创建非对称密钥

本主题介绍了如何创建非对称密钥。如果要创建对称密钥,请参阅创建密钥和密钥环主题。

创建密钥环

密钥环由其位置和名称定义。

console

  1. 转到 GCP Console 中的加密密钥页面。

  2. 点击创建密钥环

  3. 密钥环名称字段中,输入密钥环的名称。

  4. 位置下拉列表中,选择一个位置。

  5. 点击创建

命令行

在位置 [LOCATION] 中创建一个名为 [KEYRING_NAME] 的新密钥环。

gcloud kms keyrings create [KEYRING_NAME] \
  --location [LOCATION]

API

通过调用 KeyRing.create 方法创建密钥环。

创建密钥

必须在密钥环中创建密钥。

console

  1. 转到 GCP Console 中的加密密钥页面。

  2. 点击您要为其创建密钥的密钥环的名称。

  3. 点击创建密钥

  4. 密钥名称字段中,输入密钥的名称。

  5. 点击用途下拉菜单。选择非对称密钥用途,例如 Asymmetric signAsymmetric decrypt。如需了解有关密钥用途的更多信息,请参阅密钥用途

  6. 点击算法下拉列表。选择您的密钥的算法。您可以为将来的密钥版本更改此设置。用途的选择决定了哪些算法可用。例如,如果您的密钥用途是非对称签名,则支持的算法之一是 Elliptic Curve P-256 - SHA256 Digest。如需详细了解非对称密钥算法,请参阅密钥用途和算法

  7. 对于保护级别,选择软件HSM。如需详细了解保护级别,请参阅保护级别
    您的加密密钥页面应如下所示:

    创建非对称密钥

  8. [可选] 如果您要为密钥添加标签,请在标签字段中,点击添加标签

  9. 点击创建

命令行

为密钥环 [KEYRING_NAME] 创建一个新密钥 [KEY_NAME]

要创建非对称密钥,请执行以下操作:

  • --purpose 设置为 asymmetric-signingasymmetric-encryption。如需查看 --purpose 支持的值列表,请参阅 --purpose。如需了解有关一般密钥用途的更多信息,请参阅密钥用途
  • --default-algorithm 设置为您要使用的算法。您可以为将来的密钥版本更改此设置。密钥用途的选择决定了支持哪些算法。例如,如果您的密钥用途是 asymmetric- signing,则支持的算法之一是 ec-sign-p256-sha256。如需查看 --default-algorithm 支持的值列表,请参阅 --default- algorithm。如需了解有关密钥算法的更多信息,请参阅密钥用途和算法
  • --protection-level 设置为 softwarehsm。如需了解有关保护级别的更多信息,请参阅保护级别
gcloud kms keys create [KEY_NAME] \
  --location [LOCATION] \
  --keyring [KEYRING_NAME] \
  --purpose [PURPOSE] \
  --default-algorithm [ALGORITHM] \
  --protection-level [PROTECTION_LEVEL]

API

通过调用 CryptoKey.create 方法创建非对称密钥。

创建非对称密钥时,密钥版本的初始状态为待生成。Cloud KMS 完成生成该密钥版本后,其状态会自动更改为已启用。如需了解有关密钥版本的更多信息,请参阅密钥状态

如果要检索新创建的密钥版本的公钥部分,请按照检索公钥的说明进行操作。

对非对称密钥的访问控制

签名者或验证者需要对非对称密钥具有适当的权限或角色。

  • 对于将执行签名的用户或服务,向非对称密钥授予 cloudkms.cryptoKeyVersions.useToSign 权限。

  • 对于将检索公钥的用户或服务,向非对称密钥授予 cloudkms.cryptoKeyVersions.viewPublicKey 权限。进行签名验证时需要公钥。

如需了解 Cloud KMS 版本中的权限和角色,请参阅权限和角色

后续步骤

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud KMS