Menandatangani dan memverifikasi data

AO melakukan operasi penandatanganan dan verifikasi melalui Google Distributed Cloud (GDC) dengan air gap ke KMS melalui klien gRPC.

Sebelum memulai

Sebelum melakukan operasi KMS, konfigurasi kubectl untuk mengakses server Management API dan mendapatkan izin yang diperlukan.

Mengonfigurasi akses server Management API

Konfigurasi kubectl untuk mengakses server Management API:

  1. Jika Anda belum melakukannya, dapatkan file kubeconfig untuk server Management API menggunakan antarmuka command-line (CLI) gdcloud.

  2. Tetapkan variabel lingkungan MANAGEMENT_API_SERVER:

    export MANAGEMENT_API_SERVER=PATH_TO_KUBECONFIG

    Ganti PATH_TO_KUBECONFIG dengan jalur file kubeconfig yang dihasilkan.

  3. Jika Anda belum melakukannya, download, instal, dan konfigurasi gdcloud CLI. Untuk melakukannya, ikuti ringkasan gcloud CLI.

Izin yang diperlukan

Untuk mendapatkan izin yang Anda perlukan, minta Admin IAM Organisasi Anda untuk memberi Anda peran KMS Developer (kms-developer) di project Anda.

Data tanda tangan

Untuk menandatangani data, gunakan perintah gdcloud kms keys asymmetric-sign. Perintah ini membuat tanda tangan digital file input menggunakan kunci Signing, dan menyimpan tanda tangan berenkode base64.

  • Untuk menandatangani data Anda, teruskan nama kunci dan hal berikut:

    gdcloud kms keys asymmetric-sign \
namespaces/NAMESPACE/signingKeys/KEY_NAME \
--input-file=INPUT_PATH \
--signature-file=SIGNATURE_FILE

    Ganti variabel berikut:

    • NAMESPACE: namespace project, misalnya: kms-test1.
    • KEY_NAME: nama kunci yang digunakan untuk menandatangani—misalnya: key-1.
    • INPUT_PATH: jalur file input yang ingin Anda tandatangani.
    • SIGNATURE_FILE: jalur file output untuk menyimpan tanda tangan berenkode base64.

    Setelah menjalankan perintah, Anda akan melihat file output yang ditentukan di tanda --signature-file yang berisi tanda tangan berenkode base64.

Verifikasi data

Setelah menandatangani data, verifikasi tanda tangan digital base64 menggunakan perintah gdcloud kms keys asymmetric-verify. Perintah ini memverifikasi apakah tanda tangan digital berenkode base64 yang Anda terima setelah menjalankan perintah gdcloud kms keys asymmetric-sign valid atau tidak.

  • Untuk memverifikasi tanda tangan, teruskan file tanda tangan dan yang berikut ini:

    gdcloud kms keys asymmetric-verify \
namespaces/NAMESPACE/signingKeys/KEY_NAME \
  --input-file=INPUT_PATH \
  --signature-file=SIGNATURE_FILE

    Setelah menjalankan perintah, Anda akan melihat output Verification OK jika berhasil. Jika tidak berhasil, Anda akan melihat output kegagalan Verification Failure.