PKCS11 密钥生成 - 用户指南¶
密钥生成脚本是为部署者设计的。它允许部署者为其 HSM 设置创建 MKEK 和 HMAC 签名密钥。此脚本旨在用于初始设置或密钥轮换场景。
设置¶
最初,部署者需要检查其 barbican.conf 文件中的“Crypto 插件”设置部分。将这些值设置为您需要的默认值。这将用于脚本和您使用 barbican 的情况。
使用 PKCS11 插件需要以下项目
库路径
登录密码 (HSM 密码)
槽 ID (在 HSM 上)
- 生成 HMAC 和 MKEK 需要提供以下信息
MKEK 标签
MKEK 长度
HMAC 标签
用法¶
查看帮助页面可以了解脚本的结构,并告知您任何更改。
$ pkcs11-key-generation --help
usage: pkcs11-key-generation [-h] [--library-path LIBRARY_PATH]
[--passphrase PASSPHRASE] [--slot-id SLOT_ID]
{mkek,hmac} ...
Barbican MKEK & HMAC Generator
optional arguments:
-h, --help show this help message and exit
--library-path LIBRARY_PATH
Path to vendor PKCS11 library
--passphrase PASSPHRASE
Password to login to PKCS11 session
--slot-id SLOT_ID HSM Slot id (Should correspond to a configured PKCS11
slot)
subcommands:
Action to perform
{mkek,hmac}
mkek Generates a new MKEK.
hmac Generates a new HMAC.
注意: 用户可以将密码作为选项传递,或者省略该标志,并在提交命令时提示输入密码。
生成 MKEK¶
要生成 MKEK,用户必须提供 MKEK 的长度和标签。
$ pkcs11-key-generation --library-path {library_path here}
--passphrase {HSM password here} --slot-id {HSM slot here} mkek --length 32
--label 'HMACLabelHere'
MKEK successfully generated!
生成 HMAC¶
要生成 HMAC,用户必须提供 HMAC 的标签。
$ pkcs11-key-generation --library-path {library_path here}
--passphrase {HSM password here} --slot-id {HSM slot here} hmac
--label 'HMACLabelHere'
HMAC successfully generated!
