顧客指定のキーをラップする

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:3分

    • 対称データ暗号化キーをインスタンスにアップロードする前に、エフェメラル公開ラッピングキーでこのキーをラップします。

    始める前に

    必要なロール:security_admin および sn_kmf.cryptographic_manager または sn_kmf.admin

    これらの手順を使用するには、.bin に対称データ暗号化キー含まれている必要があります。このプロセスの手順については、「フィールド暗号化エンタープライズの顧客指定のキーのプロパティの構成」を参照してください。
    重要:
    対称データ暗号化キーはバイナリ形式 (.BIN) である必要があります。別の形式が使用されている場合、次のエラーメッセージが表示されます。

    トークンの検証に失敗しました。変更されていないトークンを再添付してください。

    このタスクについて

    キーのサイズ、パディングアルゴリズム、および有効期間を制御するオプションプロパティを変更するには、「顧客指定のキーのプロパティの構成」を参照してください。

    キーをラップするには、暗号化ツールが必要です。このドキュメントの例では、OpenSSL 1.1 を使用しています。OpenSSL については、https://www.openssl.org で詳細を参照してください。LibreSSL や GnuTLS などの他の暗号化ツールを使用している場合は、それらの製品のドキュメントで類似した手順について参照してください。

    手順

    1. 移動先 すべて > システムセキュリティ > フィールド暗号化 > フィールド暗号化のエクスペリエンス.
    2. [フィールド暗号化モジュールの概要] から [モジュールの詳細を表示] を選択して、以前に作成したフィールド暗号化モジュールを開きます。
      注:
      フィールド暗号化モジュールをまだ作成していない場合は、「フィールド暗号化モジュールの構成」の手順を使用して作成できます。
    3. [ 暗号化仕様 ] セクションで、[ 仕様設定の管理] を選択します。
    4. [キーの作成元] セクションが表示されるまで [次へ] ボタンを選択します。
    5. [作成元] フィールドの値が [顧客提供キーのアップロード] であることを確認します。
      その値を選択できない場合は、 フィールド暗号化エンタープライズの顧客指定のキーのプロパティの構成の手順 3 〜 5 を参照してください。
    6. [キーのエイリアス] フィールドでエイリアスを作成します。
      キーはこのエイリアスを使用します。
    7. [次へ] を選択します。
    8. [ラッピングキーのダウンロード] フィールドのリンクを選択します。

      token_publickey ファイルがコンピューターにダウンロードされます。このファイルの名前は変更しないでください。

    9. ローカルマシンで token_publickey フォルダーを解凍して開きます。
      このフォルダーにはインポートトークンファイル (.txt) と公開鍵ファイル (.PEM) があります。
    10. 生成した対称データ暗号化キーをこのフォルダーに移動します。
    11. token_publickey ファイルの名前をクリップボードにコピーします。
    12. ターミナルセッションを開き、token_publickey フォルダーに移動します。
    13. 次のコマンドを入力します。
      重要:
      括弧 (<>) で囲まれたテキストを特定のファイル名と情報に置き換えます。次のキーラッピングコマンドの例の表を参考にしてください。
      openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>. PEM -in <keyname.bin> -out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256
      表 : 1. キーラッピングコマンドの例
      指示 コマンド

      publickey_<keyname>.PEM を入力する

      		 openssl pkeyutl -encrypt -pubin -inkey publickey_<keyname>.PEM openssl pkeyutl -encrypt -pubin -inkey publickey_567898643ffff.PEM
      対称データ暗号化キーの名前を入力する -in <keyname.bin> -in mykey.bin
      <-out> コマンドを入力し、ラップされたキーマテリアルで 256 ビット暗号化を使用するかどうかを指定します -out wrapped_key_material -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 NA

    次のタスク

    キーがラップされたので、「」の手順を使用してインスタンスにキーをアップロードできます。