本文介绍如何使用exSymKey在HSM上导入对称密钥。
功能说明
imSymKey命令可将明文存储的密钥文件导入HSM中。要导入加密后密钥文件,请使用unWrapKey。
可借助exSymKey和imSymKey完成对称密钥的备份或迁移。
imSymKey命令仅导入对称密钥。要导入公有密钥,请使用importPubKey。要导入私钥,请使用importPrivateKey。
HSM不允许以明文形式直接导入密钥,imSymKey先使用AES对导入文件进行加密,再调用unWrapKey将加密后文件导入HSM。
在运行此命令之前,必须启动key_mgmt_tool并以CU身份登录HSM。
语法
请按照下方语法输入参数,参数说明请参见参数。
imSymKey -f <key-file>
-w <wrapping-key-handle>
-t <key-type>
-l <label>
[-id <key-ID>]
[-sess]
[-wk <wrapping-key-file> ]
[-attest]
[-min_srv <minimum-number-of-servers>]
[-timeout <number-of-seconds> ]
[-u <user-ids>]您必须按语法指定的顺序输入参数。
示例
使用OpenSSL生成随机256位AES对称密钥。它将密钥保存在aes256.key文件中。
openssl rand -out aes256.key 32imSymKey将aes256.key文件中的AES密钥导入 HSM 中
Command: imSymKey -f aes256.key -w 6 -t 31 -l importedaes Cfm3ImportWrapKey returned: 0x00 : HSM Return: SUCCESS Cfm3CreateUnwrapTemplate2 returned: 0x00 : HSM Return: SUCCESS Cfm3ImportUnWrapKey returned: 0x00 : HSM Return: SUCCESS Symmetric Key Imported. Key Handle: 19 Cluster Status: Node id 0 status: 0x00000000 : HSM Return: SUCCESS
参数
参数名称 | 描述 | 是否必需 | 有效值 |
-f | 指定存储导入密钥的文件名。 | 是 | 无特殊要求 |
-w | 指定加密导入密钥的AES密钥句柄。 | 是 | 无特殊要求 |
-t | 指定导入密钥的类型。 | 是 |
|
-l | 指定导入密钥的标签。 | 是 | 无特殊要求 |
-id | 指定导入密钥的ID。 | 否 | 无特殊要求 |
-sess | 指定导入密钥作为会话密钥。 | 否 | 无特殊要求 |
-wk | 指定解密导入密钥的文件,包含AES密钥的文件的路径和名称。 | 否 | 默认为-w指定的加密密钥 |
-attest | 对固件响应进行完整性检查。 | 否 | 无特殊要求 |
-min_srv |
| 否 | 无特殊要求 |
-timeout |
| 否 | 无特殊要求 |
-u | 指定共享导入密钥的用户ID,如有多个用户请使用逗号分隔。 | 否 | 无特殊要求 |