准备工作

在使用 UI 管理 EP11 密钥库和密钥之前，请完成以下步骤以打开 Hyper Protect Crypto Services 仪表板:

1. 登录 UI。
2. 转至 菜单 > 资源列表 以查看资源列表。
3. 从 IBM Cloud 资源列表中，选择 Hyper Protect Crypto Services 的供应实例，然后单击实例名称。
4. 创建 EP11 密钥库以存储密钥。 可以 通过 UI UI 或 通过 PKCS #11 API 创建密钥库。

查看 EP11 键

有关支持查看 EP11 密钥的缺省服务访问角色，请参阅 服务访问角色。 如果要创建定制角色，请确保将以下操作分配给定制角色:

• hs-crypto.keystore.listkeystoresbyids
• hs-crypto.keystore.listkeysbyids

有关创建定制角色的指示信息，请参阅 创建定制角色。

在 Hyper Protect Crypto Services 仪表板上，执行以下操作以查看 EP11 密钥详细信息:

1. 要查看已创建的 EP11 键的列表，请选择侧边菜单中的 EP11 键 选项卡。

   将显示 EP11 键表，其中包含以下详细信息。

   表 1. 描述 EP11 密钥表

   属性	描述
   标识	创建密钥时分配的唯一标识。
   名称	便于识别密钥的人类可读别名。 CKA_LABEL 键属性的值显示在此字段中。 密钥名称可能不唯一。 您可以分配多个具有相同名称的密钥。 但是，建议将唯一名称分配给同一密钥库中的每个密钥，以便于识别。
   类	键的类。 可能的值为 Public，Private 和 Secret。 该值由 CKA_CLASS 键属性确定。 公用 指示密钥是非对称密钥对的公用密钥。 专用 指示密钥是非对称密钥对的专用密钥。 密钥 指示密钥是对称密钥。
   版本	密钥的版本号。 首次创建密钥时，将分配 V 0。 每次更新 (例如，使用 C_SetAttributeValue 函数来更新键属性值) 时，版本号会按顺序增加 1。
   密钥库	存储密钥的密钥库的唯一标识。
   Type	在 Hyper Protect Crypto Services中管理的 EP11 密钥的类型。

2. 要查看 键属性 的详细信息，请单击键行的 操作 图标 ，然后选择 显示更多详细信息。

   您还可以通过检查 CKA_CLASS 属性的值来标识公用密钥，专用密钥和对称密钥。CKO_PUBLIC_KEY 指示公用密钥; CKO_PRIVATE_KEY 指示专用密钥; CKO_SECRET_KEY 指示对称密钥。

创建 EP11 密钥

有关支持创建 EP11 密钥的缺省服务访问角色，请参阅 服务访问角色。 如果要创建定制角色，请确保将以下操作分配给定制角色:

• hs-crypto.keystore.listkeystoresbyids
• hs-crypto.keystore.listkeysbyids
• hs-crypto.crypto.generatekey
• hs-crypto.crypto.generatekeypair
• hs-crypto.keystore.storenewkey

有关创建定制角色的指示信息，请参阅 创建定制角色。

完成以下步骤以创建 EP11 密钥:

1. 在侧边菜单中选择 EP11 键 选项卡。 您可以看到现有 EP11 密钥的列表，其中每个密钥都具有唯一标识。

2. 单击创建密钥。 在显示的“创建 EP11 密钥”面板中，完成以下步骤:

   1. 在“标识”页面上指定以下键详细信息:

      表 2. 描述 标识"

      设置	描述
      密钥名称	便于识别密钥的人类可读别名。 密钥名称长度可以是 1-32 个字符。 为保护隐私，请确保密钥名称不包含个人可标识信息 (PII)，例如，姓名或位置。 密钥名称可能不唯一。 您可以分配多个具有相同名称的密钥。 但是，建议将唯一名称分配给同一密钥库中的每个密钥，以便于识别。
      密钥类型	要在 Hyper Protect Crypto Services中管理的 EP11 密钥的类型。
      密钥库	附加了密钥库类型的密钥库的唯一标识。 从列表中选择一个要存储密钥的密钥。 对于非对称密钥对，需要单独指定密钥库以存储公用密钥和专用密钥。 您可以通过单击侧边菜单中的 EP11 密钥库 选项卡来查找所有可用的密钥库。

      缺省情况下，将自动生成两个密钥标识。 一个是针对公钥，另一个是针对私钥。 但是，如果选择对称密钥类型 (例如，AES 密钥，DES 密钥或通用密钥)，那么页面上仅显示一个密钥标识。

   2. 通过执行以下步骤来指定关键属性:

      • 如果要创建非对称密钥，请在“公用密钥属性”和“专用密钥属性”页面上指定密钥属性:

        1. 将列出必需的属性以及缺省值。 要修改属性值，请单击 编辑 图标 。

        2. 要添加更多属性，请根据您所在的页面，单击 添加公用属性 或 添加专用属性。 有关受支持属性的列表，请参阅 受支持属性表 和 椭圆曲线键的受支持曲线名称。

           如果要稍后修改添加的密钥，请添加 CKA_MODIFIABLE 属性并将其设置为 true。

        3. (可选) 您可以通过单击 废纸篓 图标 来删除更多属性。 无法删除必需的属性。

        4. 单击下一步以继续。

      • 如果要创建对称密钥 (例如 AES 密钥，DES 密钥和通用密钥)，请在“密钥属性”页面上指定密钥属性:

        1. 将列出必需的属性以及缺省值。 要修改属性值，请单击 编辑 图标 。
        2. 要添加更多属性，请单击 添加属性。 有关受支持属性的列表，请参阅 受支持属性表。
        3. (可选) 您可以通过单击 废纸篓 图标 来删除更多属性。 无法删除必需的属性。
        4. 单击下一步以继续。

   3. 在“确认”页面上，验证密钥详细信息，然后单击 创建密钥。

      1. 验证显示的密钥详细信息，尤其是密钥类型，密钥库和密钥属性。

         创建密钥后，无法通过 UI 修改所有值。

      2. 单击 创建密钥 以确认创建。

如果要使用 PKCS #11 API 执行加密操作，要将创建的密钥从 UI 装入到 PKCS #11 应用程序，请使用 C_Finalize() 和 C_Initialize() 函数重新初始化 PKCS #11 API。

您已成功创建 EP11 密钥。 创建的密钥将显示为 Enterprise PKCS #11 密钥 表中的第一行。

删除 EP11 密钥

有关支持删除 EP11 密钥的缺省服务访问角色，请参阅 服务访问角色。 如果要创建定制角色，请确保将以下操作分配给定制角色:

• hs-crypto.keystore.listkeystoresbyids
• hs-crypto.keystore.listkeysbyids
• hs-crypto.keystore.deletekey

有关创建定制角色的指示信息，请参阅 创建定制角色。

如果要删除 EP11 密钥，请完成以下步骤:

删除 EP11 密钥后，无法访问与该密钥关联的数据。 无法撤销此操作。

1. 在侧边菜单中选择 EP11 键 选项卡，并在列表中找到要删除的键。
2. 单击密钥行中的 操作 图标 ，然后单击 删除密钥。
3. 验证要删除的密钥的标识，然后选中该框以确认删除。
4. 单击 删除密钥库。

如果要使用 PKCS #11 API 执行加密操作，要删除 PKCS #11 应用程序中的密钥，请使用 C_Finalize() 和 C_Initialize() 函数重新初始化 PKCS #11 API。

下一步

您可以将 EP11 密钥用于 PKCS #11 API 的加密操作。 有关更多信息，请参阅 使用 PKCS #11 API 执行加密操作 和 PKCS #11 API 参考。