import_keyユーティリティを使用したキーと証明書の関連付け
import_keyユーティリティを使用して、キーを証明書に関連付ける方法を学習します。
Microsoft SignToolなどのサードパーティ製ツールで専用KMSツールを使用するには、キーのメタデータを専用KMSキー・ストアにインポートし、証明書に関連付ける必要があります。このトピックでは、import_key.exe
ユーティリティを使用してキーを移行する方法について説明します。
次の手順では、鍵を別のKSPからDedicated KMS Cavium KSPに移動する方法を説明します(この例では、鍵は MicrosoftのKSPからDKMSに移動しています)。
このタスクを開始する前に、OCI Dedicated KMS service
がローカル・マシンで実行されていることを確認します。
-
次のコマンドを使用して、証明書の詳細を取得します:
certutil -store <CertificateStoreName>
次の文字列値をメモします。
- シリアル番号
- 一意のコンテナ名
- プロバイダ
たとえば:
C:\Windows\system32>certutil -store my my "example" ================ Certificate 1 ================ Serial Number: 1234a12a1a123a123a1a1a1a123456ca Issuer: CN=cesa-DKMS-WINDOWS-VM-CA NotBefore: 7/3/2029 11:31 PM NotAfter: 7/3/2034 11:41 PM Subject: CN=cesa-DKMS-WINDOWS-VM-CA CA Version: V0.0 Signature matches Public Key Root Certificate: Subject matches Issuer Cert Hash(sha1): a123a1234a12ab1a12a12abc123456a12a1ab123 Key Container = cesa-DKMS-WINDOWS-VM-CA Unique container name: xyz1234a1ab1234aa1a123a1234a12a1a_1a1a123a-ab12-1a12-1abc-1a123abc1xyz Provider = Microsoft Software Key Storage Provider Signature test passed CertUtil: -store command completed successfully.
-
import_key.exe -from MSKSP -RSA <Unique_container_name>
コマンドを使用して、キーを証明書に関連付けます。前のステップでコマンドの出力から一意のコンテナ名の値を使用します。たとえば:C:\Program Files\Oracle\DedicatedKms>import_key.exe -from MSKSP -RSA xyz123a1ab1234aa1a123a1234a12a1a_1a1a123a-ab12-1a12-1abc-1a123abc1xyz Successfully imported the key to Cavium Key Storage Provider. C:\Program Files\Oracle\DedicatedKms>certutil -csp "Cavium Key Storage Provider" -key Cavium Key Storage Provider: xyz1234a1ab1234aa1a123a1234a12a1a_1a1a123a-ab12-1a12-1abc-1a123abc1xyz RSA
-
証明書ストアを更新します。このコマンドでは、最初のステップの「シリアル番号」の値が使用されます。
たとえば:
C:\Program Files\Oracle\DedicatedKms>certutil -f -csp "Cavium Key Storage Provider" -repairstore my "1234a12a1a123a123a1a1a1a123456ca" my "example"
-
certutil -store
コマンドを実行して、プロバイダ名を確認します。このコマンドでは、「シリアル番号」の値が使用されます。「プロバイダ」の値がCavium Key Storage Providerになりました。たとえば:C:\Program Files\Oracle\DedicatedKms>certutil -f -csp "Cavium Key Storage Provider" -repairstore my "1234a12a1a123a123a1a1a1a123456ca" my "example" ================ Certificate 1 ================ Serial Number: 1234a12a1a123a123a1a1a1a123456ca Issuer: CN=cesa-DKMS-WINDOWS-VM-CA NotBefore: 7/3/2024 11:31 PM NotAfter: 7/3/2029 11:41 PM Subject: CN=cesa-DKMS-WINDOWS-VM-CA CA Version: V0.0 Signature matches Public Key Root Certificate: Subject matches Issuer Cert Hash(sha1): a123a1234a12ab1a12a12abc123456a12a1ab123 Key Container = xyz1234a1ab1234aa1a123a1234a12a1a_1a1a123a-ab12-1a12-1abc-1a123abc1xyz Provider = Cavium Key Storage Provider Private key is NOT exportable Encryption test passed CertUtil: -store command completed successfully.