定的公有密钥在 HSM 中签名。验证签名是否使用签名机制生成。 RSA-PKCS-PSS将签名文件与源文件进行比较,并根据给定的 rsa 公有密钥和签名机制确定两者是否具有加密相关性。 | CU |
| [key delete](cloudhsm_cli-key-delete.md) | 从您的 AWS CloudHSM 集群中删除密钥。 | CU |
| [key generate-file](cloudhsm_cli-key-generate-file.md) | 在您的 AWS CloudHSM 集群中生成密钥文件。 | CU |
| [密钥 generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) | 在您的 AWS CloudHSM 集群中生成非对称 RSA key pair。 | CU |
| [key generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) | 在集群中生成非对称椭圆曲线 (EC) 密钥对。 AWS CloudHSM | CU |
| [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md) | 在 AWS CloudHSM 集群中生成对称 AES 密钥。 | CU |
| [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md) | 在您的 AWS CloudHSM 集群中生成对称通用密钥。 | CU |
| [key import pem](cloudhsm_cli-key-import-pem.md) | 将 PEM 格式密钥导入到 HSM。您可以使用它来导入在 HSM 外生成的公有密钥。 | CU |
| [key list](cloudhsm_cli-key-list.md) | 查找 AWS CloudHSM 集群中当前用户的所有密钥。 | CU |
| [key replicate](cloudhsm_cli-key-replicate.md) | 将密钥从源集群复制到克隆的目标集群。 | CU |
| [key set-attribute](cloudhsm_cli-key-set-attribute.md) | 设置集 AWS CloudHSM 群中密钥的属性。 | CUs 可以运行此命令,管理员可以设置可信属性。 |
| [key share](cloudhsm_cli-key-share.md) | 与 AWS CloudHSM 集群 CUs 中的其他人共享密钥。 | CU |
| [key unshare](cloudhsm_cli-key-unshare.md) | 取消与 AWS CloudHSM 集群 CUs 中的其他人共享密钥。 | CU |
| [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md) | 使用 AES 包装密钥和 AES-GCM 解包机制将有效载荷密钥解包到集群中。 | CU |
| [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md) | 使用 AES 封装密钥和解包机制将有效载荷密钥 AES-NO-PAD解封到集群中。 | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md) | 使用 AES 封装密钥和 AES PKCS5--PAD 解包机制解开有效载荷密钥。 | CU |
| [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md) | 使用 AES 封装密钥和解包机制将有效载荷密钥 AES-ZERO-PAD解封到集群中。 | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md) | 使用 AES 封装密钥和解包机制将有效载荷密钥 CLOUDHSM-AES-GCM解封到集群中。 | CU |
| [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md) | 使用 RSA 私有密钥和 RSA-AES 解包机制来解包有效载荷密钥。 | CU |
| [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md) | 使用 RSA 私有密钥和 RSA-OAEP 解包机制来解包有效载荷密钥。 | CU |
| [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md) | 使用 RSA 私有密钥和 RSA-PKCS 解包机制来解包有效载荷密钥。 | CU |
| [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md) | 使用 HSM 上的 AES 密钥和 AES-GCM 包装机制来包装有效载荷密钥。 | CU |
| [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md) | 使用 HSM 上的 AES 密钥和 AES-NO-PAD包装机制封装有效载荷密钥。 | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md) | 使用 HSM 上的 AES 密钥和 AES PKCS5--PAD 包装机制封装有效载荷密钥。 | CU |
| [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md) | 使用 HSM 上的 AES 密钥和 AES-ZERO-PAD包装机制封装有效载荷密钥。 | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md) | 使用 HSM 上的 AES 密钥和 CLOUDHSM-AES-GCM包装机制封装有效载荷密钥。 | CUs |
| [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md) | 使用 HSM 上的 RSA 公有密钥和 RSA-AES 包装机制来包装有效载荷密钥。 | CU |
| [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md) | 使用 HSM 上的 RSA 公有密钥和 RSA-OAEP 包装机制来包装有效载荷密钥。 | CU |
| [ 使用 CloudHSM CLI 通过 RSA-PKCS 解包密钥rsa-pkcs **key wrap rsa-pkcs** 命令使用 HSM 上的 RSA 公有密钥和 `RSA-PKCS` 包装机制来包装有效载荷密钥。 使用 CloudHSM CLI 中的 **key wrap rsa-pkcs** 命令通过硬件安全模块(HSM)上的 RSA 公有密钥和 `RSA-PKCS` 包装机制包装有效载荷密钥。有效载荷密钥的 `extractable` 属性必须设置为 `true`。 只有密钥的所有者(即创建密钥的加密用户(CU))才能包装密钥。共享密钥的用户可以使用该密钥进行加密操作。 要使用该**key wrap rsa-pkcs**命令,您必须先在 AWS CloudHSM 集群中拥有 RSA 密钥。可以使用 [CloudHSM CLI 中的 generate-asymmetric-pair类别](cloudhsm_cli-key-generate-asymmetric-pair.md) 命令并将 `wrap` 属性设置为 `true` 生成 RSA 密钥对。 用户类型 以下类型的用户均可运行此命令。 加密用户 (CUs) 要求 要运行此命令,必须以 CU 身份登录。 语法
```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [...] --wrapping-filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--payload-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
--wrapping-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
--path
Path to the binary file where the wrapped key data will be saved
--wrapping-approval
File path of signed quorum token file to approve operation for wrapping key
--payload-approval
File path of signed quorum token file to approve operation for payload key
-h, --help
Print help
``` 示例 此示例演示如何通过 RSA 公有密钥使用 **key wrap rsa-pkcs** 命令。
**Example**
```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
"error_code": 0,
"data": {
"payload_key_reference": "0x00000000001c08f1",
"wrapping_key_reference": "0x00000000007008da",
"wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
}
``` 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择有效载荷密钥。
是否必需:是
******
保存包装密钥数据的二进制文件的路径。
必需:否
******
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择包装密钥。
是否必需:是
******
指定已签名仲裁令牌文件的文件路径,进而批准包装密钥的操作。仅当包装密钥的密钥管理服务仲裁值大于 1 时才需要。
******
指定已签名仲裁令牌文件的文件路径,进而批准有效载荷密钥的操作。仅当有效载荷密钥的密钥管理服务仲裁值大于 1 时才需要。 相关主题 [CloudHSM CLI 中的 key wrap 命令](cloudhsm_cli-key-wrap.md) [CloudHSM CLI 中的 key unwrap 命令](cloudhsm_cli-key-unwrap.md) ](cloudhsm_cli-key-wrap-rsa-pkcs.md) | 使用 HSM 上的 RSA 公有密钥和 RSA-PKCS 包装机制来包装有效载荷密钥。 | CU |
| [login](cloudhsm_cli-login.md) | 登录您的集 AWS CloudHSM 群。 | 管理员、加密用户 (CU) 和应用程序用户 (AU) |
| [logout](cloudhsm_cli-logout.md) | 注销您的 AWS CloudHSM 集群。 | 管理员、加密用户 (CU) 和应用程序用户 (AU, appliance user) |
| [quorum token-sign delete](cloudhsm_cli-qm-token-del.md) | 删除仲裁授权服务的一个或多个令牌。 | Admin |
| [quorum token-sign generate](cloudhsm_cli-qm-token-gen.md) | 为仲裁授权服务生成令牌。 | Admin |
| [quorum token-sign list](cloudhsm_cli-qm-token-list.md) | 列出您的 CloudHSM 集群中存在的所有令牌签名仲裁令牌。 | 全部 [1](#cli-ref-1),包括未经身份验证的用户。不需要登录名。 |
| [法定代币符号 list-quorum-values](cloudhsm_cli-qm-token-list-qm.md) | 列出您的 CloudHSM 集群中设置的仲裁值。 | 全部 [1](#cli-ref-1),包括未经身份验证的用户。不需要登录名。 |
| [法定代币符号 set-quorum-value](cloudhsm_cli-qm-token-set-qm.md) | 为仲裁授权服务设置新的仲裁值。 | Admin |
| [user change-mfa](cloudhsm_cli-user-change-mfa.md) | 更改用户的多重身份验证 (MFA, multi-factor authentication) 策略。 | 管理员,CU |
| [user change-password](cloudhsm_cli-user-change-password.md) | 在上更改用户的密码 HSMs。所有用户都可更改自己的密码。管理员可以更改任何人的密码。 | 管理员,CU |
| [user create](cloudhsm_cli-user-create.md) | 在您的 AWS CloudHSM 集群中创建用户。 | Admin |
| [user delete](cloudhsm_cli-user-delete.md) | 删除集 AWS CloudHSM 群中的用户。 | Admin |
| [user list](cloudhsm_cli-user-list.md) | 列出 AWS CloudHSM 集群中的用户。 | 全部 [1](#cli-ref-1),包括未经身份验证的用户。不需要登录名。 |
| [user change-quorum token-sign register](cloudhsm_cli-user-chqm-token-reg.md) | 为用户注册仲裁令牌签名仲裁策略。 | Admin |
**Annotations**
+ [1] 所有用户包括所有列出的角色和未登录的用户。
# CloudHSM CLI 中的 cluster 类别
在 CloudHSM CLI 中,**cluster** 是一组命令的父类别,当这些命令与父类别结合使用时,会创建特定于集群的命令。当前,cluster 类别由以下命令组成:
**Topics**
+ [激活](cloudhsm_cli-cluster-activate.md)
+ [hsm-info](cloudhsm_cli-cluster-hsm-info.md)
+ [mtls](cloudhsm_cli-cluster-mtls.md)
# 使用 CloudHSM CLI 激活集群
使用 CloudHSM CLI 中的 **cluster activate** 命令在 AWS CloudHSM中[激活新集群](activate-cluster.md)。使用该集群执行加密操作之前,必须运行该命令。
## 用户类型
以下类型的用户均可运行此命令。
+ 未激活的管理员
## 语法
此命令没有输出参数。
```
aws-cloudhsm > help cluster activate
Activate a cluster
This command will set the initial Admin password. This process will cause your CloudHSM cluster to
move into the ACTIVE state.
USAGE:
cloudhsm-cli cluster activate [OPTIONS] [--password ]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--password
Optional: Plaintext activation password If you do not include this argument you will be prompted for it
-h, --help
Print help (see a summary with '-h')
```
## 示例
此命令通过为您的管理员用户设置初始密码来激活您的集群。
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
## 相关主题
+ [user create](cloudhsm_cli-user-create.md)
+ [user delete](cloudhsm_cli-user-delete.md)
+ [user change-password](cloudhsm_cli-user-change-password.md)
# HSMs 使用 CloudHSM CLI 列出
使用 CloudHSM CLI 中的**cluster hsm-info**命令列出集群中的硬件安全HSMs模块 () AWS CloudHSM 。您不必登录 CloudHSM CLI 即可运行此命令。
**注意**
如果添加或删除 HSMs,请更新 AWS CloudHSM 客户端和命令行工具使用的配置文件。否则,您所做的更改可能不会对集群 HSMs 中的所有人生效。
## 用户类型
以下类型的用户均可运行此命令。
+ 所有用户。您不必登录即可运行此命令。
## 语法
```
aws-cloudhsm > help cluster hsm-info
List info about each HSM in the cluster
Usage: cloudhsm-cli cluster hsm-info [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 示例
此命令列出了您的 AWS CloudHSM 集群中 HSMs 存在的内容。
```
aws-cloudhsm > cluster hsm-info
{
"error_code": 0,
"data": {
"hsms": [
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000590",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000625",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000663",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
}
]
}
}
```
输出具有以下属性:
+ **供应商**:HSM 的供应商名称。
+ **模型**:HSM 的型号。
+ **序列号** :设备的序列号。情况可能因替换而变化。
+ **H ardware-version-major**:主要硬件版本。
+ **H ardware-version-minor**:次要硬件版本。
+ **F irmware-version-major**:主要固件版本。
+ **F irmware-version-minor**:次要固件版本。
+ **F irmware-build-number**:固件版本号。
+ **Firmware-id**:固件 ID,包括主要版本、次要版本和生成版本。
+ **FIPS 状态**:集群及其中的 FIPS 模式。 HSMs 如果处于 FIPS 模式,则输出为“2 [FIPS mode with single factor authentication]”。如果处于非 FIPS 模式,则输出为“0 [non-FIPS mode with single factor authentication]”。
## 相关主题
+ [使用 CloudHSM CLI 激活集群](cloudhsm_cli-cluster-activate.md)
# CloudHSM CLI 中的 cluster mtls 类别
在 CloudHSM **cluster mtls** CLI 中,是一组命令的父类别,当这些命令与父类别结合使用时,将创建特定于集群的命令 AWS CloudHSM 。目前,此类别由以下命令组成:
**Topics**
+ [deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [get-enforcement](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [register-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [set-enforcement](cloudhsm_cli-cluster-mtls-set-enforcement.md)
# 使用 CloudHSM CLI 取消注册信任锚
使用 CloudHSM CLI 中的 **cluster mtls deregister-trust-anchor** 命令取消注册客户端和 AWS CloudHSM之间双向 TLS 的信任锚。
## 用户类型
以下用户均可运行此命令。
+ Admin
## 要求
+ 要运行此命令,您必须以管理员用户身份登录。
## 语法
```
aws-cloudhsm > help cluster mtls deregister-trust-anchor
Deregister a trust anchor for mtls
Usage: cluster mtls deregister-trust-anchor [OPTIONS] --certificate-reference [...]
Options:
--certificate-reference A hexadecimal or decimal certificate reference
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## 示例
**Example**
在以下示例中,此命令将从 HSM 中删除信任锚。
```
aws-cloudhsm > cluster mtls deregister-trust-anchor --certificate-reference 0x01
{
"error_code": 0,
"data": {
"message": "Trust anchor with reference 0x01 deregistered successfully"
}
}
```
然后,您可以运行 **list-trust-anchors** 命令来确认信任锚已从 AWS CloudHSM中取消注册:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": []
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
** ** **
十六进制或十进制证书引用。
**是否必需**:是
在集群中取消注册信任锚后,使用该信任锚签名的客户端证书的所有现有 mTLS 连接都将被断开。
** ** **
指定要批准操作的已签名仲裁令牌文件的文件路径。仅当仲裁集群服务仲裁值大于 1 时才需要。
## 相关主题
+ [集群 mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [集群 mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [设置 mTLS(推荐)](getting-started-setup-mtls.md)
# 使用 CloudHSM CLI 获取 mTLS 强制执行级别
使用 CloudHSM CLI 中的 **cluster mtls get-enforcement** 命令来获取客户端和 AWS CloudHSM之间双向 TLS 使用的执行级别。
## 用户类型
以下用户均可运行此命令。
+ Admin
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,您必须以管理员用户或加密用户(CUs)的身份登录。
## 语法
```
aws-cloudhsm > help cluster mtls get-enforcement
Get the status of mtls enforcement in the cluster
Usage: cluster mtls get-enforcement [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 示例
**Example**
在以下示例中,此命令列出了 AWS CloudHSM的 mtls 强制执行级别。
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "none"
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
## 相关主题
+ [cluster mtls set-enforcement](cloudhsm_cli-cluster-mtls-set-enforcement.md)
+ [设置 mTLS(推荐)](getting-started-setup-mtls.md)
# 使用 CloudHSM CLI 列出信任锚
使用 CloudHSM CLI 中的 **cluster mtls list-trust-anchors** 命令列出可用于客户端与 AWS CloudHSM之间的双向 TLS 的所有信任锚。
## 用户类型
以下用户均可运行此命令。
+ 所有用户。您不必登录即可运行此命令。
## 语法
```
aws-cloudhsm > help cluster mtls list-trust-anchors
List all trust anchors for mtls
Usage: cluster mtls list-trust-anchors [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 示例
**Example**
在以下示例中,此命令列出了 AWS CloudHSM中所有已注册的信任锚。
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
},
{
"certificate-reference": "0x02",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
## 相关主题
+ [集群 mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [集群 mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [设置 mTLS(推荐)](getting-started-setup-mtls.md)
# 使用 CloudHSM CLI 注册信任锚
使用 CloudHSM CLI 中的 **cluster mtls register-trust-anchor** 命令注册客户端和 AWS CloudHSM之间双向 TLS 的信任锚。
## 用户类型
以下用户均可运行此命令。
+ Admin
## 要求
AWS CloudHSM 接受具有以下密钥类型的信任锚:
****
| 密钥类型 | 说明 |
| --- | --- |
| EC | secp256r1(P-256)、secp384r1(P-384)和 secp521r1(P-521)曲线。 |
| RSA | 2048 位、3072 位和 4096 位 RSA 密钥。 |
## 语法
```
aws-cloudhsm > help cluster mtls register-trust-anchor
Register a trust anchor for mtls
Usage: cluster mtls register-trust-anchor [OPTIONS] --path [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--path Filepath of the trust anchor to register
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## 示例
**Example**
在以下示例中,此命令将信任锚注册到 HSM 上。最多可注册两个(2)个信任锚。
```
aws-cloudhsm > cluster mtls register-trust-anchor --path /home/rootCA
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
然后,您可以运行 **list-trust-anchors** 命令来确认信任锚已注册到 AWS CloudHSM上:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
** ** **
要注册的信任锚的文件路径。
**是否必需**:是
AWS CloudHSM 支持将中间证书注册为信任锚点。在这种情况下,需要将整个 PEM 编码的证书链文件注册到 HSM 上,并以分层顺序排列证书。
AWS CloudHSM 支持 6980 字节的证书链。
** ** **
指定要批准操作的已签名仲裁令牌文件的文件路径。仅当仲裁集群服务仲裁值大于 1 时才需要。
## 相关主题
+ [集群 mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [集群 mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [设置 mTLS(推荐)](getting-started-setup-mtls.md)
# 使用 CloudHSM CLI 设置 mTLS 的强制执行级别
使用 CloudHSM CLI 中的 **cluster mtls set-enforcement** 命令来设置客户端和 AWS CloudHSM之间双向 TLS 使用的强制执行级别。
## 用户类型
以下用户均可运行此命令。
+ 用户名为 admin 的管理员
## 要求
要运行此命令:
+ 至少有一个信任锚已成功注册到 AWS CloudHSM上。
+ 使用正确的私有密钥和客户端证书配置 CloudHSM CLI,然后在双向 TLS 连接下启动 CloudHSM CLI。
+ 您必须以用户名为“admin”的默认管理员身份登录。任何其他管理员用户都将无法运行此命令。
## 语法
```
aws-cloudhsm > help cluster mtls set-enforcement
Set mtls enforcement policy in the cluster
Usage: cluster mtls set-enforcement [OPTIONS] --level [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--level Level to be set for mtls in the cluster [possible values: none, cluster]
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## 示例
**Example**
在以下示例中,此命令将的 mtls 强制级别设置 AWS CloudHSM 为集群。set-enforcement 命令只能在双向 TLS 连接中执行,并以用户名为 admin 的管理员用户身份登录,请参阅 [set the mTLS enforcement for AWS CloudHSM](getting-started-setup-mtls.md#getting-start-setup-mtls-enforcement)。
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
然后,您可以运行 **get-enforcement** 命令来确认强制执行级别已设置为集群:
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "cluster"
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
** ** **
要为集群中的 mtls 设置的级别。
**有效值**
+ **集群**:强制在客户端和集群 AWS CloudHSM 中使用双向 TLS。
+ **none**:不要强制在客户端和集群 AWS CloudHSM 中使用双向 TLS。
**是否必需**:是
在集群中强制执行 mTLS 使用后,所有现有非 mTLS 连接都将被丢弃,并且您只能使用 mTLS 证书连接到集群。
** ** **
指定要批准操作的已签名仲裁令牌文件的文件路径。仅当仲裁集群服务仲裁值大于 1 时才需要。
## 相关主题
+ [集群 mtls 获取强制执行](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [设置 mTLS(推荐)](getting-started-setup-mtls.md)
# CloudHSM CLI 中的 crypto 类别
在 CloudHSM CLI 中,**crypto** 是一组命令的父类别,当这些命令与父类别结合使用时,将创建特定于加密操作的命令。目前,此类别由以下命令组成:
+ [注](cloudhsm_cli-crypto-sign.md)
+ [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
+ [确认](cloudhsm_cli-crypto-verify.md)
+ [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
# CloudHSM CLI 中的 crypto sign 类别
在 CloudHSM CLI 中,**crypto sign** 是一组命令的父类别,当这些命令与父类别结合使用时,会使用 AWS CloudHSM 集群中选定的私有密钥生成签名。**crypto sign** 具有以下子命令:
+ [在 CloudHSM CLI 中使用 ECDSA 机制生成签名](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [在 CloudHSM CLI 中使用 HashEd DSA 机制生成签名](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [在 CloudHSM CLI 中使用 RSA-PKCS 机制生成签名](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [使用 CloudHSM CL RSA-PKCS-PSS I 中的机制生成签名](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
要使用 **crypto sign**,您必须拥有 HSM 中的私有密钥。您可以使用以下命令生成私有密钥:
+ [key generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [密钥 generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# 在 CloudHSM CLI 中使用 ECDSA 机制生成签名
使用 CloudHSM CLI 中的 **crypto sign ecdsa** 命令通过 EC 私有密钥和 ECDSA 签名机制生成签名。
要使用该**crypto sign ecdsa**命令,您的 AWS CloudHSM 集群中必须首先有一个 EC 私钥。您可以使用 `sign` 属性设置为 `true` 的 [使用 CloudHSM CLI 生成非对称 EC 密钥对](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) 命令生成 EC 私有密钥。
生成的 ECDSA 签名采用以下格式生成`r||s`,其中 r 和 s 分量作为原始二进制数据连接并以 base64 编码格式返回。
**注意**
可以使用[CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)子命令验证签名。 AWS CloudHSM
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
## 语法
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 示例
这些示例说明了如何使用 **crypto sign ecdsa** 通过 ECDSA 签名机制和 `SHA256` 哈希函数生成签名。此命令在 HSM 中使用私有密钥。
**Example 示例:为 base 64 编码的数据生成签名**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
**Example 示例:为数据文件生成签名**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
要签名的 Base64 编码数据。
必需:是(除非通过数据路径提供)
******
指定要签名的数据的位置。
必需:是(除非通过数据路径提供)
******
指定哈希函数。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
是否必需:是
******
密钥引用(例如,`key-reference=0xabc`)或空格分隔的密钥属性列表,采用 attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE 形式,可选择匹配密钥。
有关支持的 CloudHSM CLI key 密钥属性列表,请参阅“Key attributes for CloudHSM CLI”。
是否必需:是
******
指定要批准操作的已签名仲裁令牌文件的文件路径。仅当私有密钥的密钥使用服务仲裁值大于 1 时才需要。
******
指定是否应将数据参数的值作为签名算法的一部分进行哈希处理。`raw` 用于未经过哈希处理的数据;`digest` 用于已经过哈希处理的摘要。
有效值:
+ raw
+ 摘要
## 相关主题
+ [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
# 在 CloudHSM CLI 中使用 HashEd DSA 机制生成签名
**重要**
HashEd仅在非 FIPS 模式下的 hsm2m.medium 实例上支持 DSA 签名操作。
使用 CloudHSM CLI 中的**crypto sign ed25519ph**命令使用 Ed25519 私钥和 DSA 签名机制生成签名。 HashEd有关 HashEd DSA 的更多信息,请参阅 [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf),第 7.8 节。
要使用该**crypto sign ed25519ph**命令,您的集群中必须首先有一个 Ed25519 私钥。 AWS CloudHSM 您可以使用`curve`参数设置为、`sign`属性设置为的[使用 CloudHSM CLI 生成非对称 EC 密钥对](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)命令生成 Ed25519 私钥。`ed25519` `true`
**注意**
可以使用[CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)子命令验证签名。 AWS CloudHSM
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
+ HashEd仅在非 FIPS 模式下的 hsm2m.medium 实例上支持 DSA 签名操作。
## 语法
```
aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism
Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## 示例
这些示例说明**crypto sign ed25519ph**如何使用 ed25519ph 签名机制和哈希函数生成签名。`sha512`此命令在 HSM 中使用私有密钥。
**Example 示例:为 base 64 编码的数据生成签名**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data YWJj
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
**Example 示例:为数据文件生成签名**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
要签名的 Base64 编码数据。
必需:是(除非通过数据路径提供)
******
指定要签名的数据的位置。
必填项:是(除非通过 data 参数提供)
******
指定哈希函数。ed25519pH 仅支持。 SHA512
有效值:
+ sha512
是否必需:是
******
密钥引用(例如,`key-reference=0xabc`)或空格分隔的密钥属性列表,采用 attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE 形式,可选择匹配密钥。
有关支持的 CloudHSM CLI 密钥属性的列表,请参阅。[CloudHSM CLI 的密钥属性](cloudhsm_cli-key-attributes.md)
是否必需:是
******
指定要批准操作的已签名仲裁令牌文件的文件路径。仅当私有密钥的密钥使用服务仲裁值大于 1 时才需要。
******
指定是否应将数据参数的值作为签名算法的一部分进行哈希处理。`raw` 用于未经过哈希处理的数据;`digest` 用于已经过哈希处理的摘要。
有效值:
+ raw
+ 摘要
是否必需:是
## 相关主题
+ [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
# 在 CloudHSM CLI 中使用 RSA-PKCS 机制生成签名
使用 CloudHSM CLI 中的 **crypto sign rsa-pkcs** 命令通过 RSA 私有密钥和 RSA-PKCS 签名机制生成签名。
要使用该**crypto sign rsa-pkcs**命令,您的 AWS CloudHSM 集群中必须首先有一个 RSA 私钥。您可以使用 `sign` 属性设置为 `true` 的 [使用 CloudHSM CLI 生成非对称 RSA 密钥对](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) 命令生成 RSA 私有密钥。
**注意**
可以使用[CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)子命令验证签名。 AWS CloudHSM
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
## 语法
```
aws-cloudhsm > help crypto sign rsa-pkcs
Sign with the RSA-PKCS mechanism
Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 示例
这些示例说明了如何使用 **crypto sign rsa-pkcs** 通过 RSA-PKCS 签名机制和 `SHA256` 哈希函数生成签名。此命令在 HSM 中使用私有密钥。
**Example 示例:为 base 64 编码的数据生成签名**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
**Example 示例:为数据文件生成签名**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
要签名的 Base64 编码数据。
必需:是(除非通过数据路径提供)
******
指定要签名的数据的位置。
必需:是(除非通过数据提供)
******
指定哈希函数。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
是否必需:是
******
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择匹配密钥。
有关支持的 CloudHSM CLI key 密钥属性列表,请参阅“Key attributes for CloudHSM CLI”。
是否必需:是
******
指定要批准操作的已签名仲裁令牌文件的文件路径。仅当私有密钥的密钥使用服务仲裁值大于 1 时才需要。
******
指定是否应将数据参数的值作为签名算法的一部分进行哈希处理。`raw` 用于未经过哈希处理的数据;`digest` 用于已经过哈希处理的摘要。
对于 RSA-PKCS,数据必须按照 [RFC 8017 第 9.2 节](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)的规定以 DER 编码格式传递
有效值:
+ raw
+ 摘要
## 相关主题
+ [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
# 使用 CloudHSM CL RSA-PKCS-PSS I 中的机制生成签名
使用 CloudHSM CLI 中的 **crypto sign rsa-pkcs-pss** 命令通过 RSA 私有密钥和 `RSA-PKCS-PSS` 签名机制生成签名。
要使用该**crypto sign rsa-pkcs-pss**命令,您的 AWS CloudHSM 集群中必须首先有一个 RSA 私钥。您可以使用 `sign` 属性设置为 `true` 的 [使用 CloudHSM CLI 生成非对称 RSA 密钥对](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) 命令生成 RSA 私有密钥。
**注意**
可以使用[CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)子命令验证签名。 AWS CloudHSM
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
## 语法
```
aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism
Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data >
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function [possible values: sha1, sha224, sha256, sha384, sha512]
--data-path The path to the file containing the data to be signed
--data Base64 Encoded data to be signed
--mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length The salt length
--approval Filepath of signed quorum token file to approve operation
--data-type The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help Print help
```
## 示例
这些示例说明了如何使用 **crypto sign rsa-pkcs-pss** 通过 `RSA-PKCS-PSS` 签名机制和 `SHA256` 哈希函数生成签名。此命令在 HSM 中使用私有密钥。
**Example 示例:为 base 64 编码的数据生成签名**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
**Example 示例:为数据文件生成签名**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
要签名的 Base64 编码数据。
必需:是(除非通过数据路径提供)
******
指定要签名的数据的位置。
必需:是(除非通过数据提供)
******
指定哈希函数。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
是否必需:是
******
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择匹配密钥。
有关支持的 CloudHSM CLI key 密钥属性列表,请参阅“Key attributes for CloudHSM CLI”。
是否必需:是
******
指定掩码生成函数。
掩码生成函数哈希函数必须与签名机制哈希函数相匹配。
有效值:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
是否必需:是
******
指定 salt 长度。
是否必需:是
******
指定要批准操作的已签名仲裁令牌文件的文件路径。仅当私有密钥的密钥使用服务仲裁值大于 1 时才需要。
******
指定是否应将数据参数的值作为签名算法的一部分进行哈希处理。`raw` 用于未经过哈希处理的数据;`digest` 用于已经过哈希处理的摘要。
有效值:
+ raw
+ 摘要
## 相关主题
+ [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
## 相关主题
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI 中的 crypto verify 类别
在 CloudHSM CLI 中,**crypto verify** 是一组命令的父类别,当这些命令与父类别结合使用时,可以确认文件是否已由给定的密钥签名。**crypto verify** 具有以下子命令:
+ [crypto verify ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [加密验证 ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [crypto verify rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [加密验证 rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
**crypto verify** 命令将签名文件与源文件进行比较,并根据给定的公有密钥和签名机制分析它们是否与加密相关。
**注意**
可以通过[CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)操作登录 AWS CloudHSM 文件。
# 在 CloudHSM CLI 中验证使用 ECDSA 机制签名的签名
使用 CloudHSM CLI 中的 **crypto verify ecdsa** 命令完成以下操作:
+ 确认文件已通过给定的公有密钥在 HSM 中签名。
+ 验证签名是否是使用 ECDSA 签名机制生成的。
+ 将签名文件与源文件进行比较,并根据给定的 ecdsa 公有密钥和签名机制确定两者是否具有加密相关性。
+ ECDSA 验证函数需要的签名格式为`r||s`,其中 r 和 s 分量作为原始二进制数据连接在一起。
要使用该**crypto verify ecdsa**命令,您的 AWS CloudHSM 集群中必须首先有一个 EC 公钥。您可以使用 `verify` 属性设置为 `true` 的 [使用 CloudHSM CLI 导入 PEM 格式密钥](cloudhsm_cli-key-import-pem.md) 命令导入 EC 公有密钥。
**注意**
您可以使用 [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md) 子命令在 CloudHSM CLI 中生成签名。
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
## 语法
```
aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism
Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 示例
这些示例展示了如何使用 **crypto verify ecdsa** 来验证使用 ECDSA 签名机制和 `SHA256` 哈希函数生成的签名。此命令在 HSM 中使用公有密钥。
**Example 示例:使用 Base64 编码的数据验证 Base64 编码的签名**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 示例:使用数据文件验证签名文件**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 示例:证明为错误的签名关系**
此命令验证位于 `/home/data` 的数据是否由标签为 `ecdsa-public` 的公有密钥使用 ECDSA 签名机制进行签名,以生成位于 `/home/signature` 的签名。由于给定参数不构成真正的签名关系,所以命令会返回错误消息。
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
要签名的 Base64 编码数据。
必需:是(除非通过数据路径提供)
******
指定要签名的数据的位置。
必需:是(除非通过数据路径提供)
******
指定哈希函数。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
是否必需:是
******
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择匹配密钥。
有关支持的 CloudHSM CLI key 密钥属性列表,请参阅“Key attributes for CloudHSM CLI”。
是否必需:是
******
Base64 编码的签名。
必需:是(除非通过签名路径提供)
******
指定签名的位置。
必需:是(除非通过签名路径提供)
******
指定是否应将数据参数的值作为签名算法的一部分进行哈希处理。`raw` 用于未经过哈希处理的数据;`digest` 用于已经过哈希处理的摘要。
有效值:
+ raw
+ 摘要
## 相关主题
+ [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
# 在 CloudHSM CLI 中验证使用 HashEd DSA 机制签名的签名
**重要**
HashEd仅在非 FIPS 模式下的 hsm2m.medium 实例上支持 DSA 签名验证操作。
使用 CloudHSM CLI 中的 **crypto verify ed25519ph** 命令完成以下操作:
+ 使用给定的 Ed25519 公钥验证数据或文件的签名。
+ 确认签名是使用 HashEd DSA 签名机制生成的。有关 HashEd DSA 的更多信息,请参阅 [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf),第 7.8 节。
要使用该**crypto verify ed25519ph**命令,您的集群中必须首先有一个 Ed25519 公钥。 AWS CloudHSM 您可以使用`curve`参数设置为、属性设置为的[使用 CloudHSM CLI 生成非对称 EC 密钥对](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)命令生成 Ed25519 密钥对`true`,也可以使用`verify`属性设置为的[使用 CloudHSM CLI 导入 PEM 格式密钥](cloudhsm_cli-key-import-pem.md)命令导入 Ed25519 公钥。`ed25519` `verify` `true`
**注意**
您可以使用 [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md) 子命令在 CloudHSM CLI 中生成签名。
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
+ HashEd仅在非 FIPS 模式下的 hsm2m.medium 实例上支持 DSA 签名验证操作。
## 语法
```
aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism
Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## 示例
这些示例说明如何使用**crypto verify ed25519ph**来验证使用 ed25519ph 签名机制和哈希函数生成的签名。`sha512`此命令在 HSM 中使用 Ed25519 公钥。
**Example 示例:使用 Base64 编码的数据验证 Base64 编码的签名**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data YWJj \
--signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 示例:使用数据文件验证签名文件**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data-path data.txt \
--signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
需要验证的 Base64 编码数据。
必需:是(除非通过数据路径提供)
******
指定要验证的数据的位置。
必填项:是(除非通过数据参数提供)
******
指定哈希函数。ed25519pH 仅支持。 SHA512
有效值:
+ sha512
是否必需:是
******
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择匹配密钥。
有关支持的 CloudHSM CLI 密钥属性的列表,请参阅。[CloudHSM CLI 的密钥属性](cloudhsm_cli-key-attributes.md)
是否必需:是
******
Base64 编码的签名。
必需:是(除非通过签名路径提供)
******
指定签名的位置。
必填项:是(除非通过签名参数提供)
******
指定是否应将数据参数的值作为验证算法的一部分进行哈希处理。`raw` 用于未经过哈希处理的数据;`digest` 用于已经过哈希处理的摘要。
有效值:
+ raw
+ 摘要
是否必需:是
## 相关主题
+ [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
+ [在 CloudHSM CLI 中使用 HashEd DSA 机制生成签名](cloudhsm_cli-crypto-sign-ed25519ph.md)
# 在 CloudHSM CLI 中验证使用 RSA-PKCS 机制签名的签名
使用 CloudHSM CLI 中的 **crypto verify rsa-pkcs** 命令完成以下操作:
+ 确认文件已通过给定的公有密钥在 HSM 中签名。
+ 验证签名是否是使用 `RSA-PKCS` 签名机制生成的。
+ 将签名文件与源文件进行比较,并根据给定的 rsa 公有密钥和签名机制确定两者是否具有加密相关性。
要使用该**crypto verify rsa-pkcs**命令,您的 AWS CloudHSM 集群中必须首先有一个 RSA 公钥。
**注意**
您可以使用带有 [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md) 子命令的 CloudHSM CLI 生成签名。
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
## 语法
```
aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism
Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 示例
这些示例说明了如何使用 **crypto verify rsa-pkcs** 来验证使用 RSA-PKCS 签名机制和 `SHA256` 哈希函数生成的签名。此命令在 HSM 中使用公有密钥。
**Example 示例:使用 Base64 编码的数据验证 Base64 编码的签名**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 示例:使用数据文件验证签名文件**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 示例:证明为错误的签名关系**
此命令验证无效数据是否由标签为 `rsa-public` 的公有密钥使用 RSAPKCS 签名机制进行签名,以生成位于 `/home/signature` 中的签名。由于给定参数不构成真正的签名关系,所以命令会返回错误消息。
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
要签名的 Base64 编码数据。
必需:是(除非通过数据路径提供)
******
指定要签名的数据的位置。
必需:是(除非通过数据路径提供)
******
指定哈希函数。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
是否必需:是
******
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择匹配密钥。
有关支持的 CloudHSM CLI key 密钥属性列表,请参阅“Key attributes for CloudHSM CLI”。
是否必需:是
******
Base64 编码的签名。
必需:是(除非通过签名路径提供)
******
指定签名的位置。
必需:是(除非通过签名路径提供)
******
指定是否应将数据参数的值作为签名算法的一部分进行哈希处理。`raw` 用于未经过哈希处理的数据;`digest` 用于已经过哈希处理的摘要。
对于 RSA-PKCS,数据必须按照 [RFC 8017 第 9.2 节](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)的规定以 DER 编码格式传递
有效值:
+ raw
+ 摘要
## 相关主题
+ [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
# 在 CloudHSM CLI 中验证使用该 RSA-PKCS-PSS机制签名的签名
使用 CloudHSM CLI 中的 **crypto sign rsa-pkcs-pss** 命令完成以下操作。
+ 确认文件已通过给定的公有密钥在 HSM 中签名。
+ 验证签名是否是使用 RSA-PKCS-PSS 签名机制生成的。
+ 将签名文件与源文件进行比较,并根据给定的 rsa 公有密钥和签名机制确定两者是否具有加密相关性。
要使用该**crypto verify rsa-pkcs-pss**命令,您的 AWS CloudHSM 集群中必须首先有一个 RSA 公钥。您可以使用 key import pem 命令 ADD UNWRAP LINK HERE) 并将 `verify` 属性设置为 `true` 来导入 RSA 公有密钥。
**注意**
您可以使用带有 [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md) 子命令的 CloudHSM CLI 生成签名。
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
## 语法
```
aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism
Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--mgf
The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length
The salt length
-h, --help
Print help
```
## 示例
这些示例说明如何使用**crypto verify rsa-pkcs-pss**来验证使用签名机制和`SHA256`哈希函数生成的 RSA-PKCS-PSS签名。此命令在 HSM 中使用公有密钥。
**Example 示例:使用 Base64 编码的数据验证 Base64 编码的签名**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 示例:使用数据文件验证签名文件**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 示例:证明为错误的签名关系**
此命令验证无效数据是否由标签为 `rsa-public` 的公有密钥使用 RSAPKCSPSS 签名机制进行签名,以生成位于 `/home/signature` 中的签名。由于给定参数不构成真正的签名关系,所以命令会返回错误消息。
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
要签名的 Base64 编码数据。
必需:是(除非通过数据路径提供)
******
指定要签名的数据的位置。
必需:是(除非通过数据路径提供)
******
指定哈希函数。
有效值:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
是否必需:是
******
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择匹配密钥。
有关支持的 CloudHSM CLI key 密钥属性列表,请参阅“Key attributes for CloudHSM CLI”。
是否必需:是
******
指定掩码生成函数。
掩码生成函数哈希函数必须与签名机制哈希函数相匹配。
有效值:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
是否必需:是
******
Base64 编码的签名。
必需:是(除非通过签名路径提供)
******
指定签名的位置。
必需:是(除非通过签名路径提供)
******
指定是否应将数据参数的值作为签名算法的一部分进行哈希处理。`raw` 用于未经过哈希处理的数据;`digest` 用于已经过哈希处理的摘要。
有效值:
+ raw
+ 摘要
## 相关主题
+ [CloudHSM CLI 中的 crypto sign 类别](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI 中的 crypto verify 类别](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI 中的 key 类别
在 CloudHSM CLI 中,**key** 是一组命令的父类别,当这些命令与父类别结合使用时,会创建特定于密钥的命令。目前,此类别由以下命令组成:
+ [删除](cloudhsm_cli-key-delete.md)
+ [generate-file](cloudhsm_cli-key-generate-file.md)
+ [密钥 generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [密钥 generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
+ [key generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-symmetric](cloudhsm_cli-key-generate-symmetric.md)
+ [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [import pem](cloudhsm_cli-key-import-pem.md)
+ [列表](cloudhsm_cli-key-list.md)
+ [复制](cloudhsm_cli-key-replicate.md)
+ [设置 - 属性](cloudhsm_cli-key-set-attribute.md)
+ [共享](cloudhsm_cli-key-share.md)
+ [取消共享](cloudhsm_cli-key-unshare.md)
+ [unwrap](cloudhsm_cli-key-unwrap.md)
+ [wrap](cloudhsm_cli-key-wrap.md)
# 使用 CloudHSM CLI 删除密钥
使用 CloudHSM CLI 中的**key delete**命令从集群中删除密钥 AWS CloudHSM 。您一次只能删除一个密钥。删除某密钥对中的一个密钥不会影响该密钥对中的另一个密钥。
只有创建密钥并因此拥有密钥的 CU 才能删除该密钥。共享密钥但不拥有密钥的用户可以在加密操作中使用密钥,但无法将其删除。
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
+ 要运行此命令,必须以 CU 身份登录。
## 语法
```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster
Usage: key delete [OPTIONS] --filter [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for deletion
-h, --help Print help
```
## 示例
```
aws-cloudhsm > key delete --filter attr.label="ec-test-public-key"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择要删除的匹配密钥。
有关支持的 CloudHSM CLI key 密钥属性列表,请参阅 [CloudHSM CLI 的密钥属性](cloudhsm_cli-key-attributes.md)。
是否必需:是
## 相关主题
+ [使用 CloudHSM CLI 列出用户的密钥](cloudhsm_cli-key-list.md)
+ [使用 CloudHSM CLI 导出非对称密钥](cloudhsm_cli-key-generate-file.md)
+ [使用 CloudHSM CLI 取消共享密钥](cloudhsm_cli-key-unshare.md)
+ [CloudHSM CLI 的密钥属性](cloudhsm_cli-key-attributes.md)
+ [使用 CloudHSM CLI 筛选密钥](manage-keys-cloudhsm-cli-filtering.md)
# 使用 CloudHSM CLI 导出非对称密钥
使用 CloudHSM CLI 中的 **key generate-file** 命令从硬件安全模块(HSM)导出非对称密钥。如果目标是私有密钥,则对私有密钥的引用将以伪 PEM 格式导出。如果目标是公有密钥,则公有密钥字节将以 PEM 格式导出。
虚假的 PEM 文件不包含实际的私钥材料,而是引用 HSM 中的私钥,可用于建立从 Web SSL/TLS 服务器卸载到。 AWS CloudHSM有关更多信息,请参阅 [SSL/TLS 分载](ssl-offload.md)。
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
要运行此命令,必须以 CU 身份登录。
## 语法
```
aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
--path
Filepath where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
-h, --help
Print help (see a summary with '-h')
```
## 示例
此示例说明**key generate-file**如何使用在 AWS CloudHSM 集群中生成密钥文件。
**Example**
```
aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## 参数
******
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
******
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择要删除的匹配密钥。
有关支持的 CloudHSM CLI key 密钥属性列表,请参阅 [CloudHSM CLI 的密钥属性](cloudhsm_cli-key-attributes.md)
必需:否
******
指定密钥文件的编码格式
是否必需:是
******
指定将写入密钥文件的文件路径
是否必需:是
## 生成 KSP 密钥引用(Windows)
**注意**
此功能只在 SDK 版本 5.16.0 及更高版本中提供。
### 先决条件
+ 只能在 Windows 平台上生成 KSP 密钥引用。
+ 必须以加密用户(CU)身份登录。
### 文件位置
默认情况下,AWS CloudHSM 将生成的文件存储在以下位置:`C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition`
要指定其他位置,请使用 `--path` 参数。
### 语法
```
aws-cloudhsm > help key generate-file --encoding ksp-key-reference
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
- ksp-key-reference: KSP key reference format
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided with multiple clusters configured, will error
--path
Directory path where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
--all
Generate ksp key reference for all available key pairs in HSM
-h, --help
Print help (see a summary with '-h')
```
### 示例 – 使用私有密钥的属性筛选条件生成 KSP 密钥引用
以下示例为带有特定标签的私有密钥生成 KSP 密钥引用。
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --path --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
### 示例 – 为所有密钥对生成 KSP 密钥引用
以下示例为集群中的所有密钥对生成 KSP 密钥引用。
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --all
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## 相关主题
+ [CloudHSM CLI 的密钥属性](cloudhsm_cli-key-attributes.md)
+ [使用 CloudHSM CLI 筛选密钥](manage-keys-cloudhsm-cli-filtering.md)
+ [CloudHSM CLI 中的 generate-asymmetric-pair类别](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [CloudHSM CLI 中的 generate-symmetric 类别](cloudhsm_cli-key-generate-symmetric.md)
# CloudHSM CLI 中的 generate-asymmetric-pair类别
在 CloudHSM CLI 中,**key generate-asymmetric-pair** 是一组命令的父类别,当这些命令与父类别结合使用时,会创建一个生成非对称密钥对的命令。目前,此类别由以下命令组成:
+ [密钥 generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [密钥 generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# 使用 CloudHSM CLI 生成非对称 EC 密钥对
使用 CloudHSM CLI 中的**key asymmetric-pair ec**命令在集群中生成非对称椭圆曲线 (EC) 密钥对。 AWS CloudHSM
## 用户类型
以下类型的用户均可运行此命令。
+ 加密用户 (CUs)
## 要求
要运行此命令,必须以 CU 身份登录。
## 语法
```
aws-cloudhsm > help key generate-asymmetric-pair ec
Generate an Elliptic-Curve Cryptography (ECC) key pair
Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label --private-label --curve
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--public-label
Label for the public key
--private-label
Label for the private key
--session
Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
--curve
Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1, ed25519]
--public-attributes [...]
Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--private-attributes [...]
Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--share-crypto-users [...]
Space separated list of Crypto User usernames to share the EC private key with
--manage-private-key-quorum-value
The quorum value for key management operations for the private key
--use-private-key-quorum-value