Sdílet prostřednictvím

Rychlý start: Zřízení a aktivace spravovaného HSM pomocí PowerShellu

  • Článek

V tomto rychlém startu vytvoříte a aktivujete spravovaný HSM služby Azure Key Vault (modul hardwarového zabezpečení) pomocí PowerShellu. Spravovaný HSM je plně spravovaná, vysoce dostupná cloudová služba kompatibilní s jedním tenantem, která umožňuje chránit kryptografické klíče pro cloudové aplikace s využitím ověřených HSM úrovně 140-2 FIPS 2 . Další informace o spravovaném HSM najdete v přehledu.

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření skupiny zdrojů

Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí rutiny Azure PowerShell New-AzResourceGroup vytvořte skupinu prostředků myResourceGroup v norskoeast umístění.

New-AzResourceGroup -Name "myResourceGroup" -Location "norwayeast"

Získání ID objektu zabezpečení

Pokud chcete vytvořit spravovaný HSM, potřebujete ID instančního objektu Microsoft Entra. Id získáte pomocí rutiny Azure PowerShell Get-AzADUser a předáním e-mailové adresy parametru UserPrincipalName:

Get-AzADUser -UserPrincipalName "<your@email.address>"

Vaše ID objektu zabezpečení se vrátí ve formátu xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx.

Vytvoření spravovaného HSM

Vytvoření spravovaného HSM je dvoustupňový proces:

  1. Zřízení spravovaného prostředku HSM
  2. Aktivujte spravovaný HSM stažením artefaktu označovaného jako doména zabezpečení.

Zřízení spravovaného HSM

Pomocí rutiny Azure PowerShell New-AzKeyVaultManagedHsm vytvořte nový spravovaný HSM. Potřebujete zadat některé informace:

  • Název spravovaného HSM: Řetězec 3 až 24 znaků, který může obsahovat pouze čísla (0–9), písmena (a-z, A-Z) a pomlčky (-)

    Důležité

    Každý spravovaný HSM musí mít jedinečný název. Nahraďte <svůj-unique-managed-hsm-name> názvem spravovaného HSM v následujících příkladech.

  • Název skupiny prostředků: myResourceGroup.

  • Umístění: Norsko východ.

  • ID objektu zabezpečení: Předejte ID objektu zabezpečení Microsoft Entra, které jste získali v poslední části, do parametru Administrator.

New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "norwayeast" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"

Poznámka:

Vytvoření příkazu může trvat několik minut. Jakmile se úspěšně vrátí, budete připraveni k aktivaci hsm.

Výstup této rutiny zobrazuje vlastnosti nově vytvořeného spravovaného HSM. Poznamenejte si tyto dvě vlastnosti:

  • Název: Název, který jste zadali pro spravovaný HSM.
  • HsmUri: V příkladu je identifikátor HsmUri https://< jsoud-unique-managed-hsm-name.managedhsm.azure.net/>. Aplikace, které používají váš trezor prostřednictvím REST API musí používat tento identifikátor URI.

V tuto chvíli je váš účet Azure jediným autorizovaným k provádění jakýchkoli operací s tímto novým modulem HSM.

Aktivace spravovaného HSM

Všechny příkazy roviny dat jsou zakázány, dokud se neaktivuje HSM. Nebudete moct vytvářet klíče ani přiřazovat role. HsM můžou aktivovat jenom určené správce, kteří byli přiřazeni během příkazu create. Pokud chcete aktivovat HSM, musíte stáhnout doménu zabezpečení.

K aktivaci HSM budete potřebovat:

  • Poskytnutí minimálně tří párů klíčů RSA (maximálně 10)
  • Určení minimálního počtu klíčů potřebných k dešifrování domény zabezpečení (označované jako kvorum)

K aktivaci HSM odešlete do HSM alespoň tři veřejné klíče RSA (maximálně 10). HsM zašifruje doménu zabezpečení pomocí těchto klíčů a odešle ji zpět. Po úspěšném dokončení stahování této domény zabezpečení je váš HSM připravený k použití. Musíte také zadat kvorum, což je minimální počet privátních klíčů potřebných k dešifrování domény zabezpečení.

Následující příklad ukazuje, jak použít openssl (k dispozici pro Windows zde) k vygenerování tří certifikátů podepsaných svým držitelem.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Poznámka:

I v případě, že platnost certifikátu vypršela, je možné ho použít k obnovení domény zabezpečení.

Důležité

Vytvořte a uložte páry klíčů RSA a soubor domény zabezpečení vygenerovaný v tomto kroku bezpečně.

Pomocí rutiny Export-AzKeyVaultSecurityDomain v Azure PowerShellu stáhněte doménu zabezpečení a aktivujte spravovaný HSM. Následující příklad používá tři páry klíčů RSA (pro tento příkaz jsou potřeba pouze veřejné klíče) a nastaví kvorum na dva.

Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2

Bezpečně uložte soubor domény zabezpečení a páry klíčů RSA. Budete je potřebovat pro zotavení po havárii nebo pro vytvoření jiného spravovaného HSM, který sdílí stejnou doménu zabezpečení, aby tyto dva klíče mohly sdílet.

Po úspěšném stažení domény zabezpečení bude váš HSM v aktivním stavu a připravený k použití.

Vyčištění prostředků

Další rychlé starty a kurzy v této kolekci vycházejí z tohoto rychlého startu. Pokud chcete pokračovat v práci s dalšími rychlými starty a kurzy, možná budete chtít tyto prostředky zachovat.

Pokud už ji nepotřebujete, můžete k odebrání skupiny prostředků a všech souvisejících prostředků použít rutinu Remove-AzResourceGroup Azure PowerShellu.

Remove-AzResourceGroup -Name "myResourceGroup"

Upozorňující

Odstraněním skupiny prostředků se spravovaný HSM umístí do stavu obnovitelného odstranění. Spravovaný HSM se bude dál účtovat, dokud se nevyprázdní. Viz Ochrana proti obnovitelnému odstranění a vymazání spravovaného HSM

Další kroky

V tomto rychlém startu jste vytvořili a aktivovali spravovaný HSM. Další informace o spravovaném HSM a o tom, jak ho integrovat s vašimi aplikacemi, najdete v těchto článcích: