3.4. 轮转 MKEK 和 HMAC 密钥

您可以使用 director 更新来轮转 MKEK 和 HMAC 密钥。

注意

由于 Barbican 中的限制，MKEK 和 HMAC 具有相同的密钥类型。

流程

更改 MKEK 和 HMAC 密钥上的标签，例如，如果您的标签与以下类似：

        BarbicanPkcs11CryptoMKEKLabel: 'barbican_mkek_10'
        BarbicanPkcs11CryptoHMACLabel: 'barbican_hmac_10'

        BarbicanPkcs11CryptoMKEKLabel: 'barbican_mkek_10'
        BarbicanPkcs11CryptoHMACLabel: 'barbican_hmac_10'

Copy to Clipboard

Toggle word wrap

您可以通过递增值来更改标签：

        BarbicanPkcs11CryptoMKEKLabel: 'barbican_mkek_11'
        BarbicanPkcs11CryptoHMACLabel: 'barbican_hmac_11'

        BarbicanPkcs11CryptoMKEKLabel: 'barbican_mkek_11'
        BarbicanPkcs11CryptoHMACLabel: 'barbican_hmac_11'

Copy to Clipboard

Toggle word wrap

注意

不要更改 HMAC 密钥类型。

使用 director 重新部署以更新。director 检查为 MKEK 和 HMAC 标记的密钥是否存在，然后创建它们。另外，如果 BarbicanPkcs11CryptoRewrapKeys 参数设置为 True，director 会调用 barbican-manage hsm pkek_rewrap 来重新打包所有现有 pKEK。

返回顶部