Krok 2. Migracja klucza chronionego przez oprogramowanie do klucza chronionego przez moduł HSM

Te instrukcje są częścią ścieżki migracji z usług AD RMS do usługi Azure Information Protection i mają zastosowanie tylko wtedy, gdy klucz usług AD RMS jest chroniony przez oprogramowanie i chcesz przeprowadzić migrację do usługi Azure Information Protection przy użyciu klucza dzierżawy chronionego przez moduł HSM w usłudze Azure Key Vault.

Jeśli nie jest to wybrany scenariusz konfiguracji, wróć do kroku 4. Wyeksportuj dane konfiguracji z usług AD RMS i zaimportuj je do usługi Azure RMS i wybierz inną konfigurację.

Jest to czteroczęściowa procedura importowania konfiguracji usług AD RMS do usługi Azure Information Protection w celu wywołania klucza dzierżawy usługi Azure Information Protection zarządzanego przez Ciebie (BYOK) w usłudze Azure Key Vault.

Najpierw należy wyodrębnić klucz certyfikatu licencjodawcy serwera (SLC) z danych konfiguracji usługi AD RMS i przenieść klucz do lokalnego modułu HSM nCipher, następnie spakować i przenieść klucz HSM do usługi Azure Key Vault, a następnie autoryzować usługę Azure Rights Management z usługi Azure Information Protection w celu uzyskania dostępu do magazynu kluczy, a następnie zaimportować dane konfiguracji.

Ponieważ klucz dzierżawy usługi Azure Information Protection będzie przechowywany i zarządzany przez usługę Azure Key Vault, ta część migracji wymaga administracji w usłudze Azure Key Vault oprócz usługi Azure Information Protection. Jeśli usługa Azure Key Vault jest zarządzana przez innego administratora niż Ty w twojej organizacji, musisz koordynować i współpracować z tym administratorem, aby wykonać te procedury.

Przed rozpoczęciem upewnij się, że organizacja ma magazyn kluczy utworzony w usłudze Azure Key Vault i że obsługuje klucze chronione przez moduł HSM. Mimo że nie jest to wymagane, zalecamy posiadanie dedykowanego magazynu kluczy dla usługi Azure Information Protection. Ten magazyn kluczy zostanie skonfigurowany tak, aby zezwolić usłudze Azure Rights Management z usługi Azure Information Protection na dostęp do niego, aby klucze, które te magazyny kluczy powinny być ograniczone tylko do kluczy usługi Azure Information Protection.

Napiwek

Jeśli wykonujesz kroki konfiguracji usługi Azure Key Vault i nie znasz tej usługi platformy Azure, warto zapoznać się z artykułem Rozpoczynanie pracy z usługą Azure Key Vault.

Część 1. Wyodrębnianie klucza SLC z danych konfiguracji i importowanie klucza do lokalnego modułu HSM

1. Administrator usługi Azure Key Vault: dla każdego wyeksportowanego klucza SLC, który chcesz przechowywać w usłudze Azure Key Vault, wykonaj następujące kroki w sekcji Implementowanie funkcji BYOK dla usługi Azure Key Vault w dokumentacji usługi Azure Key Vault :

   • Generowanie i przesyłanie klucza do modułu HSM usługi Azure Key Vault: Krok 1: Przygotowanie stacji roboczej podłączonej do Internetu

   • Generowanie i przenoszenie klucza dzierżawy — przez Internet: Krok 2: Przygotowanie odłączonej stacji roboczej

   Nie należy wykonywać kroków generowania klucza dzierżawy, ponieważ masz już odpowiednik w wyeksportowanym pliku danych konfiguracji (xml). Zamiast tego uruchomisz narzędzie, aby wyodrębnić ten klucz z pliku i zaimportować go do lokalnego modułu HSM. Narzędzie tworzy dwa pliki podczas jego uruchamiania:

   • Nowy plik danych konfiguracji bez klucza, który jest następnie gotowy do zaimportowania do dzierżawy usługi Azure Information Protection.

   • Plik PEM (kontener klucza) z kluczem, który jest następnie gotowy do zaimportowania do lokalnego modułu HSM.

2. Administrator usługi Azure Information Protection lub administrator usługi Azure Key Vault: na odłączonej stacji roboczej uruchom narzędzie TpdUtil z zestawu narzędzi do migracji usługi Azure RMS. Jeśli na przykład narzędzie jest zainstalowane na dysku E, na którym kopiujesz plik danych konfiguracji o nazwie ContosoTPD.xml:

   E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
   

   Jeśli masz więcej niż jeden plik danych konfiguracji usługi RMS, uruchom to narzędzie dla pozostałych plików.

   Aby wyświetlić pomoc dotyczącą tego narzędzia, który zawiera opis, użycie i przykłady, uruchom polecenie TpdUtil.exe bez parametrów

   Dodatkowe informacje dotyczące tego polecenia:

   • / tpd: określa pełną ścieżkę i nazwę wyeksportowanego pliku danych konfiguracji usług AD RMS. Pełna nazwa parametru to TpdFilePath.

   • /otpd: określa nazwę pliku wyjściowego dla pliku danych konfiguracji bez klucza. Pełna nazwa parametru to OutPfxFile. Jeśli nie określisz tego parametru, plik wyjściowy zostanie domyślnie ustawiony na oryginalną nazwę pliku z sufiksem _keyless i jest przechowywany w bieżącym folderze.

   • /opem: określa nazwę pliku wyjściowego dla pliku PEM, który zawiera wyodrębniony klucz. Pełna nazwa parametru to OutPemFile. Jeśli nie określisz tego parametru, plik wyjściowy zostanie domyślnie ustawiony na oryginalną nazwę pliku z sufiksem _key i jest przechowywany w bieżącym folderze.

   • Jeśli nie określisz hasła podczas uruchamiania tego polecenia (przy użyciu pełnej nazwy parametru TpdPassword lub nazwy krótkiego parametru pwd ), zostanie wyświetlony monit o jego określenie.

3. Na tej samej odłączonej stacji roboczej dołącz i skonfiguruj moduł HSM nCipher zgodnie z dokumentacją nCipher. Teraz możesz zaimportować klucz do dołączonego modułu HSM nCipher przy użyciu następującego polecenia, w którym należy zastąpić własną nazwę pliku contosoTPD.pem:

   generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
   

   Uwaga

   Jeśli masz więcej niż jeden plik, wybierz plik odpowiadający kluczowi HSM, którego chcesz użyć w usłudze Azure RMS, aby chronić zawartość po migracji.

   Spowoduje to wygenerowanie danych wyjściowych podobnych do następujących:

   parametry generowania klucza:

   operation Operation to perform import (operacja do wykonania importu)

   aplikacja prosta

   Weryfikowanie zabezpieczeń klucza konfiguracji tak

   typ klucza RSA

   plik PEM pemreadfile zawierający klucz RSA e:\ContosoTPD.pem

   identyfikator klucza ident contosobyok

   nazwa klucza plainname ContosoBYOK

   Pomyślnie zaimportowany klucz.

   Ścieżka do klucza: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Te dane wyjściowe potwierdzają, że klucz prywatny jest teraz migrowany do lokalnego urządzenia nCipher HSM z zaszyfrowaną kopią zapisaną w kluczu (w naszym przykładzie "key_simple_contosobyok").

Teraz, gdy klucz SLC został wyodrębniony i zaimportowany do lokalnego modułu HSM, możesz przystąpić do spakowania klucza chronionego przez moduł HSM i przeniesienia go do usługi Azure Key Vault.

Ważne

Po wykonaniu tego kroku bezpiecznie wymazać te pliki PEM z odłączonej stacji roboczej, aby upewnić się, że nie będą one dostępne przez nieautoryzowanych użytkowników. Na przykład uruchom polecenie "cipher /w: E", aby bezpiecznie usunąć wszystkie pliki z dysku E: .

Część 2. Pakowanie i przenoszenie klucza HSM do usługi Azure Key Vault

Administrator usługi Azure Key Vault: dla każdego wyeksportowanego klucza SLC, który chcesz przechowywać w usłudze Azure Key Vault, wykonaj następujące kroki z sekcji Implementowanie użycia własnego klucza (BYOK) dla usługi Azure Key Vault w dokumentacji usługi Azure Key Vault :

• Krok 4. Przygotowanie klucza do przeniesienia

• Krok 5. Przenoszenie klucza do usługi Azure Key Vault

Nie należy wykonywać kroków generowania pary kluczy, ponieważ masz już klucz. Zamiast tego uruchomisz polecenie , aby przenieść ten klucz (w naszym przykładzie nasz parametr KeyIdentifier używa ciągu "contosobyok") z lokalnego modułu HSM.

Przed przeniesieniem klucza do usługi Azure Key Vault upewnij się, że narzędzie KeyTransferRemote.exe zwraca wartość Result: SUCCESS podczas tworzenia kopii klucza z ograniczonymi uprawnieniami (krok 4.1) i podczas szyfrowania klucza (krok 4.3).

Po przekazaniu klucza do usługi Azure Key Vault zostaną wyświetlone właściwości klucza, które zawierają identyfikator klucza. Będzie ona wyglądać podobnie do https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Zanotuj ten adres URL, ponieważ administrator usługi Azure Information Protection będzie musiał poinformować usługę Azure Rights Management z usługi Azure Information Protection o użyciu tego klucza dla klucza dzierżawy.

Następnie użyj polecenia cmdlet Set-AzKeyVaultAccessPolicy , aby autoryzować jednostkę usługi Azure Rights Management w celu uzyskania dostępu do magazynu kluczy. Wymagane uprawnienia to odszyfrowywanie, szyfrowanie, odpakowywanie klucza, zawijanie, weryfikowanie i podpisywanie.

Jeśli na przykład magazyn kluczy utworzony dla usługi Azure Information Protection nosi nazwę contosorms-byok-kv, a grupa zasobów ma nazwę contosorms-byok-rg, uruchom następujące polecenie:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Teraz, gdy klucz HSM został przeniesiony do usługi Azure Key Vault, możesz zaimportować dane konfiguracji usług AD RMS.

Część 3. Importowanie danych konfiguracji do usługi Azure Information Protection

1. Administrator usługi Azure Information Protection: na stacji roboczej połączonej z Internetem i w sesji programu PowerShell skopiuj nowe pliki danych konfiguracji (xml), które mają klucz SLC usunięty po uruchomieniu narzędzia TpdUtil.

2. Przekaż każdy plik XML przy użyciu polecenia cmdlet Import-AipServiceTpd . Na przykład należy mieć co najmniej jeden dodatkowy plik do zaimportowania w przypadku uaktualnienia klastra usług AD RMS dla trybu kryptograficznego 2.

   Aby uruchomić to polecenie cmdlet, potrzebne jest hasło określone wcześniej dla pliku danych konfiguracji oraz adres URL klucza, który został zidentyfikowany w poprzednim kroku.

   Na przykład przy użyciu pliku danych konfiguracji C:\contoso_keyless.xml i naszej wartości adresu URL klucza z poprzedniego kroku najpierw uruchom następujące polecenie, aby zapisać hasło:

    $TPD_Password = Read-Host -AsSecureString
   

   Wprowadź hasło określone do wyeksportowania pliku danych konfiguracji. Następnie uruchom następujące polecenie i potwierdź, że chcesz wykonać tę akcję:

   Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   W ramach tego importu klucz SLC jest importowany i automatycznie ustawiany jako zarchiwizowany.

3. Po przekazaniu każdego pliku uruchom polecenie Set-AipServiceKeyProperties , aby określić, który zaimportowany klucz jest zgodny z aktualnie aktywnym kluczem SLC w klastrze usług AD RMS.

4. Użyj polecenia cmdlet Disconnect-AipServiceService, aby odłączyć się od usługi Azure Rights Management:

   Disconnect-AipServiceService
   

Jeśli później musisz potwierdzić, który klucz dzierżawy usługi Azure Information Protection jest używany w usłudze Azure Key Vault, użyj polecenia cmdlet Get-AipServiceKeys usługi Azure RMS.

Teraz możesz przejść do kroku 5. Aktywuj usługę Azure Rights Management.