Barbican 服务管理工具¶
描述¶
barbican-manage 是一个用于控制 barbican 密钥管理服务数据库和硬件安全模块 (HSM) 插件设备的工具。用例包括迁移密钥数据库或在 HSM 中生成主密钥加密密钥 (MKEK)。此命令集应仅由具有管理员权限的用户执行。
选项¶
执行 barbican-manage 命令的标准模式是
barbican-manage <类别> <命令> [<参数>]
在不带参数的情况下运行 barbican-manage 会显示可用命令类别的列表。目前,有 2 个受支持的类别:db 和 hsm。
使用类别参数运行会显示该类别中的命令列表
barbican-manage db --helpbarbican-manage hsm --helpbarbican-manage --version显示 barbican 服务的版本号。
以下章节描述了 barbican-manage 可用的类别和参数。
Barbican 数据库¶
警告
在执行 barbican-manage db 命令之前,请确保您熟悉 数据库迁移。
barbican-manage db revision [--db-url] [--message] [--autogenerate]
创建一个新的数据库版本文件。
barbican-manage db upgrade [--db-url] [--version]
升级到未来的数据库版本。
barbican-manage db history [--db-url] [--verbose]
显示数据库变更集历史记录。
barbican-manage db current [--db-url] [--verbose]
显示数据库的当前版本。
barbican-manage db clean [--db-url] [--verbose] [--min-days] [--clean-unassociated-projects] [--soft-delete-expired-secrets] [--log-file]
清理数据库中的软删除。更多文档可以在这里找到:数据库清理
barbican-manage db sync_secret_stores [--db-url] [--verbose] [--log-file]
将 secret_store 数据库表与 barbican.conf 中的配置同步。当启用多个密钥存储并且已启用新的密钥存储时,此操作很有用。
Barbican PKCS11/HSM¶
barbican-manage hsm gen_mkek [--library-path] [--passphrase] [--slot-id] [--label] [--length]
在 HSM 中创建一个新的主密钥加密密钥。此 MKEK 将用于加密所有项目密钥加密密钥。它的标签必须是唯一的。
barbican-manage hsm gen_hmac [--library-path] [--passphrase] [--slot-id] [--label] [--length]
在 HSM 中创建一个新的主 HMAC 密钥。此 HMAC 密钥将用于生成加密项目密钥加密密钥的身份验证标签。它的标签必须是唯一的。
barbican-manage hsm rewrap_pkek [--dry-run]
在 HSM 中轮换到新的 MKEK 和/或 HMAC 密钥后,重新包装项目密钥加密密钥。新的 MKEK 和 HMAC 密钥应已使用上述命令生成。用户必须在 /etc/barbican/barbican.conf 中配置新的 MKEK 和 HMAC 密钥标签,并在执行此命令之前重新启动 barbican 服务器。
