Oracle Cloud Infrastructure - Dokumentation

RSA-OAEP mit AES anwenden, um das Schlüsselmaterial eines asymmetrischen Schlüssels zu wrappen

Erfahren Sie, wie Sie RSA-OAEP mit AES anwenden, um Schlüsselmaterial im OCI Key Management-Service zu wrappen.

CLI verwenden

In diesem Abschnitt wird beschrieben, wie Sie RSA-OAEP mit AES anwenden, um die Befehlsschnittstelle für das Schlüsselmaterial zu wrappen.

Öffnen Sie eine Eingabeaufforderung, und führen Sie die folgenden Befehle aus, um das RSA-Schlüsselmaterial mit RSA-OAEP mit einem temporären AES-Schlüssel zu wrappen. Ersetzen Sie die Beispieldateinamen und -werte nach Bedarf.

  1. Generieren Sie einen temporären AES-Schlüssel:
    openssl rand -out <temporary_AES_key_path> 32
  2. Wrappen Sie den temporären AES-Schlüssel mit dem öffentlichen umschließenden Schlüssel mit RSA-OAEP mit SHA-256:
    openssl pkeyutl -encrypt -in <temporary_AES_key_path> -inkey <vault_public_wrapping_key_path> -pubin -out <wrapped_temporary_AES_key_file> -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256
  3. Hexadezimalwert des temporären AES-Schlüsselmaterials erzeugen:
    
                                    temporary_AES_key_hexdump=$(hexdump -v -e '/1 "%02x"' < ${temporary_AES_key_path})
  4. Wenn der zu importierende RSA-Private Key im PEM-Format vorliegt, konvertieren Sie ihn in DER: 
    ${OpenSSL_path} pkcs8 -topk8 -nocrypt -inform PEM -outform DER -in <your_pem_RSA_private_key_path> -out <your_RSA_private_key_file>
  5. Wrappen Sie Ihren RSA-Private Key mit dem temporären AES-Schlüssel:
    openssl enc -id-aes256-wrap-pad -iv A65959A6 -K $temporary_AES_key_hexdump -in <your_RSA_private_key_file> -out <wrapped_target_key_file>
  6. Erstellen Sie das gewrappte Schlüsselmaterial, indem Sie beide gewrappten Schlüssel verketten: 
    cat <wrapped_temporary_AES_key_file>
                                    <wrapped_target_key_file> > <wrapped_key_material_file>
Hinweis

Wenn Sie den Schlüssel mit der Befehlsschnittstelle importieren, müssen Sie die base64-Codierung auf das umschlossene Schlüsselmaterial anwenden. Nachdem Sie die bas64-Codierung angewendet haben, müssen Sie den Wrapping-Schlüssel importieren. Weitere Informationen finden Sie unter Import. Wenn Sie das Schlüsselmaterial mit der Konsole importieren, können Sie das umschließende Schlüsselmaterial direkt ohne base64-Codierung importieren.

Eine vollständige Liste der Parameter und Werte für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.