Schnellstart: Bereitstellen und Aktivieren eines verwalteten HSM mithilfe von PowerShell
In dieser Schnellstartanleitung werden Sie ein verwaltetes Azure Key Vault-HSM (Hardware Security Module, Hardwaresicherheitsmodul) mit PowerShell erstellen und aktivieren. Verwaltetes HSM ist ein vollständig verwalteter, hochverfügbarer, standardkonformer Einzelinstanz-Clouddienst, der es Ihnen ermöglicht, kryptografische Schlüssel für Ihre Cloudanwendungen über HSMs zu schützen, die mit FIPS 140-2 Level 3 validiert sind. Weitere Informationen zu verwalteten HSMs finden Sie in der Übersicht.
Voraussetzungen
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
- Bei lokaler Verwendung von Azure PowerShell:
- Installieren der aktuellen Version des Az PowerShell-Moduls.
- Stellen Sie eine Verbindung mit Ihrem Azure-Konto mit dem Cmdlet Connect-AzAccount her.
- Bei Verwendung von Azure Cloud Shell:
- Weitere Informationen finden Sie in der Übersicht über Azure Cloud Shell.
Erstellen einer Ressourcengruppe
Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Erstellen Sie mit dem Azure PowerShell-Cmdlet New-AzResourceGroup eine Ressourcengruppe mit dem Namen myResourceGroup am Standort norwayeast.
New-AzResourceGroup -Name "myResourceGroup" -Location "norwayeast"
Abrufen Ihrer Prinzipal-ID
Um ein verwaltetes HSM zu erstellen, benötigen Sie Ihre Microsoft Entra Principal ID. Zum Abrufen Ihrer ID verwenden Sie das Azure PowerShell-Cmdlet Get-AzADUser, und übergeben Sie dabei Ihre E-Mail-Adresse an den Parameter „UserPrincipalName“:
Get-AzADUser -UserPrincipalName "<your@email.address>"
Ihre Prinzipal-ID wird im Format „xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx“ zurückgegeben.
Erstellen eines verwalteten HSM
Die Erstellung einer Ressource vom Typ „Verwaltetes HSM“ umfasst zwei Schritte:
- Bereitstellen einer verwalteten HSM-Ressource
- Aktivieren des verwalteten HSM durch Herunterladen eines Artefakts, das als Sicherheitsdomäne bezeichnet wird.
Bereitstellen eines verwalteten HSM
Erstellen Sie mithilfe des Azure PowerShell-Cmdlets New-AzKeyVaultManagedHsm ein neues verwaltetes HSM. Sie müssen einige Informationen angeben:
Name des verwalteten HSM: Eine Zeichenfolge mit 3 bis 24 Zeichen, die nur Zahlen (0–9), Buchstaben (a–z, A–Z) und Bindestriche (-) enthalten darf.
Wichtig
Jedes verwaltete HSM muss einen eindeutigen Namen haben. Ersetzen Sie in den folgenden Beispielen „<your-unique-managed-hsm-name>“ durch den Namen Ihres verwalteten HSM.
Ressourcengruppennamen: myResourceGroup
Standort: Norwegen, Osten.
Ihre Prinzipal-ID: Übergeben Sie die Microsoft Entra-Prinzipal-ID, die Sie im letzten Abschnitt erhalten haben, an den Parameter "Administrator".
New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "norwayeast" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"
Hinweis
Die Ausführung des Befehls „Erstellen“ kann einige Minuten dauern. Nach erfolgreichem Abschluss können Sie Ihr HSM aktivieren.
Die Ausgabe dieses Cmdlets zeigt Eigenschaften des neu erstellten verwalteten HSM. Beachten Sie diese beiden Eigenschaften:
- Name: Der für das verwaltete HSM angegebene Name
- HsmUri: Im Beispiel lautet die HsmUri https://<your-unique-managed-hsm-name>.managedhsm.azure.net/. Anwendungen, die Ihren Tresor über die zugehörige REST-API nutzen, müssen diesen URI verwenden.
An diesem Punkt ist nur Ihr Azure-Konto zum Ausführen von Vorgängen für dieses neue HSM autorisiert.
Aktivieren Ihres verwalteten HSM
Bis zur Aktivierung des HSM sind alle Datenebenenbefehle deaktiviert. Sie können keine Schlüssel erstellen oder Rollen zuweisen. Nur die designierten Administratoren, die im Rahmen des Erstellungsbefehls zugewiesen wurden, können das HSM aktivieren. Zum Aktivieren des HSM muss die Sicherheitsdomäne heruntergeladen werden.
Für die HSM-Aktivierung ist Folgendes erforderlich:
- Bereitstellen von mindestens drei RSA-Schlüsselpaaren (bis zu maximal 10)
- Angeben der Mindestanzahl von Schlüsseln, die zum Entschlüsseln der Sicherheitsdomäne erforderlich sind (als Quorum bezeichnet)
Für die HSM-Aktivierung müssen zwischen drei und zehn öffentliche RSA-Schlüssel an das HSM gesendet werden. Das HSM verschlüsselt die Sicherheitsdomäne mit diesen Schlüsseln und sendet sie zurück. Nach erfolgreichem Herunterladen der Sicherheitsdomäne ist Ihr HSM verwendungsbereit. Darüber hinaus müssen Sie ein Quorum angeben. Hierbei handelt es sich um die Mindestanzahl privater Schlüssel, die zum Entschlüsseln der Sicherheitsdomäne erforderlich sind.
Im folgenden Beispiel wird gezeigt, wie Sie mithilfe von openssl
(hier für Windows verfügbar) drei selbst signierte Zertifikate generieren:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Hinweis
Selbst wenn das Zertifikat „abgelaufen“ ist, kann es trotzdem verwendet werden, um die Sicherheitsdomäne wiederherzustellen.
Wichtig
Erstellen und speichern Sie die in diesem Schritt generierten RSA-Schlüsselpaare und die generierte Sicherheitsdomänendatei an einem sicheren Ort.
Verwenden Sie das Azure PowerShell-Cmdlet Export-AzKeyVaultSecurityDomain, um die Sicherheitsdomäne herunterzuladen und das verwaltete HSM zu aktivieren. Im folgenden Beispiel werden drei RSA-Schlüsselpaare verwendet. (Für diesen Befehl werden nur öffentliche Schlüssel benötigt.) Das Quorum wird auf „2“ festgelegt:
Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2
Speichern Sie die Sicherheitsdomänendatei und die RSA-Schlüsselpaare an einem sicheren Ort. Sie werden für die Notfallwiederherstellung sowie für die Erstellung eines weiteren verwalteten HSM mit der gleichen Sicherheitsdomäne benötigt, um die gemeinsame Nutzung von Schlüsseln zu ermöglichen.
Nach erfolgreichem Herunterladen der Sicherheitsdomäne befindet sich Ihr HSM im aktiven Zustand und ist verwendungsbereit.
Bereinigen von Ressourcen
Andere Schnellstartanleitungen und Tutorials in dieser Sammlung bauen auf dieser Schnellstartanleitung auf. Falls Sie mit weiteren Schnellstartanleitungen und Tutorials fortfahren möchten, sollten Sie die Ressourcen nicht bereinigen.
Wenn die Ressourcengruppe und alle zugehörigen Ressourcen nicht mehr benötigt werden, können Sie sie mit dem Azure PowerShell-Cmdlet Remove-AzResourceGroup entfernen.
Remove-AzResourceGroup -Name "myResourceGroup"
Warnung
Durch das Löschen der Ressourcengruppe wird das verwaltete HSM in einen vorläufig gelöschten Zustand versetzt. Das verwaltete HSM wird weiterhin abgerechnet, bis es endgültig gelöscht wird. Siehe Vorläufiges Löschen und Löschschutz des verwalteten HSM.
Nächste Schritte
In dieser Schnellstartanleitung haben Sie ein verwaltetes HSM erstellt und aktiviert. Weitere Informationen zum verwalteten HSM und zur Integration in Ihre Anwendungen finden Sie in den folgenden Artikeln:
- Was ist der Azure-Schlüsseltresor?
- Sehen Sie sich die Referenz zu den Azure PowerShell-Cmdlets für Key Vault an.
- Azure Key Vault-Sicherheitsübersicht