OpenSSL für manuelles Key-Wrapping konfigurieren

Bevor Sie einen Schlüssel in Cloud KMS importieren können, muss er mit dem CKM_RSA_AES_KEY_WRAP-Schema PKCS#11 verpackt werden, das sowohl RSA-OAEP (standardmäßig in OpenSSL 1.1 enthalten) als auch AES-Key-Wrap mit Padding (nicht enthalten) umfasst. Dieser Mechanismus ist in OpenSSL nicht enthalten.

Wir empfehlen, die Google Cloud CLI zu verwenden, um während des Imports jeden Schlüssel automatisch zu verpacken. Wenn Sie Ihre Schlüssel aufgrund von Compliance- oder behördlichen Anforderungen manuell verpacken müssen, müssen Sie OpenSSL erst neu kompilieren, um eine Unterstützung für AES Key Wrap mit Padding hinzuzufügen. Nach dem erneuten Kompilieren von OpenSSL können Sie den Schlüssel manuell verpacken.

Hinweise

Überschreiben Sie die integrierten OpenSSL-Binärdateien Ihres Systems nicht mit den gepatchten Binärdateien, die mithilfe der in diesem Thema beschriebenen Verfahren erstellt wurden. Installieren Sie beispielsweise die gepatchte OpenSSL nicht direkt in /usr. Wenn Sie dieses Verfahren genau befolgen, ist die gepatchte OpenSSL in $HOME/build integriert und wird in $HOME/local/bin installiert.

Wenn ${HOME}/local/bin bereits vorhanden ist, sichern Sie den Inhalt oder verschieben Sie diese Dateien an eine andere Stelle, bevor Sie die Schritte in diesem Thema ausführen.

OpenSSL v1.1.0 patchen und installieren

Wenn Sie OpenSSL verwenden, um Ihre Schlüssel manuell zu verpacken, bevor Sie sie in Cloud KMS importieren, ist OpenSSL v1.1.0 mit dem folgenden Patch erforderlich. Sie müssen OpenSSL kompilieren und an einem anderen Speicherort als der OpenSSL-Standardinstallation Ihres Systems installieren.

  1. Laden Sie den Quellcode für OpenSSL 1.1.0l von https://www.openssl.org/source herunter. Dies ist die neueste Version der Codezeile 1.1.0. Verwenden Sie in diesem Verfahren keine neuere Version von OpenSSL, z. B. v1.1.1. Der Patch wird nicht angewendet.

  2. Extrahieren Sie das Archiv mit dem folgenden Befehl in ${HOME}/build/openssl/. Dieser Befehl überschreibt das Standardverzeichnis, das die Version von OpenSSL enthält und sich häufig ändert. Ersetzen Sie /path/to/downloaded-openssl.tar.gz durch den Pfad zum heruntergeladenen .tar.gz-Archiv.

    # Create the directory for the eventual OpenSSL binaries
    mkdir -p ${HOME}/local/ssl
    
    # Create the build directory
    mkdir -p ${HOME}/build/openssl
    
    # Extract the archive to ${HOME}/build/openssl
    tar xzvf /path/to/downloaded-openssl.tar.gz \
      -C ${HOME}/build/openssl/ \
      --strip-components 1
    
  3. Wenden Sie mit den folgenden Befehlen einen benutzerdefinierten Patch auf die extrahierte OpenSSL-Quelle an. Der Patch aktiviert das Flag EVP_CIPHER_CTX_FLAG_WRAP_ALLOW.

    cd ${HOME}/build
    cat <<-EOF | patch -d . -p0
    --- orig/openssl/apps/enc.c 2020-01-17 14:39:54.991708785 -0500
    +++ openssl/apps/enc.c  2020-01-17 14:41:33.215704269 -0500
    @@ -482,6 +482,7 @@
              */
    
             BIO_get_cipher_ctx(benc, &ctx);
    +   EVP_CIPHER_CTX_set_flags(ctx, EVP_CIPHER_CTX_FLAG_WRAP_ALLOW);
    
             if (!EVP_CipherInit_ex(ctx, cipher, NULL, NULL, NULL, enc)) {
                 BIO_printf(bio_err, "Error setting cipher %s\n",
    EOF
    

  4. Führen Sie die folgenden Befehle aus, um die OpenSSL-Binärdateien und -Bibliotheken aus der gepatchten Quelle zu erstellen, den Build auf Gültigkeit zu testen und die Binärdateien und Bibliotheken in das Verzeichnis ${HOME}/local zu installieren.

    CPUS=$(getconf _NPROCESSORS_ONLN)
    cd ${HOME}/build/openssl
    ./config --prefix=${HOME}/local --openssldir=${HOME}/local/ssl
    make -j${CPUS}
    make test
    make install
    

    Sie sollten die Flags --prefix oder --openssldir nicht weglassen oder ändern, damit Sie die OpenSSL-Installation des Systems nicht überschreiben.

  5. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die neue OpenSSL-Binärdatei erfolgreich installiert wurde:

    test -x ${HOME}/local/bin/openssl || echo FAIL
    

    Wenn die Binärdateien korrekt installiert sind, sollte keine Ausgabe angezeigt werden. Wenn FAIL angezeigt wird, überprüfen Sie die Ausgabe der Befehle make, make test und make install, die Sie zuvor ausgeführt haben.

  6. Die gepatchten OpenSSL-Binärdateien werden dynamisch mit den OpenSSL-Bibliotheken in ${HOME}/local/ssl/lib/ verknüpft, aber der ld-Befehl indexiert diese Bibliotheken nicht standardmäßig. Führen Sie die folgenden Befehle aus, um ein Verpackungs-Skript zu erstellen, das die gepatchten Bibliotheken zu ${LD_LIBRARY_PATH} hinzufügt, bevor die CLI für das gepatchte OpenSSL aufgerufen wird.

    cat > ${HOME}/local/bin/openssl.sh <<-EOF
    #!/bin/bash
    env LD_LIBRARY_PATH=${HOME}/local/lib/ ${HOME}/local/bin/openssl "\$@"
    EOF
    chmod u+x ${HOME}/local/bin/openssl.sh
    

  7. Überprüfen Sie, ob die Version von OpenSSL, die das Skript startet, die von Ihnen gerade erstellte und installierte Version ist. Verwenden Sie dazu den folgenden Befehl:

    ${HOME}/local/bin/openssl.sh version
    

Sie können jetzt das ${HOME}/local/bin/openssl.sh-Verpackungs-Skript aufrufen, um Schlüssel für den Import manuell zu verpacken.