Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Schlüsselmanagement mit der AWS CloudHSM KMU
Wenn Sie die [neueste SDK-Versionsserie](use-hsm.md) verwenden, verwenden Sie die [CloudHSM-CLI](cloudhsm_cli.md), um die Schlüssel in Ihrem AWS CloudHSM Cluster zu verwalten.
Wenn Sie die [vorherige SDK-Versionsserie](choose-client-sdk.md) verwenden, können Sie Schlüssel auf den Hardware-Sicherheitsmodulen (HSM) in Ihrem AWS CloudHSM Cluster mit dem Befehlszeilentool key\$1mgmt\$1util (KMU) verwalten. Bevor Sie Schlüssel verwalten können, müssen Sie den AWS CloudHSM Client starten, key\$1mgmt\$1util starten und sich bei dem anmelden. HSMs Weitere Informationen finden Sie unter [Erste Schritte mit key\$1mgmt\$1util](key_mgmt_util-getting-started.md).
+ Unter [Verwendung vertrauenswürdiger Schlüssel](cloudhsm_using_trusted_keys_control_key_wrap.md) wird beschrieben, wie Sie mithilfe von PKCS \$111-Bibliotheksattributen und der CMU vertrauenswürdige Schlüssel zur Sicherung von Daten erstellen.
+ Das [Generieren von Schlüsseln](generate-keys.md) umfasst Anweisungen zum Generieren von Schlüsseln, einschließlich symmetrischer Schlüssel, RSA-Schlüssel und EC-Schlüssel.
+ Beim [Importieren von Schlüsseln](import-keys.md) wird detailliert beschrieben, wie Schlüsselbesitzer Schlüssel importieren.
+ [Exportieren von Schlüsseln](export-keys.md) enthält Einzelheiten darüber, wie Schlüsselbesitzer Schlüssel exportieren.
+ [Löschen von Schlüsseln](delete-keys.md) enthält Einzelheiten darüber, wie Schlüsselbesitzer Schlüssel löschen.
+ Unter [Teilen und Aufheben der Freigabe von Schlüsseln](share-keys.md) wird beschrieben, wie Schlüsselinhaber Schlüssel teilen und deren Weitergabe rückgängig machen.
# AWS CloudHSM Generieren Sie Schlüssel mit der KMU
Um Schlüssel auf dem Hardware-Sicherheitsmodul (HSM) zu generieren, verwenden Sie den Befehl in AWS CloudHSM key\$1mgmt\$1util (KMU), der dem Schlüsseltyp entspricht, den Sie generieren möchten.
**Topics**
+ [Generieren von symmetrischen Schlüsseln](generate-symmetric-keys.md)
+ [Generieren von RSA-Schlüsselpaaren](generate-rsa-key-pairs.md)
+ [Generieren von ECC- (Elliptic Curve Cryptography) Schlüsselpaaren](generate-ecc-key-pairs.md)
# AWS CloudHSM Generieren Sie symmetrische Schlüssel mit der KMU
Verwenden Sie den [genSymKey](key_mgmt_util-genSymKey.md)Befehl in AWS CloudHSM key\$1mgmt\$1util (KMU), um AES und andere Arten von symmetrischen Schlüsseln für zu generieren. AWS CloudHSM Verwenden Sie den Befehl **genSymKey -h**, um alle verfügbaren Optionen anzuzeigen.
In dem folgenden Beispiel wird ein 256-Bit-AES-Schlüssel erstellt.
```
Command: genSymKey -t 31 -s 32 -l aes256
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created. Key Handle: 524295
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Generieren Sie RSA-Schlüsselpaare mit der AWS CloudHSM KMU
Verwenden Sie den Befehl [gen key pair in AWS CloudHSM key\$1mgmt\$1util, um ein RSAKey AWS CloudHSM RSA-Schlüsselpaar](key_mgmt_util-genRSAKeyPair.md) für zu generieren. Verwenden Sie den Befehl **genRSAKeyPair -h**, um alle verfügbaren Optionen anzuzeigen.
Das folgende Beispiel generiert ein 2048-Bit-RSA-Schlüsselpaar.
```
Command: genRSAKeyPair -m 2048 -e 65537 -l rsa2048
Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS
Cfm3GenerateKeyPair: public key handle: 524294 private key handle: 524296
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Generieren Sie ECC-Schlüsselpaare (Elliptic Curve Cryptography) mithilfe der KMU AWS CloudHSM
Verwenden Sie den Befehl [gen key pair in AWS CloudHSM key\$1mgmt\$1util, um ein ECCKey AWS CloudHSM ECC-Schlüsselpaar](key_mgmt_util-genECCKeyPair.md) für zu generieren. Wenn Sie alle verfügbaren Optionen, einschließlich einer Liste der unterstützten Ellipsenkurven anzeigen möchten, verwenden Sie den Befehl **genECCKeyPair -h**.
Das folgende Beispiel erzeugt ein ECC-Schlüsselpaar unter Verwendung der elliptischen Kurve P-384, die in der [NIST FIPS Publikation 186-4](http://dx.doi.org/10.6028/NIST.FIPS.186-4) definiert ist.
```
Command: genECCKeyPair -i 14 -l ecc-p384
Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS
Cfm3GenerateKeyPair: public key handle: 524297 private key handle: 524298
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Importieren Sie AWS CloudHSM Schlüssel mit der KMU
Um geheime Schlüssel — also symmetrische Schlüssel und asymmetrische private Schlüssel — mithilfe von AWS CloudHSM key\$1mgmt\$1util in das Hardware Security Module (HSM) zu importieren, müssen Sie zunächst einen Wrapping-Schlüssel auf dem HSM erstellen. Öffentliche Schlüssel können direkt ohne Umhüllungsschlüssel importiert werden.
**Topics**
+ [Importieren geheimer Schlüssel](import-secret-keys.md)
+ [Importieren von öffentlichen Schlüsseln](import-public-keys.md)
# Importieren Sie geheime Schlüssel mit der KMU AWS CloudHSM
Gehen Sie wie folgt vor, um einen geheimen Schlüssel AWS CloudHSM mithilfe von key\$1mgmt\$1util (KMU) zu importieren. Wenn Sie einen geheimen Schlüssel importieren möchten, speichern Sie ihn zunächst in einer Datei. Speichern Sie symmetrische Schlüssel als Rohbytes und asymmetrische private Schlüssel im PEM-Format.
Dieses Beispiel zeigt, wie man einen geheimen Klartext-Schlüssel aus einer Datei in das HSM importiert. Verwenden Sie den Befehl, um einen verschlüsselten Schlüssel aus einer Datei in das HSM zu importieren. [unWrapKey](key_mgmt_util-unwrapKey.md)
**So importieren Sie einen geheimen Schlüssel**
1. Verwenden Sie den [genSymKey](key_mgmt_util-genSymKey.md)Befehl, um einen Wrapping-Schlüssel zu erstellen. Mit dem folgenden Befehl wird ein 128-Bit-AES-Schlüssel erstellt, der nur für die aktuelle Sitzung gilt. Sie können einen Sitzungsschlüssel oder einen persistenten Schlüssel als Wrapping-Schlüssel verwenden.
```
Command: genSymKey -t 31 -s 16 -sess -l import-wrapping-key
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created. Key Handle: 524299
Cluster Error Status
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
1. Verwenden Sie, abhängig vom Typ des geheimen Schlüssels, den Sie importieren, einen der folgenden Befehle.
+ Um einem symmetrischen Schlüssel zu importieren, verwenden Sie den Befehl [imSymKey](key_mgmt_util-imSymKey.md). Mit dem folgenden Befehl wird ein AES-Schlüssel aus einer Datei mit dem Namen `aes256.key` importiert, wobei der im vorangehenden Schritt erstellte Umhüllungsschlüssel benötigt wird. Verwenden Sie den Befehl **imSymKey -h**, um alle verfügbaren Optionen anzuzeigen.
```
Command: imSymKey -f aes256.key -t 31 -l aes256-imported -w 524299
Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Unwrapped. Key Handle: 524300
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
+ Um einen asymmetrischen privaten Schlüssel zu importieren, verwenden Sie den Befehl [importPrivateKey](key_mgmt_util-importPrivateKey.md). Mit dem folgenden Befehl wird ein privater Schlüssel aus einer Datei mit dem Namen `rsa2048.key` importiert, wobei der im vorangehenden Schritt erstellte Umhüllungsschlüssel benötigt wird. Verwenden Sie den Befehl **importPrivateKey -h**, um alle verfügbaren Optionen anzuzeigen.
```
Command: importPrivateKey -f rsa2048.key -l rsa2048-imported -w 524299
BER encoded key length is 1216
Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS
Private Key Unwrapped. Key Handle: 524301
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Importieren Sie öffentliche Schlüssel mit der AWS CloudHSM KMU
Verwenden Sie den [importPubKey](key_mgmt_util-importPubKey.md)Befehl in AWS CloudHSM key\$1mgmt\$1util (KMU), um einen öffentlichen Schlüssel zu importieren. Verwenden Sie den Befehl **importPubKey -h**, um alle verfügbaren Optionen anzuzeigen.
Im folgenden Beispiel wird öffentlicher RSA-Schlüssel aus einer Datei mit dem Namen `rsa2048.pub` importiert.
```
Command: importPubKey -f rsa2048.pub -l rsa2048-public-imported
Cfm3CreatePublicKey returned: 0x00 : HSM Return: SUCCESS
Public Key Handle: 524302
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Exportieren Sie Schlüssel mit der KMU AWS CloudHSM
Um AWS CloudHSM geheime Schlüssel — also symmetrische Schlüssel und asymmetrische private Schlüssel — mithilfe von AWS CloudHSM key\$1mgmt\$1util (KMU) aus dem Hardware Security Module (HSM) zu exportieren, müssen Sie zuerst einen Wrapping-Schlüssel erstellen. Öffentliche Schlüssel können direkt ohne Umhüllungsschlüssel exportiert werden.
Nur der Schlüsselbesitzer kann einen Schlüssel exportieren. Benutzer, mit denen der Schlüssel gemeinsam genutzt wird, können den Schlüssel in kryptographischen Operationen verwenden, aber ihn nicht exportieren. Wenn Sie dieses Beispiel ausführen, stellen Sie sicher, dass Sie einen von Ihnen erstellten Schlüssel exportieren.
**Wichtig**
Der [exSymKey](key_mgmt_util-exSymKey.md)Befehl schreibt eine (unverschlüsselte) Klartextkopie des geheimen Schlüssels in eine Datei. Der Exportvorgang erfordert einen Wrapping-Schlüssel. Der Schlüssel in der Datei jedoch ist ***kein*** Wrapping-Schlüssel. Um eine verpackte (verschlüsselte) Kopie eines Schlüssels zu exportieren, verwenden Sie den Befehl [wrapKey](key_mgmt_util-wrapKey.md).
**Topics**
+ [Exportieren geheimer Schlüssel](export-secret-keys.md)
+ [Exportieren von öffentlichen Schlüsseln](export-public-keys.md)
# Exportieren Sie geheime Schlüssel mit der KMU AWS CloudHSM
Gehen Sie wie folgt vor, um AWS CloudHSM mithilfe von key\$1mgmt\$1util (KMU) einen geheimen Schlüssel zu exportieren.
**So exportieren Sie einen geheimen Schlüssel**
1. Verwenden Sie den Befehl, um einen Wrapping-Schlüssel [genSymKey](key_mgmt_util-genSymKey.md)zu erstellen. Mit dem folgenden Befehl wird ein 128-Bit-AES-Schlüssel erstellt, der nur für die aktuelle Sitzung gilt.
```
Command: genSymKey -t 31 -s 16 -sess -l export-wrapping-key
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created. Key Handle: 524304
Cluster Error Status
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
1. Verwenden Sie, abhängig vom Typ des geheimen Schlüssels, den Sie exportieren, einen der folgenden Befehle.
+ Verwenden Sie den [exSymKey](key_mgmt_util-exSymKey.md)Befehl, um einen symmetrischen Schlüssel zu exportieren. Der folgende Befehl exportiert einen AES-Schlüssel in eine Datei mit dem Namen `aes256.key.exp`. Verwenden Sie den Befehl **exSymKey -h**, um alle verfügbaren Optionen anzuzeigen.
```
Command: exSymKey -k 524295 -out aes256.key.exp -w 524304
Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
Wrapped Symmetric Key written to file "aes256.key.exp"
```
**Anmerkung**
Die Ausgabe des Befehls besagt, dass ein „Wrapped Symmetric Key“ in die Ausgabedatei geschrieben wurde. Die Ausgabedatei enthält jedoch einen Klartext-Schlüssel (nicht verpackt). Um einen verpackten (verschlüsselten) Schlüssel in eine Datei zu exportieren, verwenden Sie den Befehl [wrapKey](key_mgmt_util-wrapKey.md).
+ Um einem privaten Schlüssel zu exportieren, verwenden Sie den Befehl **exportPrivateKey**. Der folgende Befehl exportiert einen privaten Schlüssel in eine Datei mit dem Namen `rsa2048.key.exp`. Verwenden Sie den Befehl **exportPrivateKey -h**, um alle verfügbaren Optionen anzuzeigen.
```
Command: exportPrivateKey -k 524296 -out rsa2048.key.exp -w 524304
Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
PEM formatted private key is written to rsa2048.key.exp
```
# Exportieren Sie öffentliche Schlüssel mit der KMU AWS CloudHSM
Verwenden Sie den **exportPubKey** Befehl in AWS CloudHSM key\$1mgmt\$1util (KMU), um einen öffentlichen Schlüssel zu exportieren. Verwenden Sie den Befehl **exportPubKey -h**, um alle verfügbaren Optionen anzuzeigen.
Im folgenden Beispiel wird öffentlicher RSA-Schlüssel in eine Datei mit dem Namen `rsa2048.pub.exp` exportiert.
```
Command: exportPubKey -k 524294 -out rsa2048.pub.exp
PEM formatted public key is written to rsa2048.pub.key
Cfm3ExportPubKey returned: 0x00 : HSM Return: SUCCESS
```
# Löschen Sie Schlüssel mit KMU und CMU
Verwenden Sie zum Löschen eines Schlüssels den Befehl [deleteKey](key_mgmt_util-deleteKey.md) wie in dem folgenden Beispiel. Nur der Schlüsselbesitzer kann einen Schlüssel löschen.
```
Command: deleteKey -k 524300
Cfm3DeleteKey returned: 0x00 : HSM Return: SUCCESS
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Schlüssel mit KMU und CMU teilen und deren Freigabe rückgängig machen
In AWS CloudHSM, der CU, die den Schlüssel erstellt, gehört er. Der Besitzer verwaltet den Schlüssel, kann ihn exportieren und löschen und kann ihn in kryptographischen Operationen verwenden. Der Besitzer kann den Schlüssel außerdem mit anderen CU-Benutzern teilen. Benutzer, mit denen der Schlüssel gemeinsam genutzt wird, können den Schlüssel in kryptographischen Operationen verwenden. Sie können jedoch den Schlüssel nicht exportieren, löschen oder mit anderen Benutzern teilen.
Sie können Schlüssel gemeinsam mit anderen CU-Benutzern verwenden, wenn Sie den Schlüssel erstellen, z. B. indem Sie die `-u` Parameter der Befehle [genSymKey](key_mgmt_util-genSymKey.md)oder [gen RSAKey Pair](key_mgmt_util-genRSAKeyPair.md) verwenden. Um vorhandene Schlüssel für einen anderen HSM-Benutzer freizugeben, verwenden Sie das Befehlszeilentool [cloudhsm\$1mgmt\$1util](cloudhsm_mgmt_util.md). Dies unterscheidet sich von den meisten der in diesem Abschnitt dokumentierten Aufgaben, die das Befehlszeilentool [key\$1mgmt\$1util](key_mgmt_util.md) verwenden.
Bevor Sie einen Schlüssel gemeinsam nutzen können, müssen Sie cloudhsm\$1mgmt\$1util starten, die Verschlüsselung aktivieren end-to-end und sich bei dem anmelden. HSMs Um einen Schlüssel freizugeben, melden Sie sich am HSM als der Crypto-Benutzer (CU, Crypto User) an, dem der Schlüssel gehört. Nur der Eigentümer eines Schlüssels ist berechtigt, einen Schlüssel freizugeben.
Verwenden Sie den **shareKey** Befehl, um einen Schlüssel gemeinsam zu nutzen oder die gemeinsame Nutzung aufzuheben. Geben Sie dabei das Handle des Schlüssels und das des oder der Benutzer an. IDs Geben Sie eine kommagetrennte Benutzerliste an, um die gemeinsame Nutzung für mehrere Benutzer aufzuheben oder die gemeinsame Nutzung aufzuheben. IDs Um einen Schlüssel freizugeben, verwenden Sie den Befehl `1` als letzten Parameter, wie im folgenden Beispiel gezeigt. Um die Freigabe aufzuheben, verwenden Sie `0`.
```
aws-cloudhsm > shareKey 524295 4 1
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************
Do you want to continue(y/n)? y
shareKey success on server 0(10.0.2.9)
shareKey success on server 1(10.0.3.11)
shareKey success on server 2(10.0.1.12)
```
Nachfolgend finden Sie die allgemeine Syntax für den Befehl **shareKey**.
```
aws-cloudhsm > shareKey
```
# So markieren Sie einen Schlüssel mit dem AWS CloudHSM Management Utility als vertrauenswürdig
Der Inhalt dieses Abschnitts enthält Anweisungen zur Verwendung des AWS CloudHSM Management Utility (CMU), um einen Schlüssel als vertrauenswürdig zu kennzeichnen.
1. Melden Sie sich mit dem Befehl [loginHSM](cloudhsm_mgmt_util-loginLogout.md) als Crypto Officer (CO) an.
1. Verwenden Sie den [Legen Sie die Attribute von AWS CloudHSM Schlüsseln mit CMU fest](cloudhsm_mgmt_util-setAttribute.md)-Befehl, bei dem `OBJ_ATTR_TRUSTED` (Wert `134`) auf „true“ (`1`) gesetzt ist.
```
aws-cloudhsm > setAttribute 134 1
```