本文介绍如何使用exSymKey命令导出HSM上的对称密钥。
功能说明
exSymKey命令可将HSM的对称密钥以明文的形式导出到磁盘文件上。如需要导出加密后的对称密钥,请使用wrapKey。
只有密钥的所有者 (即创建该密钥的CU用户) 才能导出它。共享密钥的用户可以在加密操作中使用密钥,但无法导出它。
可借助exSymKey和imSymKey完成对称密钥的备份或迁移。
HSM不允许以明文形式直接导入密钥,exSymKey先使用wrapKey导出加密密钥文件,再调用AES解密。
重要
在运行此命令之前,必须启动key_mgmt_tool并以CU身份登录HSM。
语法
请按照下方语法输入参数,参数说明请参见参数。
exSymKey -k <key-to-export>
-w <wrapping-key>
-out <key-file>
[-m 4]
[-wk <unwrapping-key-file> ]
重要
您必须按语法指定的顺序输入参数。
示例
Command: exSymKey -k 9 -w 6 -out /tmp/aes.key
Cfm3ExportWrapKeyWithMech returned: 0x00 : HSM Return: SUCCESS
Cfm3ExportUnwrapKeyWithMech returned: 0x00 : HSM Return: SUCCESS
Exported Symmetric Key written to file "/tmp/aes.key"参数
参数名称 | 描述 | 是否必需 | 有效值 |
-k | 指定导出密钥的句柄。 | 是 | 您可使用findKey查找密钥的密钥句柄 |
-w | 指定加密导出密钥的密钥句柄。 | 是 | 您可使用findKey查找密钥的密钥句柄 |
-out | 指定存储导出密钥的文件名称。 | 是 | 无特殊要求 |
-m | 指定加密导出密钥的加密机制 | 否 | 4(NIST_AES_WRAP) |
-wk | 指定解密导出密钥的文件,包含AES密钥的文件的路径和名称。 | 否 | 默认为-w指定的加密密钥 |