管理 PGP 金鑰

設定 PGP 金鑰以搭配解密使用

1. 根據您正在使用的 GPG 版本，執行下列其中一個命令來產生不使用 Curve 25519 加密演算法的 PGP 金鑰對。

   • 如果您使用的是 2.3.0 GnuPG版或更新版本，請執行下列命令：

     gpg --full-gen-key

     您可以選擇 RSA，或者，如果您選擇 ECC，您可以選擇橢圓曲線BrainPool的 NIST或 。如果您gpg --gen-key改為執行 ，您可以建立使用 ECC Curve 25519 加密演算法的金鑰對，我們目前不支援 PGP 金鑰。

   • 對於 2.3.0 GnuPG之前的 版本，您可以使用下列命令，因為 RSA 是預設加密類型。

     gpg --gen-key

   重要

   在金鑰產生過程中，您必須提供密碼短語和電子郵件地址。請務必記下這些值。當您在此程序 AWS Secrets Manager 稍後的 中輸入金鑰的詳細資訊時，必須提供密碼短語。而且，您必須提供相同的電子郵件地址，才能在下一個步驟中匯出私有金鑰。

2. 執行下列命令以匯出私有金鑰。若要使用此命令，請將 private.pgp取代為儲存私有金鑰區塊的檔案名稱，並將 marymajor@example.com取代為您產生金鑰對時使用的電子郵件地址。

   gpg --output private.pgp --armor --export-secret-key marymajor@example.com

3. 使用 AWS Secrets Manager 來存放 PGP 金鑰。

   1. 登入 AWS 管理主控台 ，並在 https：//https://console.aws.amazon.com/secretsmanager/ 開啟 AWS Secrets Manager 主控台。

   2. 在左側導覽窗格中，選擇秘密。

   3. 在秘密頁面上，選擇儲存新的秘密。

   4. 在選擇秘密類型頁面上，針對秘密類型，選取其他類型的秘密。

   5. 在鍵/值對區段中，選擇鍵/值索引標籤。

      • 金鑰 – 輸入 PGPPrivateKey。

        注意

        您必須完全輸入PGPPrivateKey字串：請勿在字元之前或之間新增任何空格。

      • value – 將私有金鑰的文字貼到值欄位中。您可以在先前在此程序中匯出金鑰時指定的檔案中 （例如 private.pgp) 中找到私有金鑰的文字。金鑰開頭為 -----BEGIN PGP PRIVATE KEY BLOCK-----，結尾為 -----END PGP PRIVATE KEY BLOCK-----。

        注意

        請確定文字區塊僅包含私有金鑰，也不包含公有金鑰。

   6. 選取新增資料列，然後在鍵/值對區段中，選擇鍵/值索引標籤。

      • 金鑰 – 輸入 PGPPassphrase。

        注意

        您必須完全輸入PGPPassphrase字串：請勿在字元之前或之間新增任何空格。

      • value – 輸入您在產生 PGP 金鑰對時使用的密碼短語。

      

      注意

      您最多可以新增 3 組金鑰和密碼片語。若要新增第二組，請新增兩個新資料列，並為金鑰輸入 PGPPassphrase2 PGPPrivateKey2和 ，然後貼上另一個私有金鑰和密碼片語。若要新增第三個集合，索引鍵值必須為 PGPPrivateKey3和 PGPPassphrase3。

   7. 選擇下一步。

   8. 在設定秘密頁面上，輸入秘密的名稱和描述。

      • 如果您要建立預設金鑰，也就是任何 Transfer Family 使用者都可以使用的金鑰，請輸入 aws/transfer/server-id/@pgp-default。server-id 將 取代為包含具有解密步驟之工作流程的伺服器 ID。

      • 如果您要建立要供特定 Transfer Family 使用者使用的金鑰，請輸入 aws/transfer/server-id/user-name。server-id 將 取代為包含具有解密步驟之工作流程的伺服器 ID，並將 取代user-name為執行工作流程的使用者名稱。user-name 存放在 Transfer Family 伺服器正在使用的身分提供者中。

   9. 選擇下一步，並接受設定輪換頁面上的預設值。然後選擇下一步。

   10. 在檢閱頁面上，選擇存放以建立和存放秘密。