获取导入密钥材料参数
在导入外部密钥材料前,您需要先获取导入密钥材料参数,然后再将密钥材料加密后上传。
在为待导入状态的外部密钥进行密钥材料导入前,您需要先获取导入密钥材料的参数。导入密钥材料参数包含一个用于对密钥材料导入前进行加密的公钥,以及一个导入时进行验证的导入令牌。
加密公钥:
导入密钥材料时,不能直接将原始的密钥材料导入,而需要使用在本操作指导中下载的公钥对密钥材料进行加密,然后再上传。KMS收到上传的加密密钥材料时,它会使用对应的私钥进行解密。公钥目前仅支持RSA2048的公钥类型。
导入令牌:
导入密钥材料时,需要上传令牌,获取到的导入密钥材料中导入令牌和加密公钥是具有绑定关系的,导入密钥材料时必须组合使用。
已完密钥的创建,请参见创建密钥。且所创建的密钥的密钥材料来源是外部导入。
注意事项
在密钥材料被删除后,重新导入密钥材料的场景中,也需要执行本步骤。
生成的令牌的有效期为24小时,如果您没有在24小时内下载并使用,则需要重新生成并下载。
操作步骤
1. 登录阿里云密钥管理服务控制台。
2. 在左侧导航栏中,选择密钥列表。
3. 在密钥列表页面,单击处于待导入状态的用户主密钥ID。
4. 在密钥详情页面,单击下方的获取导入密钥材料参数。
5. 在弹出的页面中,选择加密方式。
RSAES_OAEP_SHA_1:具有“SHA-1”哈希函数的最佳非对称加密填充OAEP的RSA加密算法。
RSAES_OAEP_SHA_256:具有“SHA-256”哈希函数的最佳非对称加密填充OAEP的RSA加密算法。
RSAES_PKCS1_V1_5:PKCS#1 V1.5版本的RSA加密算法。如果您使用的HSM不支持OAEP,则需要使用该加密算法,但该加密算法安全性较低,请谨慎使用。
6. 完成后,单击下一步。
7. 根据加密算法生成加密公钥,同时生成导入令牌,您需要在弹出的页面及时下载。
导入令牌是具有时效的,有效期为24小时,在有效期内可以重复使用,失效以后需要获取新的导入令牌和公钥。该页面会提示导入令牌过期时间,请一定在此时间之前使用令牌。
8. 单击加密公钥和导入令牌后方的下载按钮,下载加密公钥和导入令牌。
加密公钥:命名方式为publicKey+用户主密钥ID,例如publicKey_ed523b58-6169-487a-a28f-b3886866ec4a。
导入令牌:命名方式为importToken+用户主密钥ID,例如importToken_ed523b58-6169-487a-a28f-b3886866ec4a。
9. 下载完成后,单击确认。
