全部产品

办公

合作伙伴

智能管理

大数据

通用参考

获取导入密钥材料参数

在导入外部密钥材料前,您需要先获取导入密钥材料参数,然后再将密钥材料加密后上传。

前提条件

已完密钥的创建,请参见创建密钥。且所创建的密钥的密钥材料来源是外部导入

背景信息

在为待导入状态的外部密钥进行密钥材料导入前,您需要先获取导入密钥材料的参数。导入密钥材料参数包含一个用于对密钥材料导入前进行加密的公钥,以及一个导入时进行验证的导入令牌。

  • 加密公钥:

    导入密钥材料时,不能直接将原始的密钥材料导入,而需要使用在本操作指导中下载的公钥对密钥材料进行加密,然后再上传。KMS收到上传的加密密钥材料时,它会使用对应的私钥进行解密。公钥目前仅支持RSA2048的公钥类型。

  • 导入令牌:

    导入密钥材料时,需要上传令牌,获取到的导入密钥材料中导入令牌和加密公钥是具有绑定关系的,导入密钥材料时必须组合使用。

注意事项

  • 在密钥材料被删除后,重新导入密钥材料的场景中,也需要执行本步骤。
  • 生成的令牌的有效期为24小时,如果您没有在24小时内下载并使用,则需要重新生成并下载。

操作步骤

  1. 登录密钥管理服务KMS控制台
  2. 在左侧导航栏中,单击密钥列表 > 客户管理密钥
  3. 客户管理的密钥页面,单击待导入外部密钥的用户主密钥ID。
    说明: 只有密钥状态待导入的密钥才可以该操作。
  4. 密钥详情页面,单击下方的获取导入密钥材料参数
  5. 在弹出的页面中,选择加密方式

    在生成导入密钥材料参数之前,需要选择一个用于加密秘钥材料的算法:

    • RSAES_OAEP_SHA_1:具有“SHA-1”哈希函数的最佳非对称加密填充OAEP的RSA加密算法。
    • RSAES_OAEP_SHA_256:具有“SHA-256”哈希函数的最佳非对称加密填充OAEP的RSA加密算法。
    • RSAES_PKCS1_V1_5:PKCS#1 V1.5版本的RSA加密算法。如果您使用的HSM不支持OAEP,则需要使用该加密算法,但该加密算法安全性较低,请谨慎使用。
  6. 完成后,单击下一步

    根据加密算法生成加密公钥,同时生成导入令牌,您需要在弹出的页面及时下载。

    重要:

    导入令牌是具有时效的,有效期为24小时,在有效期内可以重复使用,失效以后需要获取新的导入令牌和公钥。该页面会提示导入令牌过期时间,请一定在此时间之前使用令牌。

  7. 单击加密公钥导入令牌后方的下载按钮,下载加密公钥导入令牌
    • 加密公钥:命名方式为publicKey+用户主密钥ID,例如publicKey_ed523b58-6169-487a-a28f-b3886866ec4a。
    • 导入令牌:命名方式为importToken+用户主密钥ID,例如importToken_ed523b58-6169-487a-a28f-b3886866ec4a。
  8. 下载完成后,单击确认
以上内容是否解决了您的问题?
请补全提交信息!
确认 取消
咨询·建议

电话咨询

400-151-8800

邮件咨询

cloud@pingan.com

在线客服

立即咨询

工单支持

解决云产品相关技术问题

提交工单