本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 允许 JCE 提供者从中提取私钥机密 AWS CloudHSM 使用以下步骤允许 AWS CloudHSM JCE 提供者提取您的私钥机密。 **重要** 此配置更改允许从 HSM 集群中以明文提取所有 `EXTRACTABLE` 密钥字节。为了提高安全性,您应该考虑使用[密钥包装方法](java-lib-supported_5.md)将密钥安全地从 HSM 中提取出来。这样可以防止无意中从 HSM 中提取密钥字节。 1. 使用以下命令从 JCE 中提取您的**私有**密钥或**机密**密钥: ------ #### [ Linux ] ``` $ /opt/cloudhsm/bin/configure-jce --enable-clear-key-extraction-in-software ``` ------ #### [ Windows ] ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --enable-clear-key-extraction-in-software ``` ------ 1. 一旦启用了明文密钥提取功能,就会启用以下方法将私有密钥提取到内存中。 [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/cloudhsm/latest/userguide/get-encoded-take-out-private-keys.html) 如果要恢复默认行为并且不允许 JCE 以明文导出密钥,请运行以下命令: ------ #### [ Linux ] ``` $ /opt/cloudhsm/bin/configure-jce --disable-clear-key-extraction-in-software ``` ------ #### [ Windows ] ``` PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-clear-key-extraction-in-software ``` ------