Создание и перемещение ключей, защищенных модулем HSM, для Key Vault (nCipher)
Предупреждение
Метод импорта ключей HSM, описанный в данном документе, устарел и не будет поддерживаться после 30 июня 2021 г. Он работает только с семейством HSM nCipher nShield со встроенным ПО 12.40.2 или более поздней версии. Настоятельно рекомендуется использовать новый метод импорта HSM-ключей.
Примечание.
Мы рекомендуем использовать модуль Azure Az PowerShell для взаимодействия с Azure. Сведения о начале работы см. в статье "Установка Azure PowerShell". Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Чтобы обеспечить более высокий уровень защиты при работе с хранилищем ключей Azure, можно импортировать ключи или создать их в аппаратных модулях безопасности (ключи никогда не покидают их пределы). Такой сценарий с использованием собственного ключа часто называется BYOK. Для защиты ключей Azure Key Vault использует семейство модулей HSM nCipher nShield (проверенных по стандарту FIPS 140-2 уровня 2).
Данная статья поможет вам подготовить и создать ваши собственные ключи, защищенные аппаратным модулем безопасности, а затем передать их в хранилище ключей Azure.
Эта функция недоступна для Microsoft Azure, управляемой 21Vianet.
Примечание.
Подробнее об Azure Key Vault см. здесь. В этой же статье вы найдете указания по началу работы, включая создание хранилища для ключей, защищенных модулем HSM.
Дополнительные сведения о создании и передаче ключей, защищенных аппаратным модулем безопасности, через Интернет:
- Ключ создается на автономной рабочей станции, что позволяет уменьшить область атаки.
- Ключ шифруется с помощью ключа обмена ключом (KEK), который остается зашифрованным, пока он не будет передан в HSM Azure Key Vault. Исходную рабочую станцию покидает только зашифрованная версия ключа.
- Набор инструментов задает свойства ключа клиента, который привязывает ваш ключ к системе безопасности хранилища ключей Azure. В связи с этим после, как только аппаратные модули безопасности хранилища ключей Azure получат и расшифруют ваш ключ, использовать его смогут только они. Экспортировать ключ нельзя. Эта привязка реализуется аппаратными модулями безопасности nCipher.
- Ключ обмена ключами, используемый для шифрования вашего ключа, создается в аппаратных модулях безопасности хранилища ключей Azure и не может быть экспортирован. Аппаратные модули безопасности не допускают существования ключа обмена ключами в чистом виде за пределами аппаратных модулей безопасности. Кроме того, этот набор инструментов включает аттестацию, в процессе которой nCipher проверяет, можно ли экспортировать ключ обмена ключами и был ли он создан в подлинном модуле HSM производства nCipher.
- Набор инструментов включает аттестацию, в процессе которой nCipher проверяет, была ли система безопасности Azure Key Vault создана в подлинном модуле HSM производства nCipher. Эта аттестация демонстрирует, что корпорация Майкрософт использует подлинное оборудование.
- Корпорация Майкрософт применяет отдельные ключи шифрования ключей, а также отдельные системы безопасности в каждом географическом регионе. Такое разделение значит, что ваш ключ может использоваться только в центрах обработки данных того региона, в котором он был зашифрован. Например, ключ европейского клиента нельзя использовать в центрах обработки данных в Северной Америке или Азии.
Дополнительные сведения об аппаратных модулях безопасности nCipher и службах Майкрософт
nCipher Security, компания Entrust Datacard, — лидер на рынке HSM общего назначения, обеспечивающий надежность и целостность критически важной для бизнеса информации и приложений, а также возможности контроля над ними в ведущих организациях всего мира. Криптографические решения nCipher защищают новые технологии (облако, Интернет вещей, блокчейн, цифровые платежи), а также обеспечивают соответствие новым требованиям, используя те же проверенные технологии, которые международные организации применяют в данный момент для защит от угроз, связанных с конфиденциальными данными, сетевыми коммуникациями и корпоративной инфраструктурой. nCipher обеспечивает доверие для критически важных для бизнеса приложений, обеспечивая целостность данных и предоставляя клиентам полный контроль — сегодня, завтра, всегда.
Сотрудничество с компанией nCipher Security позволяет корпорации Майкрософт повышать уровень технического развития аппаратных модулей безопасности. Эти улучшения позволят вам пользоваться стандартными преимуществами размещаемых служб, не теряя контроль над ключами, а корпорации Майкрософт — управлять аппаратными модулями безопасности за вас. Поскольку Azure Key Vault является облачной службой, она легко масштабируется в соответствии с потребностями вашей организации. В то же время ваш ключ защищен аппаратными модулями безопасности Майкрософт: вы получаете контроль над жизненным циклом ключа, так как создаете ключ и перемещаете его в аппаратные модули безопасности Майкрософт.
Реализация сценария BYOK для Azure Key Vault
Используйте следующие сведения и процедуры, если вы создадете собственный защищенный HSM ключ, а затем перенесите его в Azure Key Vault. Это называется сценарием "Принести собственный ключ" (BYOK).
Предварительные требования для BYOK
Список предварительных требований для реализации сценария BYOK для хранилища ключей Azure к см. в приведенной ниже таблице.
Требование | Дополнительные сведения |
---|---|
Подписка на Azure | Для создания хранилища ключей Azure требуется подписка Azure: зарегистрируйтесь для получения бесплатной пробной версии |
Поддержка защищенных ключей аппаратных модулей безопасности в хранилище ключей Azure уровня служб "Премиум". | Дополнительные сведения об уровнях служб и возможностях хранилища ключей Azure см. на веб-сайте Цены на хранилище ключей Azure. |
Модули HSM nCipher nShield, смарт-карты и программное обеспечение поддержки | Вы должны иметь доступ к аппаратному модулю безопасности nCipher и базовые знания о работе модулей HSM nCipher nShield. Список совместимых моделей или сведения о покупке аппаратного модуля безопасности, если у вас его нет, см. на странице аппаратного модуля безопасности nCipher nShield. |
Следующее оборудование и программное обеспечение:
|
По соображениям безопасности рекомендуется не подключать первую рабочую станцию к сети. Однако это не применяется принудительно программным путем. Далее эта рабочая станция называется отключенной рабочей станцией. Кроме того, если ключ клиента предназначен для производственной сети, рекомендуется использовать вторую, отдельную рабочую станцию для скачивания набора средств и отправки ключа клиента. Но в целях тестирования можно использовать первую рабочую станцию. Далее вторая рабочая станция называется рабочей станцией, подключенной к Интернету. |
Создание и передача ключа в аппаратный модуль безопасности хранилища ключей Azure
Для создания и передачи ключа в HSM Azure Key Vault выполните следующие пять действий.
- Шаг 1. Подготовка рабочей станции, подключенной к Интернету
- Шаг 2. Подготовка отключенной рабочей станции
- Шаг 3. Создание ключа
- Шаг 4. Подготовка ключа к передаче
- Шаг 5. Передача ключа в хранилище ключей Azure
Подготовка рабочей станции, подключенной к Интернету
Чтобы подготовить рабочую станцию, подключенную к Интернету, выполните описанные ниже действия.
Чтобы установить Azure PowerShell, выполните следующие действия
С компьютера, подключенного к Интернету, загрузите и установите модуль Azure PowerShell, который содержит командлеты для управления хранилищем ключей Azure. Инструкции по установке см. в статье Установка и настройка Azure PowerShell.
Получение идентификатора подписки Azure
Запустите сеанс Azure PowerShell и выполните вход в учетную запись Azure с помощью следующей команды:
Connect-AzAccount
Во всплывающем окне браузера введите имя пользователя и пароль учетной записи Azure. Затем воспользуйтесь командой Get-AzSubscription:
Get-AzSubscription
В выходных данных найдите идентификатор для подписки, которая будет использоваться для хранилища ключей Azure. Позже вам потребуется этот идентификатор подписки.
Не закрывайте окно Azure PowerShell.
Скачивание набора инструментов BYOK для Azure Key Vault
Перейдите в Центр загрузки Майкрософт и скачайте набор инструментов BYOK для хранилища ключей Azure для своего географического региона или экземпляра Azure. Чтобы определить имя пакета для скачивания и его хэш SHA-256, используйте следующие сведения.
США —
KeyVault-BYOK-Tools-UnitedStates.zip
2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4
Европа:
KeyVault-BYOK-Tools-Europe.zip
9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A
Азия —
KeyVault-BYOK-Tools-AsiaPacific.zip
4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5
Латинская Америка
KeyVault-BYOK-Tools-LatinAmerica.zip
E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619
Япония
KeyVault-BYOK-Tools-Japan.zip
3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF
Корея
KeyVault-BYOK-Tools-Korea.zip
71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F
Южно-Африканская Республика
KeyVault-BYOK-Tools-SouthAfrica.zip
C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A
ОАЭ
KeyVault-BYOK-Tools-UAE.zip
FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3
Австралия:
KeyVault-BYOK-Tools-Australia.zip
CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A
Azure для государственных организаций:
KeyVault-BYOK-Tools-USGovCloud.zip
F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A
Министерство обороны США
KeyVault-BYOK-Tools-USGovernmentDoD.zip
A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263
Канада —
KeyVault-BYOK-Tools-Canada.zip
61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B
Германия
KeyVault-BYOK-Tools-Germany.zip
5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6
Германия (общедоступная версия)
KeyVault-BYOK-Tools-Germany-Public.zip
54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29
Индия
KeyVault-BYOK-Tools-India.zip
49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8
Франция:
KeyVault-BYOK-Tools-France.zip
5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF
Соединенное Королевство:
KeyVault-BYOK-Tools-UnitedKingdom.zip
432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849
Швейцария
KeyVault-BYOK-Tools-Switzerland.zip
88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9
Чтобы проверить целостность скачанного набора инструментов BYOK, в сеансе Azure PowerShell запустите командлет Get-FileHash .
Get-FileHash KeyVault-BYOK-Tools-*.zip
Набор инструментов включает в себя следующее.
- Пакет ключей обмена ключами с именем, начинающимся с BYOK-KEK-pkg-.
- Пакет Security World с именем, начинающимся с BYOK-SecurityWorld-pkg-
- Сценарий Python с именем verifykeypackage.py.
- Исполняемый файл командной строки с именем KeyTransferRemote.exe и связанными библиотеками DLL.
- Распространяемый пакет Visual C++ с именем vcredist_x64.exe.
Скопируйте пакет на USB-накопитель или другое переносное устройство.
Подготовка отключенной рабочей станции
Чтобы подготовить рабочую станцию, не подключенную к сети (к Интернету или внутренней сети), выполните указанные ниже действия.
Подготовка отключенной рабочей станции с помощью модуля HSM nCipher nShield
Установите программное обеспечение поддержки nCipher на компьютере Windows, а затем подключите к этому компьютеру модуль HSM nCipher nShield.
Убедитесь, что инструменты nCipher расположены в каталоге по вашему пути (%nfast_home%\bin). Например, введите:
set PATH=%PATH%;"%nfast_home%\bin"
Дополнительные сведения см. в руководстве пользователя, которое поставляется вместе с модулем HSM nShield.
Установка набора инструментов BYOK на отключенную рабочую станцию
Скопируйте пакет набора инструментов BYOK с USB-диска или другого переносимого хранилища, а затем:
- Извлеките файлы из загруженного пакета в любую папку.
- Запустите файл vcredist_x64.exe из этой папки.
- Следуйте инструкциям по установке компонентов среды выполнения Visual C++ для Visual Studio 2013.
Создание ключа
Чтобы создать свой ключ, выполните на отключенной рабочей станции указанные ниже действия. Для выполнения этого шага HSM должен находиться в режиме инициализации.
Изменение режима HSM на I
Если вы используете nCipher nShield Edge, для изменения режима сделайте следующее.1. Используйте кнопку "Режим", чтобы выделить необходимый режим. 2. Через несколько секунд нажмите и удерживайте пару секунд кнопку "Очистить". Если режим изменится, светодиодный индикатор нового режима перестанет мигать и начнет светиться. Индикатор состояния может беспорядочно мигать в течение нескольких секунд. Затем, когда устройство будет готово, он станет мигать регулярно. В противном случае устройство останется в текущем режиме. При этом загорится соответствующий индикатор режима.
Создание системы безопасности
Откройте командную строку и запустите новую программу системы безопасности nCipher.
new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3
Эта программа создает файл Security World в каталоге %NFAST_KMDATA%\local\world, который соответствует папке C:\ProgramData\nCipher\Key Management Data\local. Можно использовать разные значения для кворума, но в данном примере вам будет предложено ввести три пустые карты и закрепления для каждой из них. После этого любые две карты предоставят полный доступ к системе безопасности. Эти карты станут набором карт администратора для новой системы безопасности.
Примечание.
Если HSM не поддерживает более новый набор шифров DLf3072s256mRijndael, можно заменить --cipher-suite= DLf3072s256mRijndael
на --cipher-suite=DLf1024s160mRijndael
.
Система безопасности, созданная с помощью программы new-world.exe, которая поставляется с программным обеспечением nCipher версии 12.50, несовместима с этой процедурой BYOK. Есть два варианта.
- Понизить версию программного обеспечения nCipher до 12.40.2, чтобы создать новую систему безопасности.
- Обратиться в службу поддержки nCipher и попросить их предоставить исправление для версии программного обеспечения 12.50, которое позволяет использовать версию 12.40.2 программы new-world.exe, совместимую с этой процедурой BYOK.
Затем:
- Создайте резервную копию файла системы безопасности. Защитите файл системы безопасности, карты администратора и их закрепления и убедитесь, что все имеют доступ не больше, чем к одной карте.
Изменение режима HSM на O
Если вы используете nCipher nShield Edge, для изменения режима сделайте следующее.1. Используйте кнопку "Режим", чтобы выделить необходимый режим. 2. Через несколько секунд нажмите и удерживайте пару секунд кнопку "Очистить". Если режим изменится, светодиодный индикатор нового режима перестанет мигать и начнет светиться. Индикатор состояния может беспорядочно мигать в течение нескольких секунд. Затем, когда устройство будет готово, он станет мигать регулярно. В противном случае устройство останется в текущем режиме. При этом загорится соответствующий индикатор режима.
Проверка скачанного пакета
Этот шаг необязателен, но рекомендуется, поскольку позволяет проверить следующее.
- Ключ обмена ключами, включенный в набор инструментов, создан в подлинном модуле HSM nCipher nShield.
- Хэш системы безопасности, включенный в набор инструментов, создан в подлинном модуле HSM nCipher nShield.
- Ключ обмена ключами недоступен для экспорта.
Примечание.
Для проверки загруженного пакета аппаратный модуль безопасности должен быть подключен, включен и оснащен системой безопасности (которую вы только что создали).
Проверка загруженного пакета
Запустите сценарий verifykeypackage.py, указав одно из приведенных ниже значений в зависимости от вашего географического региона или экземпляра Azure.
Для Северной Америки:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1
Для Европы:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1
Для Азии:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1
Для Латинской Америки:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1
Для Японии:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1
Для Кореи:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1
Для Южно-Африканской Республики:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1
Для ОАЭ:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1
Для Австралии:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1
Для Azure для государственных организаций, использующего экземпляр Azure для правительства США:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1
Для министерства обороны США:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1
Для Канады:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1
Для Германии:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
Для Германии (общедоступная версия):
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
Для Индии:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1
Для Франции:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1
Для Соединенного Королевства:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1
Для Швейцарии:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1
Совет
Программное обеспечение nCipher nShield включает Python по адресу %NFAST_HOME%\python\bin
Должен появиться следующий текст, показывающий, что проверка пройдена: Результат: УСПЕШНО
Этот сценарий проверяет цепочку до корневого ключа nShield подписавшего пользователя. Хэш этого корневого ключа встроен в сценарий и должен иметь значение 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Кроме того, вы можете проверить это значение отдельно на веб-сайте nCipher.
Теперь можно создать новый ключ.
Создание ключа
Создайте ключ с помощью программы generatekey в nCipher nShield.
Для создания ключа выполните следующую команду:
generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=
При выполнении команды следуйте приведенным ниже инструкциям.
- Параметру protect должно быть задано значение module, как показано. В результате будет создан ключ, защищенный модулем. Набор средств BYOK не поддерживает ключи, защищенные OCS.
- Замените значение contosokey для параметров ident и plainname любым строковым значением. Чтобы минимизировать административные затраты и снизить риск возникновения ошибок, рекомендуется использовать для обоих параметров одно и то же значение. Значение параметра Ident должно содержать только цифры, тире и буквы нижнего регистра.
- В данном примере значение параметра pubexp остается пустым (по умолчанию), но можно указать и конкретные значения.
Эта команда создает файл ключа с маркером в папке %NFAST_KMDATA%\local с именем, начинающимся с key_simple_, за которым следует значение параметра ident, указанное в команде. Пример: key_simple_contosokey. Этот файл содержит зашифрованный ключ.
Создайте резервную копию файла ключа с токеном в безопасном расположении.
Внимание
После передачи ключа в хранилище ключей Azure корпорация Майкрософт не сможет экспортировать ключ обратно, поэтому крайне важно сделать резервную копию ключа и системы безопасности. За инструкциями и рекомендациями по резервному копированию ключа обращайтесь в компанию nCipher.
После этого ключ можно передать в хранилище ключей Azure.
Подготовка ключа к передаче
Чтобы подготовить ключ к передаче, выполните на отключенной рабочей станции указанные ниже действия.
Создание копии ключа с ограниченными разрешениями
Откройте новую командную строку и измените текущий каталог на каталог, в который вы разархивировали ZIP-файл BYOK. Чтобы ограничить разрешения в ключе, выполните через командную строку одну из следующих команд в зависимости от вашего географического региона или экземпляра Azure.
Для Северной Америки:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-
Для Европы:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1
Для Азии:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1
Для Латинской Америки:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1
Для Японии:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1
Для Кореи:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1
Для Южно-Африканской Республики:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1
Для ОАЭ:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1
Для Австралии:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1
Для Azure для государственных организаций, использующего экземпляр Azure для правительства США:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1
Для министерства обороны США:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1
Для Канады:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1
Для Германии:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
Для Германии (общедоступная версия):
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
Для Индии:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1
Для Франции:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1
Для Соединенного Королевства:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1
Для Швейцарии:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1
При запуске этой команды замените contosokey тем же значением, которое вы указали при выполнении этапа Шаг 3.5. Создание ключа процедуры Создание ключа .
Появится запрос на подключение карт администратора системы безопасности.
После завершения команды появится текст Результат: УСПЕШНО, а копия ключа с ограниченными разрешениями появится в файле с именем key_xferacId_<contosokey>.
Вы можете проверить списки ACL, используя следующие команды и служебные программы nCipher nShield:
aclprint.py:
"%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"
kmfile-dump.exe:
"%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"
При запуске этих команд замените contosokey тем же значением, которое вы указали на этапе Шаг 3.5. Создание ключа в разделе Создание ключа.
Шифрование ключа с помощью ключа обмена ключами Майкрософт
Выполните одну из следующих команд в зависимости от вашего географического региона или экземпляра Azure:
Для Северной Америки:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Европы:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Азии:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Латинской Америки:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Японии:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Кореи:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Южно-Африканской Республики:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для ОАЭ:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Австралии:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Azure для государственных организаций, использующего экземпляр Azure для правительства США:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для министерства обороны США:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Канады:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Германии:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Германии (общедоступная версия):
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Индии:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Франции:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Соединенного Королевства:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Для Швейцарии:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
При выполнении команды следуйте приведенным ниже инструкциям.
- Замените contosokey идентификатором, который вы использовали для создания ключа на этапе Шаг 3.5. Создание ключа в разделе Создание ключа.
- Замените SubscriptionID на идентификатор подписки Azure, содержащей ваше хранилище ключей. Это значение было получено ранее на этапе Шаг 1.2. Получение идентификатора подписки Azure процедуры Подготовка рабочей станции, подключенной к Интернету .
- Замените ContosoFirstHSMKey меткой, которая используется для имени выходного файла.
После выполнения команды отобразится сообщение Результат: успешно, а в текущей папке появится новый файл с именем KeyTransferPackage-ContosoFirstHSMkey.byok.
Копирование пакета передачи ключа на рабочую станцию, подключенную к Интернету
С помощью USB-накопителя или другого переносного устройства скопируйте выходной файл из предыдущего шага (KeyTransferPackage-ContosoFirstHSMkey.byok) на рабочую станцию, подключенную к Интернету.
Передача ключа в Azure Key Vault
Наконец, на рабочей станции, подключенной к Интернету, выполните командлет Add-AzKeyVaultKey, чтобы отправить пакет передачи ключа, скопированный с отключенной рабочей станции, в аппаратный модуль безопасности Azure Key Vault.
Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'
При успешном завершении отправки на экране появятся свойства добавленного ключа.
Следующие шаги
Теперь ключ, защищенный с помощью аппаратного модуля безопасности, можно использовать в хранилище ключей. Дополнительные сведения см. на этой странице цен и сравнения характеристик.