获取导入密钥材料参数

<p class="shortdesc">在导入外部密钥材料前,您需要先获取导入密钥材料参数,然后再将密钥材料加密后上传。</p> <section class="section prereq" id="getmaterial__prereq_ez1_gl5_jlb"><div class="tasklabel"><h2 class="doc-tairway">前提条件</h2></div> <p class="p">已完密钥的创建,请参见<a class="xref" href="/ssr/help/manage/kms/oguaid.mgtkey.Create" target="_blank">创建密钥</a>。且所创建的密钥的密钥材料来源是<span class="ph uicontrol">外部导入</span>。</p> <img class="image" id="getmaterial__image_rlh_sk5_jlb" src="https://obs-cn-shanghai.yun.pingan.com/pcp-portal/20200807112324-1bd4eef59956.png"> </section> <section class="section context"><div class="tasklabel"><h2 class="doc-tairway">背景信息</h2></div> <p class="p">在为<span class="ph uicontrol">待导入</span>状态的外部密钥进行密钥材料导入前,您需要先获取导入密钥材料的参数。导入密钥材料参数包含一个用于对密钥材料导入前进行加密的公钥,以及一个导入时进行验证的导入令牌。</p> <ul class="ul" id="getmaterial__ul_usx_zk5_jlb"> <li class="li"><strong class="ph b">加密公钥:</strong><p class="p">导入密钥材料时,不能直接将原始的密钥材料导入,而需要使用在本操作指导中下载的公钥对密钥材料进行加密,然后再上传。KMS收到上传的加密密钥材料时,它会使用对应的私钥进行解密。公钥目前仅支持RSA2048的公钥类型。</p></li> <li class="li"><strong class="ph b">导入令牌:</strong><p class="p">导入密钥材料时,需要上传令牌,获取到的导入密钥材料中导入令牌和加密公钥是具有绑定关系的,导入密钥材料时必须组合使用。</p></li> </ul> </section> <section class="section attention" id="getmaterial__ohz_f5h_flb"><div class="tasklabel"><h2 class="doc-tairway">注意事项</h2></div> <ul class="ul" id="getmaterial__ul_mhg_hl5_jlb"> <li class="li">在密钥材料被删除后,重新导入密钥材料的场景中,也需要执行本步骤。</li> <li class="li">生成的令牌的有效期为24小时,如果您没有在24小时内下载并使用,则需要重新生成并下载。</li> </ul> </section> <section id="getmaterial__steps_fht_kl5_jlb"><div class="tasklabel"><h2 class="doc-tairway">操作步骤</h2></div><ol class="ol steps" id="getmaterial__steps_fht_kl5_jlb"><li class="li step stepexpand"> <span class="ph cmd">登录<a class="xref" href="https://pinganyun.com/console/kms" target="_blank">密钥管理服务KMS控制台</a>。</span> </li><li class="li step stepexpand"> <span class="ph cmd">在左侧导航栏中,单击<span class="ph menucascade"><span class="ph uicontrol">密钥列表</span><abbr> > </abbr><span class="ph uicontrol">客户管理密钥</span></span>。</span> </li><li class="li step stepexpand" id="getmaterial__step_x5b_dr5_jlb"> <span class="ph cmd"> 在<span class="keyword wintitle">客户管理的密钥</span>页面,单击待导入外部密钥的用户主密钥ID。</span> <div class="itemgroup info"> <div class="note note note_note"><span class="note__title">说明:</span> 只有<span class="ph uicontrol">密钥状态</span>为<span class="ph uicontrol">待导入</span>的密钥才可以该操作。</div> </div> </li><li class="li step stepexpand"> <span class="ph cmd">在<span class="keyword wintitle">密钥详情</span>页面,单击下方的<span class="ph uicontrol">获取导入密钥材料参数</span>。</span> <div class="itemgroup info"> <img class="image" id="getmaterial__image_w5d_gm5_jlb" src="https://obs-cn-shanghai.yun.pingan.com/pcp-portal/20200807112323-19b77cee9b68.png" width="750"> </div> </li><li class="li step stepexpand"> <span class="ph cmd">在弹出的页面中,选择<span class="ph uicontrol">加密方式</span>。</span> <div class="itemgroup info"> <img class="image" id="getmaterial__image_ydk_jm5_jlb" src="https://obs-cn-shanghai.yun.pingan.com/pcp-portal/20200807112323-1d42a2029002.png"> <p class="p">在生成导入密钥材料参数之前,需要选择一个用于加密秘钥材料的算法:</p> <ul class="ul" id="getmaterial__ul_pvv_lm5_jlb"> <li class="li"><span class="ph uicontrol">RSAES_OAEP_SHA_1</span>:具有“SHA-1”哈希函数的最佳非对称加密填充OAEP的RSA加密算法。</li> <li class="li"><span class="ph uicontrol">RSAES_OAEP_SHA_256</span>:具有“SHA-256”哈希函数的最佳非对称加密填充OAEP的RSA加密算法。</li> <li class="li"><span class="ph uicontrol">RSAES_PKCS1_V1_5</span>:PKCS#1 V1.5版本的RSA加密算法。如果您使用的HSM不支持OAEP,则需要使用该加密算法,但该加密算法安全性较低,请谨慎使用。</li> </ul> </div> </li><li class="li step stepexpand"> <span class="ph cmd">完成后,单击<span class="ph uicontrol">下一步</span>。</span> <div class="itemgroup info"> <p class="p">根据加密算法生成加密公钥,同时生成导入令牌,您需要在弹出的页面及时下载。</p> <img class="image" id="getmaterial__image_y34_rm5_jlb" src="https://obs-cn-shanghai.yun.pingan.com/pcp-portal/20200807112323-10076502954f.png"> <div class="note important note_important"><span class="note__title">重要:</span> <p class="p">导入令牌是具有时效的,有效期为24小时,在有效期内可以重复使用,失效以后需要获取新的导入令牌和公钥。该页面会提示导入令牌过期时间,请一定在此时间之前使用令牌。</p> </div> </div> </li><li class="li step stepexpand"> <span class="ph cmd"> 单击<span class="ph uicontrol">加密公钥</span>和<span class="ph uicontrol">导入令牌</span>后方的<span class="ph uicontrol">下载</span>按钮,下载<span class="ph uicontrol">加密公钥</span>和<span class="ph uicontrol">导入令牌</span>。</span> <div class="itemgroup info"> <ul class="ul" id="getmaterial__ul_jbx_ym5_jlb"> <li class="li"><span class="ph uicontrol">加密公钥</span>:命名方式为publicKey+用户主密钥ID,例如publicKey_ed523b58-6169-487a-a28f-b3886866ec4a。</li> <li class="li"><span class="ph uicontrol">导入令牌</span>:命名方式为importToken+用户主密钥ID,例如importToken_ed523b58-6169-487a-a28f-b3886866ec4a。</li> </ul> </div> </li><li class="li step stepexpand"> <span class="ph cmd">下载完成后,单击<span class="ph uicontrol">确认</span>。</span> </li></ol></section>
以上内容是否解决了您的问题?
请补全提交信息!
咨询·建议

电话咨询 - 7x24 小时

400-151-8800

邮件咨询

cloud@pingan.com

在线客服

7x24 小时,急速解答

工单支持

解决云产品相关技术问题