如何在HSM上生成RSA - 密钥管理服务

本文介绍如何使用genRSAKeyPair生成RSA。

功能说明

genRSAKeyPair命令可在HSM上生成RSA非对称密钥，需要指定密钥类型、模数长度和公共指数。

重要

在运行此命令之前，必须启动key_mgmt_tool并以CU身份登录HSM。

语法

请按照下方语法输入参数，参数说明请参见参数。

genRSAKeyPair -m <modulus length>
              -e <public exponent> 
              -l <label> 
              [-id <key ID>] 
              [-min_srv <minimum number of servers>] 
              [-m_value <0..8>]
              [-nex] 
              [-sess] 
              [-timeout <number of seconds> ]
              [-u <user-ids>] 
              [-attest]

重要

您必须按语法指定的顺序输入参数。

示例

本文以生成一个2048bit，密钥标签为RSA的密钥为例。输出显示公钥的句柄为14，私钥的句柄为15。

Command:  genRSAKeyPair -m 2048 -e 65541 -l rsa

       	Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS

       	Cfm3GenerateKeyPair:    public key handle: 14    private key handle: 15

       	Cluster Status:
       	Node id 0 status: 0x00000000 : HSM Return: SUCCESS

参数

参数名称	描述	是否必需	有效值
-m	指定密钥大小（bit）。	是	2048
-e	指定公共指数。	是	大于或等于 65537 的奇数。
-l	指定密钥标签。	是	无特殊要求
-id	指定生成密钥的ID。	否	无特殊要求
-sess	指定密钥作为当前会话密钥。	否	无特殊要求
-nex	将密钥设置成不可导出。	否	无特殊要求
-u	指定共享密钥的用户ID，如有多个用户请使用逗号分隔。	否	0～8
-m_value	指定可使用生成的RSA密钥对中私钥的用户数量。	否	无特殊要求
-attest	对固件响应进行完整性检查。	否	无特殊要求
-min_srv	指定分配的时间（参见timeout）之内，密钥最少需要的同步的服务器数量。如果密钥在分配的时间内未同步到指定数量的服务器，则不会创建它。	否	无特殊要求
-timeout	指定密钥同步到指定数量（参见min_srv）的服务器所需时间（以秒为单位）。仅当min_srv参数也用于此命令时，该参数才有效。默认：没有超时该命令无限期等待，仅当密钥同步至最少数量的服务器时才返回。	否	无特殊要求