Asymmetrische Schlüssel erstellen

Dieses Thema enthält Informationen zur Erstellung asymmetrischer Schlüssel, die im Betarelease von Cloud Key Management Service unterstützt werden. Informationen zum Erstellen symmetrischer Schlüssel finden Sie im Thema Schlüssel und Schlüsselbunde erstellen, das für den allgemein verfügbaren Cloud KMS-Release gilt.

Schlüsselbund erstellen

Ein Schlüsselbund wird durch seine Zone und seinen Namen definiert.

Konsole

  1. Rufen Sie in der GCP Console die Seite Kryptografische Schlüssel auf.

  2. Klicken Sie auf Schlüsselbund erstellen.

  3. Geben Sie im Feld Schlüsselbundname einen Namen für den Schlüsselbund ein.

  4. Wählen Sie in der Drop-down-Liste Zone eine Zone aus.

  5. Klicken Sie auf Erstellen.

Befehlszeile

Erstellen Sie einen neuen Schlüsselbund mit dem Namen [KEYRING_NAME] in der Zone [LOCATION].

gcloud kms keyrings create [KEYRING_NAME] \
  --location [LOCATION]

API

Rufen Sie die Methode KeyRing.create auf, um einen Schlüsselbund zu erstellen.

Schlüssel erstellen

Ein Schlüssel muss in einem Schlüsselbund erstellt werden.

Console

  1. Rufen Sie in der GCP Console die Seite Kryptografische Schlüssel auf.

  2. Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen möchten.

  3. Klicken Sie auf Schlüssel erstellen.

  4. Geben Sie im Feld Schlüsselname einen Namen für den Schlüssel ein.

  5. Klicken Sie auf das Drop-down-Menü Zweck. Wählen Sie einen asymmetrischen Schlüsselzweck aus, z. B. Asymmetrisches Signieren oder Asymmetrische Entschlüsselung. Weitere Informationen finden Sie unter Schlüsselzwecke.

  6. Klicken Sie auf das Drop-down-Menü Algorithmus. Wählen Sie den gewünschten Algorithmus für den Schlüssel aus. Sie können diese Einstellung für zukünftige Schlüsselversionen ändern. Durch die Wahl des Zwecks wird bestimmt, welche Algorithmen zur Verfügung stehen. Wenn Ihr Schlüsselzweck z. B. Asymmetrisches Signieren ist, wird unter anderem der Algorithmus Elliptische Kurve P-256 – SHA256-Digest unterstützt. Weitere Informationen zu Algorithmen für asymmetrische Schlüssel finden Sie unter Schlüsselzwecke und Algorithmen.

  7. Wählen Sie für Schutzniveau entweder Software oder HSM aus. Weitere Informationen finden Sie unter Schutzniveaus.
    Die Seite Kryptografische Schlüssel sollte etwa so aussehen:

    Asymmetrischen Schlüssel erstellen

  8. [Optional] Klicken Sie im Feld Labels auf Label hinzufügen, wenn Sie Ihren Schlüssel mit Labels versehen möchten.

  9. Klicken Sie auf Erstellen.

Befehlszeile

Erstellen Sie einen neuen Schlüssel [KEY_NAME] für den Schlüsselbund [KEYRING_NAME].

So erstellen Sie einen asymmetrischen Schlüssel:

  • Geben Sie für --purpose entweder asymmetric-signing oder asymmetric-encryption an. Weitere Informationen finden Sie unter Schlüsselzwecke.
  • Geben Sie für --default-algorithm den Algorithmus an, den Sie verwenden möchten. Sie können diese Einstellung für zukünftige Schlüsselversionen ändern. Durch die Wahl des Schlüsselzwecks wird bestimmt, welche Algorithmen unterstützt werden. Wenn Ihr Schlüsselzweck z. B. asymmetric-signing lautet, wird unter anderem der Algorithmus ec-sign-p256-sha256 unterstützt. Eine Liste der unterstützten Werte für --default-algorithm finden Sie unter --default-algorithm. Weitere Informationen zu Algorithmen für einen Schlüssel finden Sie unter Schlüsselzwecke und Algorithmen.
  • Wählen Sie für --protection-level entweder software oder hsm. Weitere Informationen finden Sie unter Schutzniveaus.
gcloud alpha kms keys create [KEY_NAME] \
  --location [LOCATION] \
  --keyring [KEYRING_NAME] \
  --purpose [PURPOSE] \
  --default-algorithm [ALGORITHM] \
  --protection-level [PROTECTION_LEVEL]

API

Rufen Sie die Methode CryptoKey.create auf, um einen asymmetrischen Schlüssel zu erstellen.

Wenn Sie einen asymmetrischen Schlüssel erstellen, lautet der Ausgangsstatus für die Schlüsselversion "Generierung ausstehend". Wenn der Vorgang in Cloud KMS abgeschlossen ist, ändert sich der Status der Schlüsselversion automatisch in "Aktiviert". Weitere Informationen zu wichtigen Versionsstatus finden Sie unter Schlüsselstatus.

Zum Abrufen des öffentlichen Schlüsselabschnitts der neu erstellten Schlüsselversion können Sie die Anleitung unter Öffentlichen Schlüssel abrufen verwenden.

Steuerung des Zugriffs auf asymmetrische Schlüssel

Zur Signierung oder Signaturprüfung ist für den asymmetrischen Schlüssel die entsprechende Berechtigung oder Rolle erforderlich.

  • Gewähren Sie einem Nutzer oder Dienst, der für den Signiervorgang zuständig ist, die Berechtigung cloudkms.cryptoKeyVersions.useToSign für den asymmetrischen Schlüssel.

  • Gewähren Sie einem Nutzer oder Dienst, von dem der öffentliche Schlüssel abgerufen wird, die Berechtigung cloudkms.cryptoKeyVersions.viewPublicKey für den asymmetrischen Schlüssel. Der öffentliche Schlüssel wird zur Signaturprüfung benötigt.

Weitere Informationen zu Berechtigungen und Rollen im Cloud KMS-Release finden Sie unter Berechtigungen und Rollen.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Cloud KMS-Dokumentation