Endorsement Keys abrufen

Sie können den öffentlichen Teil des Endorsement Keys (EKPub) von einer Shielded VM-Instanz sowohl für den Verschlüsselungsschlüssel als auch für den Signierschlüssel abrufen. Mit dem Verschlüsselungsschlüssel können Sie Daten verschlüsseln, sodass sie nur vom vTPM gelesen werden können. Sie können auch den Signaturschlüssel verwenden, um die vom vTPM erstellten Signaturen zu überprüfen. Anhand des Schlüssels können Sie außerdem die Identität einer VM-Instanz ermitteln, bevor Sie vertrauliche Informationen an diese senden.

Zum Abrufen von Endorsement Keys benötigen Sie die Berechtigung getShieldedInstanceIdentity.

Endorsement Keys mit dem gcloud-Befehlszeilentool

Verwenden Sie den Befehl gcloud compute instances get-shielded-instance-identity, um den öffentlichen Teil des Endorsement Keys von einer Shielded VM-Instanz abzurufen.

    gcloud compute instances get-shielded-instance-identity [INSTANCE_NAME]

Die zurückgegebenen Ergebnisse sehen in etwa so aus:

encryptionKey:
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
    mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
    X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
    4wIDAQAB
    -----END PUBLIC KEY-----
kind: compute#shieldedVmIdentity
signingKey:
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
    lQIDAQAB
    -----END PUBLIC KEY-----

Endorsement Keys mithilfe der Compute Engine API abrufen

Mit der Compute Engine API können Sie Informationen zum Endorsement Key aufrufen. Weitere Informationen zur Verwendung der API finden Sie in den Anleitungen.

GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]

{
  "signing": {
    "ekCert": [PEM-formatted certificate data]
    "ekPub": [PEM-formatted key]
  }
  "encryption": {
    "ekCert": [PEM-formatted certificate data]
    "ekPub": [PEM-formatted key]
  }
}
Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...