Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Asociar una AWS CloudHSM clave a un certificado
<a name="ksp-library-associate-key-certificate"></a>

Antes de poder utilizar AWS CloudHSM las claves con herramientas de terceros, como las de Microsoft [SignTool](https://docs.microsoft.com/en-us/windows/win32/seccrypto/signtool), debe importar los metadatos de la clave al almacén de certificados local y asociarlos a un certificado. Para importar los metadatos de la clave, emplee la utilidad import\$1key.exe que se incluye en CloudHSM 3.0 y versiones posteriores. En los pasos siguientes, encontrará más información y un ejemplo de la salida.

## Paso 1: Importar el certificado
<a name="import-cert"></a>

En Windows, debería poder hacer doble clic en el certificado para importarlo en el almacén de certificados local. 

Sin embargo, si el doble clic no funciona, utilice la [herramienta Microsoft Certreq](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn296456%28v%3dws.11%29) para importar el certificado en el administrador de certificados. Por ejemplo: 

```
certreq -accept <certificatename>
```

Si esta acción no se realiza correctamente y aparece el error `Key not found`, continúe en el paso 2. Si el certificado aparece en el almacén de claves, la tarea se habrá completado correctamente y no será necesario realizar más acciones.

## Paso 2: Recopilar información de identificación del certificado
<a name="cert-identifier"></a>

Si el paso anterior no se realizó correctamente, deberá asociar la clave privada con un certificado. Sin embargo, antes de poder establecer esta asociación deberá buscar primero el nombre único del contenedor y el número de serie del certificado. Utilice una utilidad, como **certutil**, para mostrar la información de certificado necesaria. La siguiente salida de ejemplo de **certutil** muestra el nombre del contenedor y el número de serie.

```
================ Certificate 1 ================ Serial Number:
			72000000047f7f7a9d41851b4e000000000004Issuer: CN=Enterprise-CANotBefore: 10/8/2019 11:50
			AM NotAfter: 11/8/2020 12:00 PMSubject: CN=www.example.com, OU=Certificate Management,
			O=Information Technology, L=Seattle, S=Washington, C=USNon-root CertificateCert
			Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65No key provider
			information Simple container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c Unique
			container name: CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c
```



## Paso 3: Asocie la clave AWS CloudHSM privada al certificado
<a name="associate-key-certificate"></a>

Para asociar la clave al certificado, primero asegúrese de [iniciar el daemon del AWS CloudHSM cliente](key_mgmt_util-setup.md#key_mgmt_util-start-cloudhsm-client). A continuación, utilice import\$1key.exe (que se incluye en CloudHSM 3.0 y versiones posteriores) para asociar la clave privada con el certificado. Cuando especifique el certificado, utilice el nombre simple de contenedor. En el ejemplo siguiente, se muestra el comando y la respuesta. Esta acción solo copia los metadatos de la clave; la clave permanece en el HSM.

```
$> import_key.exe –RSA CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c

Successfully opened Microsoft Software Key Storage Provider : 0NCryptOpenKey failed : 80090016
```

## Paso 4: Actualizar el almacén de certificados
<a name="update-certificate-store"></a>

Asegúrese de que el daemon del AWS CloudHSM cliente sigue ejecutándose. A continuación, utilice el verbo **certutil**, **-repairstore**, para actualizar el número de serie del certificado. En el siguiente ejemplo, se muestra el comando y la salida. Consulte la documentación de Microsoft para obtener información sobre el [verbo **-repairstore**](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc732443(v=ws.11)?redirectedfrom=MSDN#-repairstore).

```
C:\Program Files\Amazon\CloudHSM>certutil -f -csp "Cavium Key Storage Provider"-repairstore my "72000000047f7f7a9d41851b4e000000000004"
my "Personal"
================ Certificate 1 ================
Serial Number: 72000000047f7f7a9d41851b4e000000000004
Issuer: CN=Enterprise-CA
NotBefore: 10/8/2019 11:50 AM
NotAfter: 11/8/2020 12:00 PM
Subject: CN=www.example.com, OU=Certificate Management, O=Information Technology, L=Seattle, S=Washington, C=US
Non-root CertificateCert Hash(sha1): 7f d8 5c 00 27 bf 37 74 3d 71 5b 54 4e c0 94 20 45 75 bc 65       
SDK Version: 3.0 
Key Container = CertReq-39c04db0-6aa9-4310-93db-db0d9669f42c 
Provider = "Cavium Key Storage Provider"
Private key is NOT exportableEncryption test passedCertUtil: -repairstore command completed successfully.
```

Tras actualizar el número de serie del certificado, puede utilizar este certificado y la clave AWS CloudHSM privada correspondiente con cualquier herramienta de firma de terceros en Windows.