平安金融云 - 更懂金融的云

获取导入密钥材料参数

在导入外部密钥材料前，您需要先获取导入密钥材料参数，然后再将密钥材料加密后上传。 背景信息 在为待导入状态的外部密钥进行密钥材料导入前，您需要先获取导入密钥材料的参数。导入密钥材料参数包含一个用于对密钥材料导入前进行加密的公钥，以及一个导入时进行验证的导入令牌。 加密公钥： 导入密钥材料时，不能直接将原始的密钥材料导入，而需要使用在本操作指导中下载的公钥对密钥材料进行加密，然后再上传。KMS收到上传的加密密钥材料时，它会使用对应的私钥进行解密。公钥目前仅支持RSA2048的公钥类型。 导入令牌： 导入密钥材料时，需要上传令牌，获取到的导入密钥材料中导入令牌和加密公钥是具有绑定关系的，导入密钥材料时必须组合使用。 前提条件 已完密钥的创建，请参见<a href="https://www.ocftcloud.com/ssr/help/manage/kms/Guide.Create">创建密钥</a>。且所创建的密钥的密钥材料来源是外部导入。 注意事项 <ul> <li>在密钥材料被删除后，重新导入密钥材料的场景中，也需要执行本步骤。</li> <li>生成的令牌的有效期为24小时，如果您没有在24小时内下载并使用，则需要重新生成并下载。</li> </ul> 操作步骤 1.    登录<a href="https://www.ocftcloud.com/console/kms" target="_blank">密钥管理服务KMS控制台</a>。 2.    在左侧导航栏中，选择密钥列表。 3.    在密钥列表页面，单击处于待导入状态的用户主密钥ID。 4.    在密钥详情页面，单击下方的获取导入密钥材料参数。 <img src="https://obs-cn-shanghai.yun.pingan.com/pacloud/20192507111401-11a9216c93ee.png" style="height:263px; width:600px" /> 5.     在弹出的页面中，选择加密方式。 <img src="https://obs-cn-shanghai.yun.pingan.com/pacloud/20192507111447-19b0017a9e75.png" style="height:240px; width:600px" /> <ul> <li>RSAES_OAEP_SHA_1：具有“SHA-1”哈希函数的最佳非对称加密填充OAEP的RSA加密算法。</li> <li>RSAES_OAEP_SHA_256：具有“SHA-256”哈希函数的最佳非对称加密填充OAEP的RSA加密算法。</li> <li>RSAES_PKCS1_V1_5：PKCS#1 V1.5版本的RSA加密算法。如果您使用的HSM不支持OAEP，则需要使用该加密算法，但该加密算法安全性较低，请谨慎使用。</li> </ul> 6.   完成后，单击下一步。 7.   根据加密算法生成加密公钥，同时生成导入令牌，您需要在弹出的页面及时下载。 <img src="https://obs-cn-shanghai.yun.pingan.com/pacloud/20192507111519-1ae718209ee0.png" style="height:403px; width:600px" /> <img src="https://obs-cn-shanghai.yun.pingan.com/pacloud/20192507111544-180c6e4a978f.png" style="height:26px; margin:0px; width:65px" />导入令牌是具有时效的，有效期为24小时，在有效期内可以重复使用，失效以后需要获取新的导入令牌和公钥。该页面会提示导入令牌过期时间，请一定在此时间之前使用令牌。 8.     单击加密公钥和导入令牌后方的下载按钮，下载加密公钥和导入令牌。 <ul> <li>加密公钥：命名方式为publicKey+用户主密钥ID，例如publicKey_ed523b58-6169-487a-a28f-b3886866ec4a。</li> <li>导入令牌：命名方式为importToken+用户主密钥ID，例如importToken_ed523b58-6169-487a-a28f-b3886866ec4a。</li> </ul> 9.     下载完成后，单击确认。

以上内容是否解决了您的问题？是否