Goedkeuringssleutels ophalen

U kunt het openbare deel van de goedkeuringssleutel (EKPub) ophalen van een afgeschermde VM-instantie, voor zowel de versleutelingssleutel als de ondertekeningsleutel. U kunt de versleutelingssleutel gebruiken om gegevens te versleutelen zodat alleen de vTPM deze kan lezen, of u kunt de ondertekeningsleutel gebruiken om handtekeningen te verifiëren die de vTPM maakt. U kunt de sleutel ook gebruiken om de identiteit van een VM-instantie vast te stellen voordat u gevoelige informatie aan de instantie verzendt.

U moet de machtiging getShieldedInstanceIdentity hebben om een goedkeuringssleutel op te halen.

Goedkeuringssleutels ophalen met de opdrachtregeltool gcloud

Gebruik de opdracht gcloud compute instances get-shielded-instance-identity om het openbare gedeelte van de goedkeuringssleutel op te halen bij een afgeschermde VM-instantie.

    gcloud compute instances get-shielded-instance-identity [INSTANCE_NAME]

De geretourneerde resultaten zien er ongeveer als volgt uit:

encryptionKey:
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
    mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
    X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
    4wIDAQAB
    -----END PUBLIC KEY-----
kind: compute#shieldedVmIdentity
signingKey:
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
    lQIDAQAB
    -----END PUBLIC KEY-----

Goedkeuringssleutels ophalen met de Compute Engine API

U kunt de Compute Engine API gebruiken om informatie over goedkeuringssleutels te bekijken. Zie de handleidingen voor meer informatie over het gebruik van de API.

GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]

{
  "signing": {
    "ekCert": [PEM-formatted certificate data]
    "ekPub": [PEM-formatted key]
  }
  "encryption": {
    "ekCert": [PEM-formatted certificate data]
    "ekPub": [PEM-formatted key]
  }
}