如何在HSM上生成ECC密钥 - 密钥管理服务

本文介绍如何使用genECCKeyPair命令在HSM上生成ECC密钥对。

功能说明

genECCKeyPair命令可在HSM上生成椭圆曲线（ECC）密钥对。

重要

在运行此命令之前，必须启动key_mgmt_tool并以CU身份登录HSM。

语法

请按照下方语法输入参数，参数说明请参见参数。

genECCKeyPair -i <EC curve id> 
              -l <label> 
              [-id <key ID>]
              [-min_srv <minimum number of servers>]
              [-m_value <0..8>]
              [-nex]
              [-sess]
              [-timeout <number of seconds> ]
              [-u <user-ids>]
              [-attest]

重要

您必须按语法指定的顺序输入参数。

示例

本文以使用NID_secp384r1曲线生成一个密钥标签为ecc的密钥为例。输出显示公钥的句柄为12，私钥的句柄为13。

Command:   genECCKeyPair -i 14 -l ecc

       	Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS

       	Cfm3GenerateKeyPair:    public key handle: 12    private key handle: 13

       	Cluster Status:
       	Node id 0 status: 0x00000000 : HSM Return: SUCCESS

参数

参数名称	描述	是否必需	有效值
-i	指定曲线ID。	是	1： NID_X9_62_prime192v1 2： NID_X9_62_prime256v1 3： NID_sect163k1 4： NID_sect163r2 5： NID_sect233k1 6： NID_sect233r1 7：NID_sect283k1 8： NID_sect283r1 9： NID_sect409k1 10： NID_sect409r1 11： NID_sect571k1 12：NID_sect571r1 13：NID_secp224r1 14：NID_secp384r1 15：NID_secp521r1 16：NID_secp256k
-l	指定密钥标签。	是	无特殊要求
-id	指定生成密钥的ID。	否	无特殊要求
-sess	指定生成密钥作为当前会话密钥。	否	无特殊要求
-nex	将密钥设置成不可导出。	否	无特殊要求
-u	指定共享密钥的用户ID，如有多个用户请使用逗号分隔。	否	无特殊要求
-m_value	指定可使用生成的ECC密钥对中私钥的用户数量。	否	0～8
-attest	对固件响应进行完整性检查。	否	无特殊要求
-min_srv	指定分配的时间（参见timeout）之内，密钥最少需要的同步的服务器数量。如果密钥在分配的时间内未同步到指定数量的服务器，则不会创建它。	否	无特殊要求
-timeout	指定密钥同步到指定数量（参见min_srv）的服务器所需时间（以秒为单位）。仅当min_srv参数也用于此命令时，该参数才有效。默认：没有超时该命令无限期等待，仅当密钥同步至最少数量的服务器时才返回。	否	无特殊要求