Управление ключевыми парами электронной подписи
С помощью Key Management Service вы можете создавать, изменять и удалять ключевые пары электронной подписи.
Создать ключевую пару электронной подписи
Чтобы создать новую ключевую пару электронной подписи:
- В консоли управления
выберите каталог, в котором будет создана ключевая пара. - В списке сервисов выберите Key Management Service.
- На панели слева выберите Асимметричные ключи.
- В правом верхнем углу нажмите кнопку Создать ключ. В открывшемся окне:
- Укажите имя и при необходимости описание в свободной форме.
- В поле Тип выберите
Подпись
. - В поле Алгоритм выберите нужный алгоритм подписи.
- При необходимости включите защиту от удаления.
- Нажмите кнопку Создать.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды CLI для создания ключевой пары электронной подписи:
yc kms asymmetric-signature-key create --help
-
Получите идентификатор каталога, в котором нужно создать ключевую пару.
-
Создайте ключевую пару электронной подписи:
yc kms asymmetric-signature-key create \ --name <имя_ключевой_пары> \ --folder-id <идентификатор_каталога> \ --signature-algorithm <алгоритм_подписи>
Где:
-
--name
— имя ключевой пары электронной подписи. -
--folder-id
— идентификатор каталога, в котором будет создана ключевая пара. -
--signature-algorithm
— алгоритм электронной подписи. Доступны следующие алгоритмы ECDSA и RSA :rsa-2048-sign-pss-sha-256
rsa-2048-sign-pss-sha-384
rsa-2048-sign-pss-sha-512
rsa-3072-sign-pss-sha-256
rsa-3072-sign-pss-sha-384
rsa-3072-sign-pss-sha-512
rsa-4096-sign-pss-sha-256
rsa-4096-sign-pss-sha-384
rsa-4096-sign-pss-sha-512
ecdsa-nist-p256-sha-256
ecdsa-nist-p384-sha-384
ecdsa-nist-p521-sha-512
ecdsa-secp256-k1-sha-256
Результат:
id: abj9g2dil5sj******** folder_id: b1gt6g8ht345******** created_at: "2023-08-16T09:06:57Z" name: sample-signature-key status: ACTIVE signature_algorithm: RSA_2048_SIGN_PSS_SHA_512
-
Изменить ключевую пару электронной подписи
После создания ключевой пары вы можете изменить ее имя, описание, метки, а также включить или выключить защиту от удаления.
Чтобы изменить ключевую пару электронной подписи:
- В консоли управления
выберите каталог, в котором находится нужная ключевая пара. - В списке сервисов выберите Key Management Service.
- На панели слева выберите Асимметричные ключи.
- Перейдите на вкладку Подпись.
- В строке с нужной ключевой парой нажмите значок
и выберите Редактировать. В открывшемся окне:- Измените необходимые атрибуты ключевой пары.
- Нажмите кнопку Сохранить.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды CLI для изменения ключевой пары электронной подписи:
yc kms asymmetric-signature-key update --help
-
Получите идентификатор каталога, в котором находится ключевая пара.
-
Получите идентификатор нужной ключевой пары электронной подписи, указав идентификатор каталога:
yc kms asymmetric-signature-key list \ --folder-id <идентификатор_каталога>
Результат:
+----------------------+----------------------+---------------------------+---------------------+--------+ | ID | NAME | SIGNATURE ALGORITHM | CREATED AT | STATUS | +----------------------+----------------------+---------------------------+---------------------+--------+ | abj9g2dil5sj******** | sample-signature-key | RSA_2048_SIGN_PSS_SHA_512 | 2023-08-16 09:06:57 | ACTIVE | +----------------------+----------------------+---------------------------+---------------------+--------+
-
Измените ключевую пару электронной подписи:
yc kms asymmetric-signature-key update \ --id <идентификатор_ключевой_пары> \ --new-name <новое_имя_ключевой_пары> \ --deletion-protection
Где:
--id
— идентификатор ключевой пары электронной подписи.--new-name
— новое имя ключевой пары.--deletion-protection
— флаг включения защиты от удаления. Чтобы отключить защиту ключевой пары от удаления, используйте флаг--no-deletion-protection
.
Результат:
id: abj9g2dil5sj******** folder_id: b1gt6g8ht345******** created_at: "2023-08-16T09:06:57Z" name: sample-new-key status: ACTIVE signature_algorithm: RSA_2048_SIGN_PSS_SHA_512 deletion_protection: true
Команда изменила имя ключевой пары электронной подписи и включила защиту от удаления.
Удалить ключевую пару электронной подписи
Чтобы удалить ключевую пару электронной подписи:
- В консоли управления
выберите каталог, в котором находится нужная ключевая пара. - В списке сервисов выберите Key Management Service.
- На панели слева выберите Асимметричные ключи.
- Перейдите на вкладку Подпись.
- В строке с нужной ключевой парой нажмите значок
и выберите Удалить. - Подтвердите удаление.
Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.
По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name
или --folder-id
.
-
Посмотрите описание команды CLI для удаления ключевой пары подписи:
yc kms asymmetric-signature-key delete --help
-
Получите идентификатор каталога, в котором находится ключевая пара.
-
Получите идентификатор нужной ключевой пары электронной подписи, указав идентификатор каталога:
yc kms asymmetric-signature-key list \ --folder-id <идентификатор_каталога>
Результат:
+----------------------+----------------------+---------------------------+---------------------+--------+ | ID | NAME | SIGNATURE ALGORITHM | CREATED AT | STATUS | +----------------------+----------------------+---------------------------+---------------------+--------+ | abj9g2dil5sj******** | sample-signature-key | RSA_2048_SIGN_PSS_SHA_512 | 2023-08-16 09:06:57 | ACTIVE | +----------------------+----------------------+---------------------------+---------------------+--------+
-
Удалите ключевую пару электронной подписи, указав ее идентификатор:
yc kms asymmetric-signature-key delete \ --id <идентификатор_ключевой_пары>
Результат:
done (1s) id: abj9g2dil5sj******** folder_id: b1gt6g8ht345******** created_at: "2023-08-16T09:06:57Z" name: sample-new-key signature_algorithm: RSA_2048_SIGN_PSS_SHA_512