Megosztás a következőn keresztül:

HSM által védett kulcsok importálása a Key Vaulthoz (nCipher)

  • Cikk

Figyelmeztetés

A dokumentumban ismertetett HSM-kulcs importálási módszer elavult , és 2021. június 30. után nem támogatott. Csak nCipher nShield HSM-családdal működik a 12.40.2-s vagy újabb belső vezérlőprogrammal. A HSM-kulcsok importálása új módszerrel erősen ajánlott.

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

További biztosíték, hogy az Azure Key Vault használatakor olyan hardveres biztonsági modulokban (HSM-ekben) importálhat vagy hozhat létre kulcsokat, amelyek soha nem hagyják el a HSM határát. Ennek a megoldásnak a neve saját kulcs használata, angol betűszóval BYOK. Az Azure Key Vault nCipher nShield HSM-családdal (FIPS 140-2 2. szint érvényesítve) védi a kulcsokat.

Ez a cikk segítséget nyújt a saját HSM által védett kulcsok tervezéséhez, létrehozásához és átviteléhez az Azure Key Vaulttal való használathoz.

Ez a funkció nem érhető el a 21Vianet által üzemeltetett Microsoft Azure-hoz.

Feljegyzés

További információ az Azure Key Vaultról: Mi az Az Azure Key Vault? A HSM által védett kulcsok kulcstartójának létrehozását ismertető első lépéseket ismertető oktatóanyagot az Azure Key Vault ismertetése tartalmazza.

További információ a HSM által védett kulcsok internetes generálásáról és átviteléről:

  • A kulcsot offline munkaállomásról hozza létre, ami csökkenti a támadási felületet.
  • A kulcs kulcscsere-kulccsal (KEK) van titkosítva, amely addig titkosítva marad, amíg át nem kerül az Azure Key Vault HSM-jeire. Csak a kulcs titkosított verziója hagyja el az eredeti munkaállomást.
  • Az eszközkészlet beállítja a bérlőkulcs azon tulajdonságait, amelyek a kulcsot az Azure Key Vault biztonsági világához kötik. Így miután az Azure Key Vault HSM-jei megkapták és visszafejtik a kulcsot, csak ezek a HSM-ek használhatják. A kulcs nem exportálható. Ezt a kötést az nCipher HSM-k kényszerítik.
  • A kulcs titkosításához használt kulcscserekulcs (KEK) az Azure Key Vault HSM-jeiben jön létre, és nem exportálható. A HSM-ek kényszerítik, hogy a KEK nem lehet egyértelmű verziója a HSM-eken kívül. Emellett az eszközkészlet tartalmazza az nCipher igazolását, hogy a KEK nem exportálható, és egy eredeti HSM-ben jött létre, amelyet az nCipher gyártott.
  • Az eszközkészlet tartalmazza az nCipher igazolását arról, hogy az Azure Key Vault biztonsági világa egy eredeti, nCipher által gyártott HSM-en is létre lett hozva. Ez az igazolás azt mutatja, hogy a Microsoft valódi hardvert használ.
  • A Microsoft külön KEK-ket és különálló biztonsági világokat használ minden földrajzi régióban. Ez az elkülönítés biztosítja, hogy a kulcs csak abban a régióban lévő adatközpontokban használható, amelyben titkosította. Egy európai ügyféltől származó kulcs például nem használható Észak-Amerika n vagy Ázsia adatközpontjaiban.

További információ az nCipher HSM-ekről és Microsoft-szolgáltatások

Az nCipher Security, a Entrust Datacard vállalat vezető szerepet tölt be az általános célú HSM-piacon, és a megbízhatóság, integritás és ellenőrzés révén teszi lehetővé a világvezető szervezetek számára az üzletileg kritikus fontosságú információkat és alkalmazásokat. Az nCipher titkosítási megoldásai új technológiákat – felhőt, IoT-t, blokkláncot, digitális kifizetéseket – biztosítanak, és segítenek megfelelni az új megfelelőségi követelményeknek, és ugyanazt a bevált technológiát használják, amelytől a globális szervezetek ma függnek, hogy megvédjék a bizalmas adataikat, a hálózati kommunikációt és a vállalati infrastruktúrát fenyegető fenyegetéseket. Az nCipher megbízhatóságot biztosít az üzletileg kritikus fontosságú alkalmazásokhoz, biztosítva az adatok integritását, és teljes körű felügyeletet biztosít az ügyfelek számára – ma, holnap, mindig.

A Microsoft együttműködött az nCipher Security szolgáltatással a HSM-k korszerűbb állapotának javítása érdekében. Ezek a fejlesztések lehetővé teszik az üzemeltetett szolgáltatások jellemző előnyeit anélkül, hogy lemondanál a kulcsok feletti vezérlésről. Ezek a fejlesztések lehetővé teszik, hogy a Microsoft kezelje a HSM-eket, hogy önnek ne kelljen. Felhőszolgáltatásként az Azure Key Vault rövid időn belül felskálázható, hogy megfeleljen a szervezet használati csúcsainak. Ugyanakkor a kulcs a Microsoft HSM-jeiben is védett: A kulcs életciklusa feletti irányítást megtarthatja, mert létrehozza a kulcsot, és átadja azt a Microsoft HSM-jeinek.

Saját kulcs használatának (BYOK) megvalósítása az Azure Key Vaulthoz

Használja az alábbi információkat és eljárásokat, ha saját HSM-védelem alatt álló kulcsot hoz létre, majd átadja azt az Azure Key Vaultnak. Ez az úgynevezett Saját kulcs (BYOK) forgatókönyv.

A BYOK előfeltételei

A saját kulcs (BYOK) Azure Key Vaulthoz való használatához szükséges előfeltételek listáját az alábbi táblázatban találja.

Követelmény További információ
Azure-előfizetés Azure Key Vault létrehozásához Azure-előfizetésre van szüksége: Regisztráljon az ingyenes próbaverzióra
Az Azure Key Vault prémium szolgáltatási szintje a HSM által védett kulcsok támogatásához Az Azure Key Vault szolgáltatási szintjeiről és képességeiről az Azure Key Vault díjszabási webhelyén talál további információt.
nCipher nShield HSM-k, intelligens kártyák és támogatási szoftverek Hozzá kell férnie egy nCipher hardveres biztonsági modulhoz, és alapvető üzemeltetési ismeretekkel kell rendelkeznie az nCipher nShield HSM-ekről. A kompatibilis modellek listájához tekintse meg az nCipher nShield hardveres biztonsági modult , vagy ha nem rendelkezik HSM-sel.
A következő hardver és szoftver:
  1. Egy offline x64-munkaállomás, amelyen legalább Windows 7 operációs rendszer és legalább 11.50-es verziójú nCipher nShield szoftver található.

    Ha ez a munkaállomás Windows 7 rendszert futtat, telepítenie kell a Microsoft .NET-keretrendszer 4.5-öt.
  2. Olyan munkaállomás, amely csatlakozik az internethez, és legalább Windows 7 operációs rendszerrel és az Azure PowerShell legalább 1.1.0-s verziójával rendelkezik .
  3. Usb-meghajtó vagy más hordozható tárolóeszköz, amely legalább 16 MB szabad területtel rendelkezik.
 Biztonsági okokból azt javasoljuk, hogy az első munkaállomás ne csatlakozik hálózathoz. Ez a javaslat azonban nincs programozott módon kényszerítve.

Az alábbi utasításokban ezt a munkaállomást leválasztott munkaállomásnak nevezzük.


Emellett, ha a bérlőkulcs egy éles hálózathoz tartozik, javasoljuk, hogy használjon egy második, különálló munkaállomást az eszközkészlet letöltéséhez és a bérlőkulcs feltöltéséhez. Tesztelési célokra azonban ugyanazt a munkaállomást használhatja, mint az első.

Az alábbi utasításokban ezt a második munkaállomást internetkapcsolattal rendelkező munkaállomásnak nevezzük.

Kulcs létrehozása és átvitele az Azure Key Vault HSM-be

Az alábbi öt lépéssel hozhatja létre és adhatja át a kulcsot egy Azure Key Vault HSM-nek:

Az internetkapcsolattal rendelkező munkaállomás előkészítése

Ebben az első lépésben végezze el az alábbi eljárásokat az internetkapcsolattal rendelkező munkaállomáson.

Az Azure PowerShell telepítése

Az internethez csatlakoztatott munkaállomásról töltse le és telepítse az Azure PowerShell-modult, amely tartalmazza az Azure Key Vault kezeléséhez szükséges parancsmagokat. A telepítési utasításokért lásd : Az Azure PowerShell telepítése és konfigurálása.

Az Azure-előfizetés azonosítóinak lekérése

Indítsa el az Azure PowerShell-munkamenetet, és jelentkezzen be az Azure-fiókjába az alábbi paranccsal:

   Connect-AzAccount

Az előugró böngészőablakban adja meg az Azure-fiókja felhasználónevét és jelszavát. Ezután használja a Get-AzSubscription parancsot:

   Get-AzSubscription

A kimenetben keresse meg az Azure Key Vaulthoz használni kívánt előfizetés azonosítóját. Később szüksége lesz erre az előfizetés-azonosítóra.

Ne zárja be az Azure PowerShell-ablakot.

Az Azure Key Vault BYOK-eszközkészletének letöltése

Lépjen a Microsoft letöltőközpontba, és töltse le az Azure Key Vault BYOK eszközkészletét a földrajzi régióhoz vagy az Azure-példányhoz. A következő információk segítségével azonosíthatja a letöltendő csomag nevét és a hozzá tartozó SHA-256 csomagkivonatot:

Egyesült Államok:

KeyVault-BYOK-Tools-United States.zip

2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4

Európa:

KeyVault-BYOK-Tools-Europe.zip

9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A

Ázsia:

KeyVault-BYOK-Tools-AsiaPacific.zip

4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5

Latin-Amerika:

KeyVault-BYOK-Tools-LatinAmerica.zip

E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619

Japán:

KeyVault-BYOK-Tools-Japan.zip

3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF

Korea:

KeyVault-BYOK-Tools-Korea.zip

71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F

Dél-Afrika:

KeyVault-BYOK-Tools-SouthAfrica.zip

C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A

UAE:

KeyVault-BYOK-Tools-UAE.zip

FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3

Ausztrália:

KeyVault-BYOK-Tools-Australia.zip

CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A

Azure Government:

KeyVault-BYOK-Tools-USGovCloud.zip

F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A

US Government DOD:

KeyVault-BYOK-Tools-USGovernmentDoD.zip

A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263

Kanada:

KeyVault-BYOK-Tools-Canada.zip

61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B

Németország:

KeyVault-BYOK-Tools-Germany.zip

5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6

Németország nyilvános:

KeyVault-BYOK-Tools-Germany-Public.zip

54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29

India:

KeyVault-BYOK-Tools-India.zip

49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8

Franciaország:

KeyVault-BYOK-Tools-France.zip

5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF

Egyesült Királyság:

KeyVault-BYOK-Tools-UnitedKingdom.zip

432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849

Svájc:

KeyVault-BYOK-Tools-Switzerland.zip

88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9

A letöltött BYOK-eszközkészlet integritásának ellenőrzéséhez az Azure PowerShell-munkamenetből használja a Get-FileHash parancsmagot.

Get-FileHash KeyVault-BYOK-Tools-*.zip

Az eszközkészlet a következőket tartalmazza:

  • A BYOK-KEK-pkg-val kezdődő névvel rendelkező kulcscserekulcs-csomag (KEK).
  • Egy Security World-csomag, amelynek neve BYOK-SecurityWorld-pkg- néven kezdődik .
  • Egy verifykeypackage.py nevű Python-szkript.
  • Egy parancssori végrehajtható fájl, KeyTransferRemote.exe és a társított DLL-ek.
  • Egy vcredist_x64.exe nevű Visual C++ terjeszthető csomag.

Másolja a csomagot EGY USB-meghajtóra vagy más hordozható tárolóba.

A leválasztott munkaállomás előkészítése

Ebben a második lépésben végezze el a következő eljárásokat a munkaállomáson, amely nem csatlakozik hálózathoz (vagy az internethez vagy a belső hálózathoz).

A leválasztott munkaállomás előkészítése nCipher nShield HSM használatával

Telepítse az nCipher támogatási szoftvert egy Windows rendszerű számítógépre, majd csatoljon hozzá egy nCipher nShield HSM-et.

Győződjön meg arról, hogy az nCipher-eszközök az elérési úton vannak (%nfast_home%\bin). Írja be például a következőt:

set PATH=%PATH%;"%nfast_home%\bin"

További információ: az nShield HSM felhasználói útmutatója.

A BYOK eszközkészlet telepítése a leválasztott munkaállomásra

Másolja ki a BYOK eszközkészletcsomagot az USB-meghajtóról vagy más hordozható tárolóból, majd:

  1. Bontsa ki a letöltött csomag fájljait bármelyik mappába.
  2. Ebből a mappából futtassa a vcredist_x64.exe.
  3. Kövesse az utasításokat a Visual Studio 2013 Visual C++ futtatókörnyezeti összetevőinek telepítéséhez.

A kulcs létrehozása

Ebben a harmadik lépésben hajtsa végre a következő eljárásokat a leválasztott munkaállomáson. A lépés végrehajtásához a HSM-nek inicializálási módban kell lennie.

A HSM mód módosítása "I" módra

Ha nCipher nShield Edge-t használ, módosítsa a módot: 1. A Mód gombbal jelölje ki a szükséges módot. 2. Néhány másodpercen belül nyomja le és tartsa lenyomva a Törlés gombot néhány másodpercig. Ha a mód megváltozik, az új mód LED-jének villogása leáll, és világít. Az állapotJELZŐ LED néhány másodpercig szabálytalanul villoghat, majd rendszeresen villog, amikor az eszköz készen áll. Ellenkező esetben az eszköz az aktuális módban marad, és a megfelelő módú LED világít.

Biztonsági világ létrehozása

Indítsa el a parancssort, és futtassa az nCipher new-world programot.

 new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3

Ez a program létrehoz egy biztonsági világfájlt a következő helyen: %NFAST_KMDATA%\local\world, amely megfelel a C:\ProgramData\nCipher\Key Management Data\local mappának. A kvórum különböző értékeit használhatja, de a példánkban a rendszer három üres kártyát és kitűzőt kér mindegyikhez. Ezután bármelyik két kártya teljes hozzáférést biztosít a biztonsági világhoz. Ezek a kártyák lesznek az új biztonsági világ rendszergazdai kártyakészlete .

Feljegyzés

Ha a HSM nem támogatja az újabb DLf3072s256mRijndael kódcsomagot, lecserélheti a következőre --cipher-suite= DLf3072s256mRijndael --cipher-suite=DLf1024s160mRijndael: .

Az nCipher szoftver 12.50-es verziójával rendelkező new-world.exe létrehozott biztonsági világ nem kompatibilis ezzel a BYOK-eljárással. Két lehetőség érhető el:

  1. Az nCipher szoftververziót a 12.40.2-es verzióra váltva új biztonsági világot hozhat létre.
  2. Lépjen kapcsolatba az nCipher ügyfélszolgálatával, és kérje meg őket, hogy adjanak meg egy gyorsjavítást a 12.50-es szoftververzióhoz, amely lehetővé teszi a new-world.exe 12.40.2-es verziójának használatát, amely kompatibilis ezzel a BYOK-eljárással.

Ekkor:

  • Biztonsági mentés a világfájlról. Védje és védje a világfájlt, a rendszergazdai kártyákat és a tűket, és győződjön meg arról, hogy egyetlen személy sem fér hozzá egynél több kártyához.

A HSM mód módosítása "O" módra

Ha nCipher nShield Edge-t használ, módosítsa a módot: 1. A Mód gombbal jelölje ki a szükséges módot. 2. Néhány másodpercen belül nyomja le és tartsa lenyomva a Törlés gombot néhány másodpercig. Ha a mód megváltozik, az új mód LED-jének villogása leáll, és világít. Az állapotJELZŐ LED néhány másodpercig szabálytalanul villoghat, majd rendszeresen villog, amikor az eszköz készen áll. Ellenkező esetben az eszköz az aktuális módban marad, és a megfelelő módú LED világít.

A letöltött csomag ellenőrzése

Ez a lépés nem kötelező, de ajánlott, hogy érvényesíthesse a következőket:

  • Az eszközkészletben található kulcscserekulcs egy eredeti nCipher nShield HSM-ből lett létrehozva.
  • A biztonsági világnak az eszközkészletben található kivonata egy valódi nCipher nShield HSM-ben lett létrehozva.
  • A kulcscserekulcs nem exportálható.

Feljegyzés

A letöltött csomag érvényesítéséhez a HSM-nek csatlakoztatva kell lennie, be kell kapcsolnia, és rendelkeznie kell rajta egy biztonsági világtal (például az imént létrehozott csomagtal).

A letöltött csomag ellenőrzése:

  1. A verifykeypackage.py szkript futtatásához írja be az alábbiak egyikét a földrajzi régiótól vagy az Azure-példánytól függően:

    • Észak-Amerika esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1

    • Európa esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1

    • Ázsiában:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1

    • Latin-Amerika esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1

    • Japán esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1

    • Korea esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1

    • Dél-Afrika esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1

    • Az Egyesült Arab Emírségek esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1

    • Ausztrália esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1

    • Az Azure Government esetében, amely az Azure usa-beli kormányzati példányát használja:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1

    • Amerikai kormányzati doD esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1

    • Kanada esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1

    • Németország esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1

    • A németországi nyilvánosság számára:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1

    • Indiában:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1

    • Franciaország esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1

    • Egyesült Királyság esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1

    • Svájc esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1

      Tipp.

      Az nCipher nShield szoftver tartalmazza a Pythont a következő helyen: %NFAST_HOME%\python\bin

  2. Győződjön meg arról, hogy a következőt látja, amely a sikeres ellenőrzést jelzi: Eredmény: SIKER

Ez a szkript ellenőrzi az aláírói láncot az nShield gyökérkulcsig. A gyökérkulcs kivonata beágyazva van a szkriptbe, és értéke 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Ezt az értéket külön is megerősítheti az nCipher webhelyén.

Most már készen áll egy új kulcs létrehozására.

Új kulcs létrehozása

Kulcs létrehozása az nCipher nShield generatekey program használatával.

Futtassa a következő parancsot a kulcs létrehozásához:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

A parancs futtatásakor kövesse az alábbi utasításokat:

  • A paramétervédelemnek az értékmodulra kell állítania az ábrán látható módon. Ez létrehoz egy modul által védett kulcsot. A BYOK eszközkészlet nem támogatja az OCS által védett kulcsokat.
  • Cserélje le az ident és az egyszerű név contosokey értékét bármilyen sztringértékre. A rendszergazdai többletterhelések minimalizálása és a hibák kockázatának csökkentése érdekében javasoljuk, hogy mindkettőnél ugyanazt az értéket használja. Az ident érték csak számokat, kötőjeleket és kisbetűket tartalmazhat.
  • Ebben a példában a pubexp üres (alapértelmezett) marad, de megadhat bizonyos értékeket.

Ez a parancs létrehoz egy jogkivonatos kulcsfájlt a(z) %NFAST_KMDATA%\local mappában, amelynek neve key_simple_ kezdődik, majd a parancsban megadott ident. Például: key_simple_contosokey. Ez a fájl egy titkosított kulcsot tartalmaz.

Biztonsági másolatot készít erről a jogkivonatos kulcsfájlról egy biztonságos helyen.

Fontos

Amikor később átadja a kulcsot az Azure Key Vaultba, a Microsoft nem tudja visszavinni Önhöz a kulcsot, így rendkívül fontossá válik, hogy biztonságosan biztonsági másolatot készítsön a kulcsról és a biztonsági világról. A kulcs biztonsági mentésével kapcsolatos útmutatásért és ajánlott eljárásokért forduljon az nCipherhez .

Most már készen áll a kulcs azure Key Vaultba való átvitelére.

Kulcs előkészítése az átvitelhez

Ebben a negyedik lépésben hajtsa végre a következő eljárásokat a leválasztott munkaállomáson.

A kulcs másolatának létrehozása csökkentett engedélyekkel

Nyisson meg egy új parancssort, és módosítsa az aktuális könyvtárat arra a helyre, ahová a BYOK zip-fájlt kibontotta. A kulcs engedélyeinek csökkentéséhez egy parancssorból futtassa az alábbiak egyikét a földrajzi régiótól vagy az Azure-példánytól függően:

  • Észak-Amerika esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-

  • Európa esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1

  • Ázsiában:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1

  • Latin-Amerika esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1

  • Japán esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1

  • Korea esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1

  • Dél-Afrika esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1

  • Az Egyesült Arab Emírségek esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1

  • Ausztrália esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1

  • Az Azure Government esetében, amely az Azure usa-beli kormányzati példányát használja:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1

  • Amerikai kormányzati doD esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1

  • Kanada esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1

  • Németország esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1

  • A németországi nyilvánosság számára:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1

  • Indiában:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1

  • Franciaország esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1

  • Egyesült Királyság esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1

  • Svájc esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1

A parancs futtatásakor cserélje le a contosokey-t a 3.5. lépésben megadott értékkel: Hozzon létre egy új kulcsot a Kulcs létrehozása lépésből.

A rendszer arra kéri, hogy csatlakoztassa a biztonsági világ rendszergazdai kártyáit.

Amikor a parancs befejeződik, megjelenik az Eredmény: SIKER és a csökkentett engedélyekkel rendelkező kulcs másolata a key_xferacId_<contosokey> nevű fájlban.

Az ACLS-t az nCipher nShield segédprogramok használatával az alábbi parancsokkal adhatja meg:

  • aclprint.py:

    "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"

  • kmfile-dump.exe:

    "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"

    A parancsok futtatásakor cserélje le a contosokey-t a 3.5. lépésben megadott értékkel: Hozzon létre egy új kulcsot a Kulcs létrehozása lépésből.

A kulcs titkosítása a Microsoft Kulcscsere kulcsával

A földrajzi régiótól vagy az Azure-példánytól függően futtassa az alábbi parancsok egyikét:

  • Észak-Amerika esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Európa esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Ázsiában:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Latin-Amerika esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Japán esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Korea esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dél-Afrika esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Az Egyesült Arab Emírségek esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Ausztrália esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Az Azure Government esetében, amely az Azure usa-beli kormányzati példányát használja:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Amerikai kormányzati doD esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Kanada esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Németország esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • A németországi nyilvánosság számára:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Indiában:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Franciaország esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Egyesült Királyság esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Svájc esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

A parancs futtatásakor kövesse az alábbi utasításokat:

  • Cserélje le a contosokey-t a kulcs létrehozásához használt azonosítóra a 3.5. lépésben : Hozzon létre egy új kulcsot a Kulcs létrehozása lépésből.
  • Cserélje le az SubscriptionID azonosítót a kulcstartót tartalmazó Azure-előfizetés azonosítójára. Ezt az értéket korábban az 1.2. lépésben lekérte: Az Azure-előfizetés azonosítójának lekérése az Internethez csatlakoztatott munkaállomás előkészítése lépésből.
  • Cserélje le a ContosoFirstHSMKey elemet a kimeneti fájlnévhez használt címkére.

Ha ez sikeresen befejeződött, megjelenik az Eredmény: SIKER, és egy új fájl található az aktuális mappában, amelynek neve: KeyTransferPackage-ContosoFirstHSMkey.byok

A kulcsátviteli csomag másolása az internethez csatlakoztatott munkaállomásra

Usb-meghajtóval vagy más hordozható tárolóval másolja a kimeneti fájlt az előző lépésből (KeyTransferPackage-ContosoFirstHSMkey.byok) az internethez csatlakoztatott munkaállomásra.

A kulcs átvitele az Azure Key Vaultba

Ebben az utolsó lépésben az internethez csatlakoztatott munkaállomáson az Add-AzKeyVaultKey parancsmaggal töltse fel a leválasztott munkaállomásról az Azure Key Vault HSM-be másolt kulcsátviteli csomagot:

     Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'

Ha a feltöltés sikeres, megjelenik az imént hozzáadott kulcs tulajdonságai.

Következő lépések

Most már használhatja ezt a HSM által védett kulcsot a kulcstartóban. További információkért tekintse meg ezt az árat és a funkciók összehasonlítását.