import_keyユーティリティを使用したキーと証明書の関連付け

import_keyユーティリティを使用して、キーを証明書に関連付ける方法を学習します。

Microsoft SignToolなどのサードパーティ製ツールで専用KMSツールを使用するには、キーのメタデータを専用KMSキー・ストアにインポートし、証明書に関連付ける必要があります。このトピックでは、import_key.exeユーティリティを使用してキーを移行する方法について説明します。

次の手順では、鍵を別のKSPからDedicated KMS Cavium KSPに移動する方法を説明します(この例では、鍵は MicrosoftのKSPからDKMSに移動しています)。

このタスクを開始する前に、OCI Dedicated KMS serviceがローカル・マシンで実行されていることを確認します。

  1. 次のコマンドを使用して、証明書の詳細を取得します: certutil -store <CertificateStoreName>

    次の文字列値をメモします。

    • シリアル番号
    • 一意のコンテナ名
    • プロバイダ

    たとえば:

    C:\Windows\system32>certutil -store my
    my "example"
    ================ Certificate 1 ================
    Serial Number: 1234a12a1a123a123a1a1a1a123456ca
    Issuer: CN=cesa-DKMS-WINDOWS-VM-CA
     NotBefore: 7/3/2029 11:31 PM
     NotAfter: 7/3/2034 11:41 PM
    Subject: CN=cesa-DKMS-WINDOWS-VM-CA
    CA Version: V0.0
    Signature matches Public Key
    Root Certificate: Subject matches Issuer
    Cert Hash(sha1): a123a1234a12ab1a12a12abc123456a12a1ab123
      Key Container = cesa-DKMS-WINDOWS-VM-CA
      Unique container name: xyz1234a1ab1234aa1a123a1234a12a1a_1a1a123a-ab12-1a12-1abc-1a123abc1xyz
      Provider = Microsoft Software Key Storage Provider
    Signature test passed
    CertUtil: -store command completed successfully.
    
  2. import_key.exe -from MSKSP -RSA <Unique_container_name>コマンドを使用して、キーを証明書に関連付けます。前のステップでコマンドの出力から一意のコンテナ名の値を使用します。
    たとえば:
    C:\Program Files\Oracle\DedicatedKms>import_key.exe -from MSKSP -RSA xyz123a1ab1234aa1a123a1234a12a1a_1a1a123a-ab12-1a12-1abc-1a123abc1xyz
    Successfully imported the key to Cavium Key Storage Provider.
    
    C:\Program Files\Oracle\DedicatedKms>certutil -csp "Cavium Key Storage Provider" -key
    Cavium Key Storage Provider:
    xyz1234a1ab1234aa1a123a1234a12a1a_1a1a123a-ab12-1a12-1abc-1a123abc1xyz
    RSA
    
  3. 証明書ストアを更新します。このコマンドでは、最初のステップの「シリアル番号」の値が使用されます。
    たとえば:
    C:\Program Files\Oracle\DedicatedKms>certutil -f -csp "Cavium Key Storage Provider" -repairstore my "1234a12a1a123a123a1a1a1a123456ca"
    my "example"
    
    
  4. certutil -storeコマンドを実行して、プロバイダ名を確認します。このコマンドでは、「シリアル番号」の値が使用されます。「プロバイダ」の値がCavium Key Storage Providerになりました。
    たとえば:
    C:\Program Files\Oracle\DedicatedKms>certutil -f -csp "Cavium Key Storage Provider" -repairstore my "1234a12a1a123a123a1a1a1a123456ca"
    my "example"
    
    ================ Certificate 1 ================
    Serial Number: 1234a12a1a123a123a1a1a1a123456ca
    Issuer: CN=cesa-DKMS-WINDOWS-VM-CA
    NotBefore: 7/3/2024 11:31 PM
    NotAfter: 7/3/2029 11:41 PM
    Subject: CN=cesa-DKMS-WINDOWS-VM-CA
    CA Version: V0.0
    Signature matches Public Key
    Root Certificate: Subject matches Issuer
    Cert Hash(sha1): a123a1234a12ab1a12a12abc123456a12a1ab123
    Key Container = xyz1234a1ab1234aa1a123a1234a12a1a_1a1a123a-ab12-1a12-1abc-1a123abc1xyz
    Provider = Cavium Key Storage Provider
    Private key is NOT exportable
    Encryption test passed
    CertUtil: -store command completed successfully.