Importieren Sie einen Schlüssel aus einem Webservice

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Laden Sie einen externen Kundenschlüssel sicher in Ihre Instanz hoch, indem Sie einen Schlüssel aus einem Webservice importieren (z. B. die Schlüssel-REST-API). Sowohl symmetrische als auch asymmetrische öffentliche Schlüssel können in ein kryptografisches Zielmodul KMF importiert werden.

    Der zu importierende Schlüssel (der Zielschlüssel) muss mit einem Schlüssel zum Umschließen verschlüsselt werden, bevor er in das kryptografische Zielmodul der Instanz hochgeladen wird. Dieser Schlüssel zum Umschließen ist die öffentliche Komponente eines öffentlichen/privaten Schlüsselpaars, das in der Instanz vorhanden sein muss. Der Schlüssel ist eine Voraussetzung, bevor der umschlossene Zielschlüssel über Aus Webservices importieren hochgeladen werden kann.

    Diese beiden separaten Verfahren (Import des umschlossenen Schlüsselpaars und Import des umschlossenen Zielschlüssels aus einem Webservice) werden in der folgenden Dokumentation beschrieben. Dieses Schlüsselpaar muss generiert und hochgeladen werden, damit es im internen kryptografischen Modul „Schlüsselimport“ der Instanz verfügbar ist.

    Hinweis:
    In diesem Beispiel wird OpenSSL für die Schlüssel- und Zertifikatgenerierung und das Postman-API-Testtool verwendet, um die Verwendung der REST-API zu zeigen. Ersetzen Sie andere vergleichbare Tools basierend auf Ihren Unternehmensanforderungen.

    Importieren Sie das Schlüsselpaar zum Packen/Entpacken

    Konfigurieren Sie Key Management Framework Importeinstellungen, bevor Sie einen Schlüssel importieren.

    Vorbereitungen

    Erforderliche Rolle: sn_kmf.cryptographic_manager

    Warum und wann dieser Vorgang ausgeführt wird

    In diesem Beispiel wird OpenSSL für die Schlüssel- und Zertifikatgenerierung verwendet. Ersetzen Sie andere vergleichbare Tools basierend auf Ihren Unternehmensanforderungen.

    Prozedur

    1. Verwenden Sie in Ihrer lokalen Umgebung das Terminal, um ein Zertifikat zu erstellen.
      Beispiel: openedssl req -x509 -sha256 -nodes -days 365 -newkey rsa:4096 -keyout wrap_private.key -out wrap_public.crt

      Dieses Zertifikat ist eine öffentliche Komponente, die einen Schlüssel enthält. Das Zertifikat wird verwendet, um einen symmetrischen AES-Schlüssel zu umschließen.

    2. Verwenden Sie in Ihrer lokalen Umgebung das Terminal, um einen Schlüsselspeicher zu erstellen, der ein öffentliches Zertifikat (mit dem Schlüssel zum Packen) und einen privaten Schlüssel zum Entpacken enthält.
      Beispiel:openedssl pkcs12 -export -in wrap_public.crt -inkey wrap_private.key -name "wrapping_key_alias" -out wrap_keystore.p12
    3. Navigieren Sie in Ihrer Instanz zu Alle > Schlüsselverwaltung > Einstellungen importieren > Schlüsselimporteinstellungen.
    4. Vergewissern Sie sich im Abschnitt „Algorithmusdefinition“, dass der kryptografische Zweck auf Asymmetrische Schlüsselentnahme festgelegt ist.Krypto-Zweckauswahl.
    5. Wählen Sie einen geeigneten Algorithmus aus, der dem asymmetrischen Schlüsselmaterial für den importierten Schlüsselspeicher entspricht.
      Weitere Informationen finden Sie unter Kryptografischer Zweck, Algorithmen und Schlüsselinformationen.
    6. Wählen Sie Weiter.
    7. Wählen Sie im Abschnitt „ LebenszyklusdefinitionWeiter aus, um fortzufahren.
    8. Wählen Sie im Abschnitt Schlüsselursprung entweder Import aus PKCS12 oder Import aus BCFKS im Feld Ursprung aus.
      Hinweis:
      Wenn Sie den Beispielschlüsselspeicher aus Schritt 1 verwenden, wählen Sie Aus PKCS12 importieren aus.
    9. Geben Sie einen Schlüsselalias ein, um den Schlüssel zu identifizieren.
      Dieser Alias muss mit dem Schlüsselalias (oder „Anzeigename“) übereinstimmen, der beim Generieren des hochzuladenden Zertifikats oder Schlüsselspeichers angegeben wurde. Wenn wir das obige Beispiel fortsetzen, wäre dies wrap_key_alias.
    10. Wählen Sie Weiter.
      Der Abschnitt „ Schlüsselerstellung “ enthält den Link Schlüssel importieren, über den ein Dialogfeld zum Hochladen des Schlüsselspeichers angezeigt wird. Wenn wir das Beispiel fortsetzen, wäre dies wrap_keystore.p12.

    Importieren Sie einen umschlossenen Schlüssel aus einem Webservice

    Laden Sie Ihren umschlossenen Schlüssel mithilfe der Funktion „Schlüssel aus Webservice importieren“ in ein kryptografisches Modul hoch. In diesem Beispiel wird ein symmetrischer Schlüssel verwendet. Ähnliche Schritte können zum Importieren eines asymmetrischen Schlüssels verwendet werden.

    Vorbereitungen

    Erforderliche Rolle: sn_kmf.cryptographic_manager (Modulkonfiguration), sn_kmf.cryptographic_operator (REST-Vorgang Basic Authentication)

    Warum und wann dieser Vorgang ausgeführt wird

    KMF Importschlüssel-Endpunktzugriff ist erforderlich, um den Schlüsselimportvorgang abzuschließen.

    In diesem Beispiel wird OpenSSL zum Generieren von Schlüsseln und Zertifikaten verwendet. Sie können andere vergleichbare Tools basierend auf Ihren Anforderungen ersetzen.

    Prozedur

    1. Verwenden Sie das Terminal auf Ihrem lokalen Gerät, umschließen Sie Ihren symmetrischen Schlüssel mit dem öffentlichen Schlüssel des Moduls „Schlüsselimport“.
      Beispiel: openedssl pkeyutl -encrypt -pubin -inkey public_wrapping_key.pem -in metric_key.bin -pkeyopt rsa_papping_mode:oaep -pkeyopt rsa_oaep_md:sha256 -out wrap_symmetrisch_key.txt
      In diesem Beispiel wird eine umschlossene Schlüsseldatei mit dem Namen wrap_symmetrisch_key.txt erstellt.
    2. Erstellen Sie ein kryptografisches Modul, das an die API gebunden werden soll.
      Weitere Informationen finden Sie unter oder.
    3. Fügen Sie eine kryptografische Spezifikation mit den folgenden Auswahlmöglichkeiten hinzu.
      • Kryptografischer Zweck: Symmetrische Datenverschlüsselung/-entschlüsselung.
      • Schlüsselursprung: Import aus Webservice Schlüsselursprung als Import aus Webservice ausgewählt.

        Weitere Informationen finden Sie unter oder.

    4. Führen Sie eine HTTP-POST-Anforderung für den Import aus einem Webservice-REST-Endpunkt aus.
      OptionWert/Format
      URL des Endpunkts https://<instance> /api/sn_kmf/key/import?cryptoSpecSysID=<sys_id_of_crypto_spec> .
      Parameter „CryptoSpecSysID“.
      Die sys_id der neu erstellten Krypto-Spezifikation.
      Tipp:
      Klicken Sie mit der rechten Maustaste auf den Header der Krypto-Spezifikation, um die sys_idzu kopieren.
      Header-Inhaltstyp Anwendung/Oktett-Stream.
      Textkörper Muss eine Dateianhang-Binärdatei und den zu importierenden öffentlichen Schlüssel (wrapped_metric_key.txt) enthalten.
      Import aus Webservice-REST-Endpunkt Verwendet die Basic Authentication von<username/password> .
      Hinweis:
      Stellen Sie sicher, dass der angegebene Benutzer die Rolle sn_kmf_cryptographic_operator hat.
      Ein erfolgreicher Import des öffentlichen Schlüssels führt zu einer HTTP-Antwortnachricht mit dem Status 200.
    5. Stellen Sie sicher, dass der Schlüssel erfolgreich in das kryptografische Zielmodul importiert wurde.Registerkarte „Krypto-Spezifikationsmodulschlüssel“ mit erfolgreichem Schlüsselimport.