Asymmetrische Schlüssel erstellen

Dieses Thema enthält Informationen zum Erstellen asymmetrischer Schlüssel. Angaben zum Erstellen symmetrischer Schlüssel finden Sie im Thema Schlüsselbunde und Schlüssel erstellen.

Schlüsselbund erstellen

Ein Schlüsselbund wird durch seine Zone und seinen Namen definiert.

Console

  1. Rufen Sie in der Cloud Console die Seite Cryptographic Keys (Kryptografische Schlüssel) auf.

  2. Klicken Sie auf KeyRing erstellen.

  3. Geben Sie im Feld Schlüsselbundname einen Namen für den Schlüsselbund ein.

  4. Wählen Sie in der Drop-down-Liste Zone eine Zone aus.

  5. Klicken Sie auf Erstellen.

Befehlszeile

Erstellen Sie einen neuen Schlüsselbund mit dem Namen keyring-name in der Zone location.

gcloud kms keyrings create keyring-name \
  --location location

API

Rufen Sie die Methode KeyRing.create auf, um einen Schlüsselbund zu erstellen.

Schlüssel erstellen

Ein Schlüssel muss in einem Schlüsselbund erstellt werden.

Console

  1. Rufen Sie in der Cloud Console die Seite Cryptographic Keys (Kryptografische Schlüssel) auf.

  2. Klicken Sie auf den Namen des Schlüsselbunds, für den Sie einen Schlüssel erstellen.

  3. Klicken Sie auf Schlüssel erstellen.

  4. Geben Sie im Feld Schlüsselname einen Namen für den Schlüssel ein.

  5. Klicken Sie auf das Drop-down-Menü Zweck. Wählen Sie einen asymmetrischen Schlüsselzweck aus, z. B. Asymmetric sign (Asymmetrisches Signieren) oder Asymmetric decrypt (Asymmetrische Entschlüsselung). Weitere Informationen finden Sie unter Schlüsselzwecke.

  6. Klicken Sie auf das Drop-down-Menü Algorithmus. Wählen Sie den gewünschten Algorithmus für den Schlüssel aus. Sie können diese Einstellung für zukünftige Schlüsselversionen ändern. Durch die Wahl des Purpose (Zweck) wird bestimmt, welche Algorithmen zur Verfügung stehen. Wenn der Schlüsselzweck z. B. Asymmetric sign (Asymmetrisches Signieren) ist, wird unter anderem der Algorithmus Elliptic Curve P-256 – SHA256 Digest (Elliptische Kurve P-256 – SHA256-Digest) unterstützt. Weitere Informationen zu Algorithmen für asymmetrische Schlüssel finden Sie unter Schlüsselzwecke und Algorithmen.

  7. Wählen Sie als Protection level (Schutzniveau) entweder Software oder HSM aus. Weitere Informationen finden Sie unter Schutzniveaus.
    Die Seite Cryptographic Keys (Kryptografische Schlüssel) sollte etwa so aussehen:

    Asymmetrischen Schlüssel erstellen

  8. [Optional] Klicken Sie im Feld Labels auf Label hinzufügen, wenn Sie Ihren Schlüssel mit Labels versehen möchten.

  9. Klicken Sie auf Erstellen.

Befehlszeile

Erstellen Sie für den Schlüsselbund keyring-name einen neuen Schlüssel namens key-name.

So erstellen Sie einen asymmetrischen Schlüssel:

  • Legen Sie --purpose auf asymmetric-signing oder asymmetric-encryption fest. Die Liste der unterstützten Werte für --purpose finden Sie unter --purpose. Weitere allgemeine Informationen zu Schlüsselzwecken finden Sie unter Schlüsselzwecke.
  • Setzen Sie --default-algorithm auf den Algorithmus, den Sie verwenden möchten. Sie können diese Einstellung für zukünftige Schlüsselversionen ändern. Durch die Wahl des Schlüsselzwecks wird bestimmt, welche Algorithmen unterstützt werden. Wenn Ihr Schlüsselzweck z. B. asymmetric- signing lautet, wird unter anderem der Algorithmus ec-sign-p256-sha256 unterstützt. Die Liste der unterstützten Werte für --default-algorithm finden Sie unter --default- algorithm. Weitere Informationen zu Algorithmen für einen Schlüssel finden Sie unter Schlüsselzwecke und Algorithmen.
  • Legen Sie --protection-level auf software oder hsm fest. Weitere Informationen finden Sie unter Schutzniveaus.
gcloud kms keys create key-name \
  --location location \
  --keyring keyring-name  \
  --purpose purpose \
  --default-algorithm algorithm \
  --protection-level protection-level

API

Rufen Sie die Methode CryptoKey.create auf, um einen asymmetrischen Schlüssel zu erstellen.

Wenn Sie einen asymmetrischen Schlüssel erstellen, lautet der Ausgangsstatus für die Schlüsselversion "Generierung ausstehend". Wenn Cloud Key Management Service die Schlüsselversion generiert hat, ändert sich deren Status automatisch in "Aktiviert". Weitere Informationen zu wichtigen Versionsstatus finden Sie unter Schlüsselstatus.

Zum Abrufen des öffentlichen Schlüsselabschnitts der neu erstellten Schlüsselversion können Sie die Anleitung unter Öffentlichen Schlüssel abrufen verwenden.

Steuerung des Zugriffs auf asymmetrische Schlüssel

Zur Signierung oder Signaturprüfung ist für den asymmetrischen Schlüssel die entsprechende Berechtigung oder Rolle erforderlich.

  • Gewähren Sie einem Nutzer oder Dienst, der für den Signiervorgang zuständig ist, die Berechtigung cloudkms.cryptoKeyVersions.useToSign für den asymmetrischen Schlüssel.

  • Gewähren Sie einem Nutzer oder Dienst, von dem der öffentliche Schlüssel abgerufen wird, die Berechtigung cloudkms.cryptoKeyVersions.viewPublicKey für den asymmetrischen Schlüssel. Der öffentliche Schlüssel wird zur Signaturprüfung benötigt.

Weitere Informationen zu Berechtigungen und Rollen im Cloud KMS-Release finden Sie unter Berechtigungen und Rollen.

Weitere Informationen