Importer une clé à partir d’un service Web

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Chargez en toute sécurité une clé client externe sur votre instance à l’aide de l’importation d’une clé à partir d’un service Web (par exemple, l’API REST de la clé). Les clés publiques symétriques et asymétriques peuvent être importées dans un module cryptographique ciblé KMF .

    La clé à importer (la clé cible) doit être chiffrée avec une clé d’emballage avant d’être chargée dans le module de chiffrement cible de l’instance. Cette clé d’encapsulation est le composant public d’une paire de clés publique/privée, qui doit être présente sur l’instance. La clé est une condition préalable avant que la clé cible encapsulée puisse être chargée via l’importation à partir des services Web.

    Ces deux procédures distinctes (importation de la paire de clés d’encapsulation et importation de la clé cible encapsulée à partir d’un service Web) sont détaillées dans la documentation suivante. Cette paire de clés doit être générée et chargée pour être disponible dans le module de chiffrement d’importation de clé interne de l’instance.

    Remarque :
    Cet exemple utilise OpenSSL pour la génération de clés et de certificats et l’outil de test d’API Postman pour montrer l’utilisation de l’API REST. Remplacez d’autres outils comparables en fonction des besoins de votre entreprise.

    Importer la paire de clés d’encapsulation/désencapsulation

    Configurez Key Management Framework les paramètres d’importation avant d’importer une clé.

    Avant de commencer

    Rôle requis : sn_kmf.cryptographic_manager

    Pourquoi et quand exécuter cette tâche

    Cet exemple utilise OpenSSL pour la génération de clés et de certificats. Remplacez d’autres outils comparables en fonction des besoins de votre entreprise.

    Procédure

    1. Dans votre environnement local, utilisez le terminal pour créer un certificat.
      Par exemple : openssl req -x509 -sha256 -nodes -days 365 -newkey rsa :4096 -keyout wrapping_private.key -out wrapping_public.crt

      Ce certificat est un composant public qui contient une clé. Le certificat est utilisé pour envelopper une clé symétrique AES.

    2. Dans votre environnement local, utilisez le terminal pour créer un magasin de clés contenant un certificat public (avec la clé d’encapsulation) et une clé de désencapsulation privée.
      Par exemple :openssl pkcs12 -export -in wrapping_public.crt -inkey wrapping_private.key -name « wrapping_key_alias » -out wrapping_keystore.p12
    3. Sur votre instance, accédez à Tous > Gestion des clés > Paramètres d'importation > Paramètres d’importation de clé.
    4. Dans la section Définition de l’algorithme, vérifiez que l’objectif du chiffrement est défini sur Désencapsulation de clé asymétrique.Sélection de l’objectif de la cryptographie.
    5. Sélectionnez un algorithme approprié qui s’aligne sur le matériel de clé asymétrique pour le magasin de clés importé.
      Consultez Vue d’ensemble des spécifications cryptographiques pour plus d'informations.
    6. Sélectionnez Suivant.
    7. Dans la section Définition du cycle de vie , sélectionnez Suivant pour continuer.
    8. Dans la section Origine de la clé , sélectionnez Importer à partir de PKCS12 ou Importer à partir de BCFKS dans le champ Origine .
      Remarque :
      Si vous utilisez l’exemple de magasin de clés de l’étape 1, sélectionnez Importer à partir de PKCS12.
    9. Entrez un alias de clé pour identifier la clé.
      Cet alias doit correspondre à l’alias de clé (ou « nom convivial ») spécifié lors de la génération du certificat ou du magasin de clés à charger. En continuant l’exemple ci-dessus, ce serait wrapping_key_alias.
    10. Sélectionnez Suivant.
      La section Création de clé inclut un lien Importer la clé , qui affiche une boîte de dialogue pour télécharger le magasin de clés. En continuant l’exemple, ce serait wrapping_keystore.p12.

    Importer une clé enveloppée à partir d’un service Web

    Chargez votre clé encapsulée dans un module de chiffrement à l’aide de la fonctionnalité d’importation de clé à partir du service web. L’exemple utilise une clé symétrique. Des étapes similaires peuvent être utilisées pour importer une clé asymétrique.

    Avant de commencer

    Rôle requis : sn_kmf.cryptographic_manager (configuration du module), sn_kmf.cryptographic_operator (authentification de base de l’opération REST)

    Pourquoi et quand exécuter cette tâche

    KMF L’accès au point de terminaison de la clé d’importation est requis pour terminer le processus d’importation de la clé.

    Cet exemple utilise OpenSSL pour générer des clés et des certificats. Vous pouvez remplacer d’autres outils comparables en fonction de vos besoins.

    Procédure

    1. À l’aide du terminal de votre appareil local, encapsulez votre clé symétrique à l’aide de la clé d’encapsulation de clé publique du module d’importation de clé.
      Par exemple : openssl pkeyutl -encrypt -pubin -inkey public_wrapping_key.pem -in symmetric_key.bin -pkeyopt rsa_padding_mode :oaep -pkeyopt rsa_oaep_md :sha256 -out wrapped_symmetric_key.txt
      Cet exemple crée un fichier de clé encapsulé nommé wrapped_symmetric_key.txt.
    2. Créez un module cryptographique à lier à l’API.
      Voir ou pour plus d’informations.
    3. Ajoutez une spécification cryptographique avec les sélections suivantes.
      • Objectif du chiffrement : chiffrement/déchiffrement de données symétriques.
      • Origine de la clé : Importer à partir du service Web Origine de la clé sélectionnée comme importation à partir du service Web.

        Voir ou pour plus d’informations.

    4. Exécutez une requête HTTP POST pour l’importation à partir d’un point de terminaison REST de service Web.
      OptionValeur/format
      URL du point de terminaison https://<instance>/api/sn_kmf/key/import ?cryptoSpecSysID=<sys_id_of_crypto_spec>.
      Paramètre CryptoSpecSysID
      L’sys_id de la spécification de chiffrement nouvellement créée.
      Conseil :
      Cliquez avec le bouton droit sur l’en-tête de la spécification de chiffrement pour copier le sys_id.
      Type de contenu d’en-tête Flux d’application/octet.
      Corps Doit contenir un fichier binaire de pièce jointe et la clé publique à importer (wrapped_symmetric_key.txt).
      Importer à partir du service Web Point de terminaison REST Utilise l’authentification de base <nom d’utilisateur/mot de passe>.
      Remarque :
      Assurez-vous que l’utilisateur désigné dispose du rôle sn_kmf_cryptographic_operator.
      L’importation réussie de la clé publique entraîne un message de réponse HTTP avec le statut 200.
    5. Vérifiez que la clé a été importée avec succès dans le module de chiffrement ciblé.Onglet Clés du module de spécification de chiffrement avec importation de clé réussie.