Der AO führt Signier- und Prüfvorgänge über Google Distributed Cloud (GDC) aus, die über einen gRPC-Client vom KMS getrennt sind.
Hinweise
Bitten Sie Ihren IAM-Administrator der Organisation, Ihnen die Rolle „KMS Developer“ (kms-developer) in Ihrem Projekt-Namespace zuzuweisen, um die erforderlichen Berechtigungen zum Signieren von Daten zu erhalten.
Daten signieren
Verwenden Sie den Befehl gdcloud kms keys asymmetric-sign, um Daten zu signieren. Mit diesem Befehl wird eine digitale Signatur einer Eingabedatei mit dem Signing-Schlüssel erstellt und die base64-codierte Signatur gespeichert.
Um Ihre Daten zu signieren, übergeben Sie den Schlüsselnamen und Folgendes:
gdcloud kms keys asymmetric-sign \ namespaces/NAMESPACE/signingKeys/KEY_NAME \ --input-file=INPUT_PATH \ --signature-file=SIGNATURE_FILEErsetzen Sie die folgenden Variablen:
- NAMESPACE: der Projekt-Namespace, z. B.
kms-test1. - KEY_NAME: der Name des Schlüssels, der zum Signieren verwendet wird, z. B.
key-1. - INPUT_PATH: Der Pfad der Eingabedatei, die signiert werden soll.
- SIGNATURE_FILE: Der Pfad der Ausgabedatei, in der die base64-codierte Signatur gespeichert werden soll.
Nach der Ausführung des Befehls wird eine Ausgabedatei angezeigt, die Sie im Flag
--signature-fileangegeben haben und die die base64-codierte Signatur enthält.- NAMESPACE: der Projekt-Namespace, z. B.
Daten überprüfen
Nachdem Sie Ihre Daten signiert haben, überprüfen Sie die base64-digitale Signatur mit dem Befehl gdcloud kms keys asymmetric-verify. Mit diesem Befehl wird geprüft, ob die base64-codierte digitale Signatur, die Sie nach Ausführung des Befehls gdcloud kms keys asymmetric-sign erhalten, gültig ist.
Um die Signatur zu prüfen, übergeben Sie die Signaturdatei und Folgendes:
gdcloud kms keys asymmetric-verify \ namespaces/NAMESPACE/signingKeys/KEY_NAME \ --input-file=INPUT_PATH \ --signature-file=SIGNATURE_FILENach der Ausführung des Befehls wird bei Erfolg die Ausgabe
Verification OKangezeigt. Wenn nicht, wird die FehlerausgabeVerification Failureangezeigt.