Importowanie kluczy chronionych przez moduł HSM dla usługi Key Vault (nCipher)
Ostrzeżenie
Metoda importowania klucza HSM opisana w tym dokumencie jest przestarzała i nie będzie obsługiwana po 30 czerwca 2021 r. Działa tylko z rodziną nCipher nShield modułów HSM z oprogramowaniem układowym 12.40.2 lub nowszym. Zdecydowanie zaleca się importowanie kluczy HSM przy użyciu nowej metody.
Uwaga
Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Aby rozpocząć, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Aby zapewnić dodatkową gwarancję, w przypadku korzystania z usługi Azure Key Vault można importować lub generować klucze w sprzętowych modułach zabezpieczeń (HSM), które nigdy nie opuszczają granicy modułu HSM. Ten scenariusz jest często określany jako używania własnego klucza (BYOK). Usługa Azure Key Vault używa rodziny nCipher nShield modułów HSM (zweryfikowanych na poziomie 2 w trybie FIPS 140-2) w celu ochrony kluczy.
Skorzystaj z tego artykułu, aby ułatwić planowanie, generowanie i przenoszenie własnych kluczy chronionych przez moduł HSM do użycia z usługą Azure Key Vault.
Ta funkcja nie jest dostępna dla platformy Microsoft Azure obsługiwanej przez firmę 21Vianet.
Uwaga
Aby uzyskać więcej informacji na temat usługi Azure Key Vault, zobacz Co to jest usługa Azure Key Vault? Aby zapoznać się z samouczkiem wprowadzającym, który obejmuje tworzenie magazynu kluczy dla kluczy chronionych przez moduł HSM, zobacz Co to jest usługa Azure Key Vault?.
Więcej informacji na temat generowania i przesyłania klucza chronionego przez moduł HSM przez Internet:
- Klucz jest generowany na stacji roboczej w trybie offline, co zmniejsza obszar narażony na ataki.
- Klucz jest szyfrowany przy użyciu klucza wymiany kluczy (KEK), który pozostaje zaszyfrowany, dopóki nie zostanie przeniesiony do modułów HSM usługi Azure Key Vault. Tylko zaszyfrowana wersja klucza pozostawia oryginalną stację roboczą.
- Zestaw narzędzi ustawia właściwości klucza dzierżawy, który wiąże klucz ze światem zabezpieczeń usługi Azure Key Vault. Dlatego po odebraniu i odszyfrowaniu klucza przez moduły HSM usługi Azure Key Vault tylko te moduły HSM mogą go używać. Nie można wyeksportować klucza. To powiązanie jest wymuszane przez moduły HSM nCipher.
- Klucz wymiany kluczy (KEK) używany do szyfrowania klucza jest generowany wewnątrz modułów HSM usługi Azure Key Vault i nie można go eksportować. Moduły HSM wymuszają brak jasnej wersji klucza KEK poza modułami HSM. Ponadto zestaw narzędzi zawiera zaświadczenie z nCipher, że klucz KEK nie jest eksportowalny i został wygenerowany wewnątrz oryginalnego modułu HSM, który został wyprodukowany przez nCipher.
- Zestaw narzędzi zawiera zaświadczanie od nCipher, że świat zabezpieczeń usługi Azure Key Vault został również wygenerowany na oryginalnym module HSM wyprodukowanym przez nCipher. To zaświadczenie pokazuje, że firma Microsoft korzysta z oryginalnego sprzętu.
- Firma Microsoft używa oddzielnych zestawów KEKs i oddzielnych środowisk zabezpieczeń w każdym regionie geograficznym. Ta separacja gwarantuje, że klucz może być używany tylko w centrach danych w regionie, w którym został zaszyfrowany. Na przykład klucz od klienta europejskiego nie może być używany w centrach danych w Ameryka Północna n lub Azji.
Więcej informacji o modułach HSM nCipher i usługi firmy Microsoft
nCipher Security, firma Entrust Datacard, jest liderem na rynku modułu HSM ogólnego przeznaczenia, umożliwiając wiodącym na świecie organizacjom dostarczanie zaufania, integralności i kontroli do kluczowych informacji i aplikacji biznesowych. Rozwiązania kryptograficzne nCipher zabezpieczają nowe technologie — chmurę, IoT, łańcuch bloków, płatności cyfrowe — i pomagają spełnić nowe mandaty w zakresie zgodności, korzystając z tej samej sprawdzonej technologii, od których organizacje globalne są obecnie zależne od ochrony przed zagrożeniami dla poufnych danych, komunikacji sieciowej i infrastruktury przedsiębiorstwa. Usługa nCipher zapewnia zaufanie dla aplikacji krytycznych dla działania firmy, zapewniając integralność danych i pełną kontrolę klientów — dziś, jutro, zawsze.
Firma Microsoft współpracowała z rozwiązaniem nCipher Security, aby ulepszyć stan sprzętu dla modułów HSM. Te ulepszenia umożliwiają uzyskanie typowych korzyści z hostowanych usług bez konieczności zrezygnowania z kontroli nad kluczami. W szczególności te ulepszenia umożliwiają firmie Microsoft zarządzanie modułami HSM w taki sposób, aby nie trzeba było tego robić. Jako usługa w chmurze usługa Azure Key Vault jest skalowana w górę w krótkim czasie, aby sprostać wzrostom użycia organizacji. Jednocześnie klucz jest chroniony wewnątrz modułów HSM firmy Microsoft: zachowujesz kontrolę nad cyklem życia klucza, ponieważ generujesz klucz i przenosisz go do modułów HSM firmy Microsoft.
Implementowanie używania własnego klucza (BYOK) na potrzeby usługi Azure Key Vault
Skorzystaj z poniższych informacji i procedur, jeśli wygenerujesz własny klucz chroniony przez moduł HSM, a następnie przenieś go do usługi Azure Key Vault. Jest to nazywane scenariuszem BYOK (Bring Your Own Key).
Wymagania wstępne dotyczące podejścia BYOK
Zapoznaj się z poniższą tabelą, aby zapoznać się z listą wymagań wstępnych dotyczących funkcji BYOK (Bring Your Own Key) dla usługi Azure Key Vault.
Wymaganie | Więcej informacji |
---|---|
Subskrypcja platformy Azure | Aby utworzyć usługę Azure Key Vault, potrzebujesz subskrypcji platformy Azure: utwórz konto w celu uzyskania bezpłatnej wersji próbnej |
Warstwa usługi Azure Key Vault Premium do obsługi kluczy chronionych przez moduł HSM | Aby uzyskać więcej informacji na temat warstw usług i możliwości usługi Azure Key Vault, zobacz witrynę internetową Cennik usługi Azure Key Vault. |
nCipher nShield HSMs, smartcards i oprogramowanie do obsługi | Musisz mieć dostęp do modułu zabezpieczeń sprzętowych nCipher i podstawowej wiedzy operacyjnej nCipher nShield HSMs. Zobacz moduł zabezpieczeń sprzętowych nCipher nShield, aby uzyskać listę zgodnych modeli lub kupić moduł HSM, jeśli go nie masz. |
Następujący sprzęt i oprogramowanie:
|
Ze względów bezpieczeństwa zalecamy, aby pierwsza stacja robocza nie jest podłączona do sieci. Jednak to zalecenie nie jest wymuszane programowo. W poniższych instrukcjach ta stacja robocza jest określana jako odłączona stacja robocza. Ponadto jeśli klucz dzierżawy jest przeznaczony dla sieci produkcyjnej, zalecamy użycie drugiej, oddzielnej stacji roboczej do pobrania zestawu narzędzi i przekazania klucza dzierżawy. Jednak do celów testowych można użyć tej samej stacji roboczej co pierwsza. W poniższych instrukcjach druga stacja robocza jest nazywana stacją roboczą połączoną z Internetem. |
Generowanie i przenoszenie klucza do modułu HSM usługi Azure Key Vault
Użyjesz następujących pięciu kroków, aby wygenerować i przenieść klucz do modułu HSM usługi Azure Key Vault:
- Krok 1. Przygotowanie stacji roboczej podłączonej do Internetu
- Krok 2. Przygotowanie odłączonej stacji roboczej
- Krok 3. Generowanie klucza
- Krok 4. Przygotowanie klucza do przeniesienia
- Krok 5. Przenoszenie klucza do usługi Azure Key Vault
Przygotowywanie stacji roboczej połączonej z Internetem
W tym pierwszym kroku wykonaj następujące procedury na stacji roboczej podłączonej do Internetu.
Instalowanie programu Azure PowerShell
Z połączonej z Internetem stacji roboczej pobierz i zainstaluj moduł Azure PowerShell zawierający polecenia cmdlet do zarządzania usługą Azure Key Vault. Aby uzyskać instrukcje dotyczące instalacji, zobacz How to install and configure Azure PowerShell (Jak zainstalować i skonfigurować program Azure PowerShell).
Uzyskiwanie identyfikatora subskrypcji platformy Azure
Uruchom sesję programu Azure PowerShell i zaloguj się do konta platformy Azure przy użyciu następującego polecenia:
Connect-AzAccount
W podręcznym oknie przeglądarki wprowadź nazwę użytkownika i hasło dla konta platformy Azure. Następnie użyj polecenia Get-AzSubscription :
Get-AzSubscription
Z danych wyjściowych znajdź identyfikator subskrypcji, której będziesz używać w usłudze Azure Key Vault. Ten identyfikator subskrypcji będzie potrzebny później.
Nie zamykaj okna programu Azure PowerShell.
Pobieranie zestawu narzędzi BYOK dla usługi Azure Key Vault
Przejdź do Centrum pobierania Microsoft i pobierz zestaw narzędzi BYOK usługi Azure Key Vault dla swojego regionu geograficznego lub wystąpienia platformy Azure. Użyj poniższych informacji, aby zidentyfikować nazwę pakietu do pobrania i odpowiadający mu skrót pakietu SHA-256:
Stany Zjednoczone:
KeyVault-BYOK-Tools-United States.zip
2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4
Europa:
KeyVault-BYOK-Tools-Europe.zip
9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A
Azja:
KeyVault-BYOK-Tools-AsiaPacific.zip
4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C97388EC7121EF6B5
Ameryka Łacińska:
KeyVault-BYOK-Tools-LatinAmerica.zip
E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619
Japonia:
KeyVault-BYOK-Tools-Japan.zip
3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF
Korea:
KeyVault-BYOK-Tools-Korea.zip
71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F
Republika Południowej Afryki:
KeyVault-BYOK-Tools-SouthAfrica.zip
C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A
ZEA:
KeyVault-BYOK-Tools-UAE.zip
FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3
Australia:
KeyVault-BYOK-Tools-Australia.zip
CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A
KeyVault-BYOK-Tools-USGovCloud.zip
F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A
US Government DOD:
KeyVault-BYOK-Tools-USGovernmentDoD.zip
A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263
Kanada:
KeyVault-BYOK-Tools-Canada.zip
61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B
Niemcy:
KeyVault-BYOK-Tools-Germany.zip
5385E615880AFC02AFD9841F7BADD025D7EE819894A29ED3C71C3C3F844C45D6
Niemcy Publiczne:
KeyVault-BYOK-Tools-Germany-Public.zip
54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29
Indie:
KeyVault-BYOK-Tools-India.zip
49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8
Francja:
KeyVault-BYOK-Tools-France.zip
5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF
Zjednoczone Królestwo:
KeyVault-BYOK-Tools-UnitedKingdom.zip
432746BD0D3176B708672CCFF19D6144FCA9E5EB29BB056489D3782B3B80849
Szwajcaria:
KeyVault-BYOK-Tools-Switzerland.zip
88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9
Aby zweryfikować integralność pobranego zestawu narzędzi BYOK, z sesji programu Azure PowerShell użyj polecenia cmdlet Get-FileHash .
Get-FileHash KeyVault-BYOK-Tools-*.zip
Zestaw narzędzi obejmuje:
- Pakiet klucza wymiany kluczy (KEK), który ma nazwę rozpoczynającą się od BYOK-KEK-pkg-.
- Pakiet Security World, który ma nazwę rozpoczynającą się od BYOK-SecurityWorld-pkg-.
- Skrypt języka Python o nazwie verifykeypackage.py.
- Plik wykonywalny wiersza polecenia o nazwie KeyTransferRemote.exe i skojarzone biblioteki DLL.
- Pakiet pakiet redystrybucyjny programu Visual C++ o nazwie vcredist_x64.exe.
Skopiuj pakiet na dysk USB lub inny przenośny magazyn.
Przygotowywanie odłączonej stacji roboczej
W tym drugim kroku wykonaj następujące procedury na stacji roboczej, która nie jest połączona z siecią (Internet lub sieć wewnętrzna).
Przygotowywanie odłączonej stacji roboczej za pomocą modułu HSM nCipher nShield
Zainstaluj oprogramowanie do obsługi nCipher na komputerze z systemem Windows, a następnie dołącz nCipher nShield HSM do tego komputera.
Upewnij się, że narzędzia nCipher znajdują się w ścieżce (%nfast_home%\bin). Na przykład wpisz:
set PATH=%PATH%;"%nfast_home%\bin"
Aby uzyskać więcej informacji, zobacz podręcznik użytkownika dołączony do modułu HSM nShield.
Instalowanie zestawu narzędzi BYOK na odłączonej stacji roboczej
Skopiuj pakiet zestawu narzędzi BYOK z dysku USB lub innego przenośnego magazynu, a następnie:
- Wyodrębnij pliki z pobranego pakietu do dowolnego folderu.
- W tym folderze uruchom polecenie vcredist_x64.exe.
- Postępuj zgodnie z instrukcjami, aby zainstalować składniki środowiska uruchomieniowego visual C++ dla programu Visual Studio 2013.
Generowanie klucza
W tym trzecim kroku wykonaj następujące procedury na odłączonej stacji roboczej. Aby wykonać ten krok, moduł HSM musi być w trybie inicjowania.
Zmień tryb HSM na "I"
Jeśli używasz nCipher nShield Edge, aby zmienić tryb: 1. Użyj przycisku Mode (Tryb), aby wyróżnić wymagany tryb. 2. W ciągu kilku sekund naciśnij i przytrzymaj przycisk Wyczyść przez kilka sekund. Jeśli tryb zmieni się, dioda LED nowego trybu przestanie migać i pozostaje oświetlona. Dioda LED stanu może migać nieregularnie przez kilka sekund, a następnie regularnie, gdy urządzenie jest gotowe. W przeciwnym razie urządzenie pozostaje w trybie bieżącym, z odpowiednim trybem dioda LED oświetlona.
Tworzenie środowiska zabezpieczeń
Uruchom wiersz polecenia i uruchom nowy program nCipher.
new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3
Ten program tworzy plik środowiska zabezpieczeń w lokalizacji %NFAST_KMDATA%\local\world, który odpowiada folderowi C:\ProgramData\nCipher\Key Management Data\local. Możesz użyć różnych wartości dla kworum, ale w naszym przykładzie zostanie wyświetlony monit o wprowadzenie trzech pustych kart i przypinań dla każdego z nich. Następnie wszystkie dwie karty zapewniają pełny dostęp do świata zabezpieczeń. Te karty stają się zestawem kart administratora dla nowego świata zabezpieczeń.
Uwaga
Jeśli moduł HSM nie obsługuje nowszego pakietu cyprher DLf3072s256mRijndael, możesz zastąpić ciąg --cipher-suite= DLf3072s256mRijndael
--cipher-suite=DLf1024s160mRijndael
.
Świat zabezpieczeń utworzony za pomocą new-world.exe dostarczanych z oprogramowaniem nCipher w wersji 12.50 nie jest zgodny z tą procedurą BYOK. Dostępne są dwie opcje:
- Obniżanie wersji oprogramowania nCipher do wersji 12.40.2 w celu utworzenia nowego środowiska zabezpieczeń.
- Skontaktuj się z pomocą techniczną nCipher i poproś o podanie poprawki dla wersji 12.50 oprogramowania, która umożliwia korzystanie z wersji 12.40.2 new-world.exe zgodnej z tą procedurą BYOK.
Następnie:
- Utwórz kopię zapasową pliku światowego. Zabezpieczanie i ochrona pliku światowego, kart administratora i ich numerów PIN oraz upewnij się, że żadna osoba nie ma dostępu do więcej niż jednej karty.
Zmień tryb HSM na "O"
Jeśli używasz nCipher nShield Edge, aby zmienić tryb: 1. Użyj przycisku Mode (Tryb), aby wyróżnić wymagany tryb. 2. W ciągu kilku sekund naciśnij i przytrzymaj przycisk Wyczyść przez kilka sekund. Jeśli tryb zmieni się, dioda LED nowego trybu przestanie migać i pozostaje oświetlona. Dioda LED stanu może migać nieregularnie przez kilka sekund, a następnie regularnie, gdy urządzenie jest gotowe. W przeciwnym razie urządzenie pozostaje w trybie bieżącym, z odpowiednim trybem dioda LED oświetlona.
Weryfikowanie pobranego pakietu
Ten krok jest opcjonalny, ale zalecany, aby można było zweryfikować następujące elementy:
- Klucz wymiany kluczy uwzględniony w zestawie narzędzi został wygenerowany na podstawie oryginalnego modułu HSM nCipher nShield.
- Skrót świata zabezpieczeń, który znajduje się w zestawie narzędzi, został wygenerowany w oryginalnym nCipher nShield HSM.
- Klucz wymiany kluczy nie jest eksportowalny.
Uwaga
Aby zweryfikować pobrany pakiet, moduł HSM musi być połączony, włączony i musi mieć na nim świat zabezpieczeń (taki jak właśnie utworzony).
Aby zweryfikować pobrany pakiet:
Uruchom skrypt verifykeypackage.py, wpisując jedną z następujących czynności, w zależności od regionu geograficznego lub wystąpienia platformy Azure:
W przypadku Ameryka Północna:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1
Dla Europy:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1
Dla Azji:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1
Dla Ameryki Łacińskiej:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1
Dla Japonii:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1
Dla Korei:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1
Dla Republiki Południowej Afryki:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1
Dla ZEA:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1
Dla Australii:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1
W przypadku platformy Azure Government, która używa wystąpienia platformy Azure dla instytucji rządowych USA:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1
Dla rządu USA DOD:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1
Dla Kanady:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1
Dla Niemiec:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
Dla niemiec publicznych:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
Dla Indii:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1
Dla Francji:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1
Dla Zjednoczonego Królestwa:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1
Dla Szwajcarii:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1
Napiwek
Oprogramowanie nCipher nShield zawiera język Python w lokalizacji %NFAST_HOME%\python\bin
Upewnij się, że widzisz następujące elementy, co oznacza pomyślną walidację: Wynik: POWODZENIE
Ten skrypt weryfikuje łańcuch podpisywania do klucza głównego nShield. Skrót tego klucza głównego jest osadzony w skrycie, a jego wartość powinna wynosić 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Tę wartość można również potwierdzić oddzielnie, odwiedzając witrynę internetową nCipher.
Teraz możesz utworzyć nowy klucz.
Tworzenie nowego klucza
Wygeneruj klucz przy użyciu programu generowania nShield nCipher.
Uruchom następujące polecenie, aby wygenerować klucz:
generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=
Po uruchomieniu tego polecenia użyj następujących instrukcji:
- Ochrona parametrów musi być ustawiona na moduł wartości, jak pokazano poniżej. Spowoduje to utworzenie klucza chronionego przez moduł. Zestaw narzędzi BYOK nie obsługuje kluczy chronionych przez protokół OCS.
- Zastąp wartość contosokey wartością ident i plainname dowolną wartością ciągu. Aby zminimalizować nakłady administracyjne i zmniejszyć ryzyko wystąpienia błędów, zalecamy użycie tej samej wartości dla obu tych elementów. Wartość ident musi zawierać tylko cyfry, kreski i małe litery.
- W tym przykładzie pole pubexp pozostanie puste (domyślne), ale można określić określone wartości.
To polecenie tworzy plik tokenizowanego klucza w folderze %NFAST_KMDATA%\local o nazwie rozpoczynającej się od key_simple_, a następnie identyfikatorze określonym w poleceniu . Na przykład: key_simple_contosokey. Ten plik zawiera zaszyfrowany klucz.
Utwórz kopię zapasową tego tokenizowanego pliku klucza w bezpiecznej lokalizacji.
Ważne
Gdy później przeniesiesz klucz do usługi Azure Key Vault, firma Microsoft nie może wyeksportować tego klucza z powrotem do Ciebie, dlatego niezwykle ważne jest, aby bezpiecznie utworzyć kopię zapasową klucza i środowiska zabezpieczeń. Skontaktuj się z nCipher , aby uzyskać wskazówki i najlepsze rozwiązania dotyczące tworzenia kopii zapasowej klucza.
Teraz możesz przystąpić do przenoszenia klucza do usługi Azure Key Vault.
Przygotowywanie klucza do przeniesienia
W tym czwartym kroku wykonaj następujące procedury na odłączonej stacji roboczej.
Tworzenie kopii klucza z ograniczonymi uprawnieniami
Otwórz nowy wiersz polecenia i zmień bieżący katalog na lokalizację, w której rozpakujesz plik ZIP BYOK. Aby zmniejszyć uprawnienia do klucza, w wierszu polecenia uruchom jedną z następujących czynności, w zależności od regionu geograficznego lub wystąpienia platformy Azure:
W przypadku Ameryka Północna:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-
Dla Europy:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1
Dla Azji:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1
Dla Ameryki Łacińskiej:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1
Dla Japonii:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1
Dla Korei:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1
Dla Republiki Południowej Afryki:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1
Dla ZEA:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1
Dla Australii:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1
W przypadku platformy Azure Government, która używa wystąpienia platformy Azure dla instytucji rządowych USA:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1
Dla rządu USA DOD:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1
Dla Kanady:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1
Dla Niemiec:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
Dla niemiec publicznych:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
Dla Indii:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1
Dla Francji:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1
Dla Zjednoczonego Królestwa:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1
Dla Szwajcarii:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1
Po uruchomieniu tego polecenia zastąp wartość contosokey tą samą wartością określoną w kroku 3.5: Utwórz nowy klucz z kroku Generowanie klucza .
Zostanie wyświetlona prośba o podłączenie kart administratora świata zabezpieczeń.
Po zakończeniu działania polecenia zobaczysz wynik: SUCCESS i kopię klucza z ograniczonymi uprawnieniami znajdują się w pliku o nazwie key_xferacId_<contosokey>.
Listę ACLS można sprawdzić przy użyciu następujących poleceń przy użyciu narzędzi nCipher nShield:
aclprint.py:
"%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"
kmfile-dump.exe:
"%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"
Po uruchomieniu tych poleceń zastąp wartość contosokey tą samą wartością określoną w kroku 3.5: Utwórz nowy klucz z kroku Generowanie klucza .
Szyfrowanie klucza przy użyciu klucza wymiany kluczy firmy Microsoft
Uruchom jedno z następujących poleceń, w zależności od regionu geograficznego lub wystąpienia platformy Azure:
W przypadku Ameryka Północna:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Europy:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Azji:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Ameryki Łacińskiej:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Japonii:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Korei:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Republiki Południowej Afryki:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla ZEA:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Australii:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
W przypadku platformy Azure Government, która używa wystąpienia platformy Azure dla instytucji rządowych USA:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla rządu USA DOD:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Kanady:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Niemiec:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla niemiec publicznych:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Indii:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Francji:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Zjednoczonego Królestwa:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Dla Szwajcarii:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Po uruchomieniu tego polecenia użyj następujących instrukcji:
- Zastąp wartość contosokey identyfikatorem użytym do wygenerowania klucza w kroku 3.5: Utwórz nowy klucz z kroku Generowanie klucza .
- Zastąp ciąg SubscriptionID identyfikatorem subskrypcji platformy Azure, która zawiera magazyn kluczy. Pobrano tę wartość wcześniej w kroku Krok 1.2: Pobierz identyfikator subskrypcji platformy Azure z kroku Przygotowywanie stacji roboczej połączonej z Internetem.
- Zastąp wartość ContosoFirstHSMKey etykietą używaną dla nazwy pliku wyjściowego.
Po pomyślnym zakończeniu zostanie wyświetlony komunikat Wynik: SUCCESS i w bieżącym folderze znajduje się nowy plik o następującej nazwie: KeyTransferPackage-ContosoFirstHSMkey.byok
Kopiowanie pakietu transferu kluczy na stację roboczą połączoną z Internetem
Użyj dysku USB lub innego przenośnego magazynu, aby skopiować plik wyjściowy z poprzedniego kroku (KeyTransferPackage-ContosoFirstHSMkey.byok) do stacji roboczej podłączonej do Internetu.
Przenoszenie klucza do usługi Azure Key Vault
W tym ostatnim kroku na stacji roboczej podłączonej do Internetu użyj polecenia cmdlet Add-AzKeyVaultKey , aby przekazać pakiet transferu kluczy skopiowany z odłączonej stacji roboczej do modułu HSM usługi Azure Key Vault:
Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'
Jeśli przekazywanie zakończy się pomyślnie, zobaczysz właściwości klucza, który właśnie został dodany.
Następne kroki
Teraz możesz użyć tego klucza chronionego przez moduł HSM w magazynie kluczy. Aby uzyskać więcej informacji, zobacz porównanie cen i funkcji.