文件系统密钥库

使用此页面设置将文件系统作为持久化密钥存储的 KES 服务器。

1. 生成 KES 服务器私钥和证书

   为 KES 服务器生成 TLS 私钥和证书。

   KES服务器是默认安全并且只能通过 TLS 运行。 在本指南中，为简化操作，我们使用自签名证书。

   以下命令生成一个新的 TLS 私钥（private.key) 和一个自签名的 X.509 证书 (public.crt) 为该 IP 地址签发127.0.0.1和 DNS 名称localhost:

   $ kes identity new --ip "127.0.0.1" localhost
   
     Private key:  private.key
     Certificate:  public.crt
     Identity:     2e897f99a779cf5dd147e58de0fe55a494f546f4dcae8bc9e5426d2b5cd35680
   

2. 生成客户端凭据

   客户端应用程序需要凭据才能访问 KES 服务器。 以下命令生成新的 TLS 私钥/公钥对：

   $ kes identity new --key=client.key --cert=client.crt MyApp
   
     Private key:  client.key
     Certificate:  client.crt
     Identity:     02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b
   

   身份02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b是公钥的唯一指纹client.crt您可以随时重新计算指纹：

   $ kes identity of client.crt
   
     Identity:  02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b
   

3. 配置 KES 服务器

   创建 KES 服务器配置文件：config.yml确保身份在policysection 与您的匹配client.crt身份。

   address: 0.0.0.0:7373 # Listen on all network interfaces on port 7373
   
   admin:
     identity: disabled  # We disable the admin identity since we don't need it in this guide 
   
   tls:
     key: private.key    # The KES server TLS private key
     cert: public.crt    # The KES server TLS certificate
   
   policy:
     my-app: 
       allow:
       - /v1/key/create/my-key*
       - /v1/key/generate/my-key*
       - /v1/key/decrypt/my-key*
       identities:
       - 02ef5321ca409dbc7b10e7e8ee44d1c3b91e4bf6e2198befdebee6312745267b # Use the identity of your client.crt
   
   keystore:
     fs:
       path: ./keys # Choose a directory for the secret keys
   

4. 启动 KES 服务器

   kes server --config config.yml --auth off
   

   Linux Swap Protection

   在 Linux 环境中，KES 可以使用mlocksyscall 防止操作系统将内存中的数据写入磁盘（交换）。 这可以防止敏感数据泄露。

   使用以下命令允许 KES 使用mlock未以运行权限进行的系统调用rootprivileges:

   sudo setcap cap_ipc_lock=+ep $(readlink -f $(which kes))
   

   启动一个具有内存保护功能的 KES 服务器实例：

   kes server --config config.yml --auth off --mlock
   

1. SetKES_SERVER端点

   此变量告知 KES CLI 要访问哪个 KES 服务器。

   export KES_SERVER=https://127.0.0.1:7373
   

2. 使用客户端凭据

   这些变量告诉 KES CLI 使用哪些凭据来访问 KES 服务器。

   export KES_CLIENT_CERT=client.crt
   

   export KES_CLIENT_KEY=client.key
   

3. 执行操作

   执行基于已分配策略允许的任何API操作。

   当在本地运行KES进行测试时，请使用-k or --insecure生成新密钥或数据加密密钥的标志

   例如我们可以创建一个密钥：

   kes key create my-key-1 -k
   

   然后，我们可以使用该密钥生成新的数据加密密钥：

   kes key dek my-key-1 -k
   {
     plaintext : UGgcVBgyQYwxKzve7UJNV5x8aTiPJFoR+s828reNjh0=
     ciphertext: eyJhZWFkIjoiQUVTLTI1Ni1HQ00tSE1BQy1TSEEtMjU2IiwiaWQiOiIxMTc1ZjJjNDMyMjNjNjNmNjY1MDk5ZDExNmU3Yzc4NCIsIml2IjoiVHBtbHpWTDh5a2t4VVREV1RSTU5Tdz09Iiwibm9uY2UiOiJkeGl0R3A3bFB6S21rTE5HIiwiYnl0ZXMiOiJaaWdobEZrTUFuVVBWSG0wZDhSYUNBY3pnRWRsQzJqWFhCK1YxaWl2MXdnYjhBRytuTWx0Y3BGK0RtV1VoNkZaIn0=
   }
   

• Server API 文档
• Go SDK 文档