View a markdown version of this page

允许 JCE 提供者从中提取私钥机密 AWS CloudHSM - AWS CloudHSM

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

允许 JCE 提供者从中提取私钥机密 AWS CloudHSM

使用以下步骤允许 AWS CloudHSM JCE 提供者提取您的私钥机密。

重要

此配置更改允许从 HSM 集群中以明文提取所有 EXTRACTABLE 密钥字节。为了提高安全性,您应该考虑使用密钥包装方法将密钥安全地从 HSM 中提取出来。这样可以防止无意中从 HSM 中提取密钥字节。

  1. 使用以下命令从 JCE 中提取您的私有密钥或机密密钥:

    Linux
    
$ /opt/cloudhsm/bin/configure-jce --enable-clear-key-extraction-in-software
    Windows
    
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --enable-clear-key-extraction-in-software

  2. 一旦启用了明文密钥提取功能,就会启用以下方法将私有密钥提取到内存中。

    方法 格式 (getEncoded)
    Key getEncoded() RAW
    ECPrivate钥匙 getEncoded() PKCS#8
    getS() 不适用
    RSAPrivateCrtKey getEncoded() X.509
    getPrivateExponent() 不适用
    getPrimeP() 不适用
    getPrimeQ() 不适用
    getPrimeExponentP () 不适用
    getPrimeExponentQ () 不适用
    getCrtCoefficient() 不适用

如果要恢复默认行为并且不允许 JCE 以明文导出密钥,请运行以下命令:

Linux

$ /opt/cloudhsm/bin/configure-jce --disable-clear-key-extraction-in-software
Windows

PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-clear-key-extraction-in-software