Krok 2: Migrace klíče chráněného HSM na klíč chráněný HSMStep 2: HSM-protected key to HSM-protected key migration

Platí pro: Active Directory Rights Management Services, Azure Information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

Tyto pokyny jsou součástí cesty migrace z AD RMS na Azure Information Protection a jsou platné pouze tehdy, když je klíč AD RMS chráněný HSM a když chcete migrovat na Azure Information Protection pomocí klíče tenanta chráněného HSM ve službě Azure Key Vault.These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is HSM-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

Pokud to není scénář konfigurace, který jste si zvolili, vraťte se ke kroku 4. Export údajů o konfiguraci ze služby AD RMS a jejich import do Azure RMS a zvolte jinou konfiguraci.If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

Poznámka

Tyto pokyny předpokládají, že je klíč služby AD RMS chráněn modulem.These instructions assume your AD RMS key is module-protected. Toto je nejčastější případ.This is the most typical case.

Jedná se o dvoufázový postup importu klíče HSM a konfigurace AD RMS do Azure Information Protection, který má vést k vytvoření klíče tenanta Azure Information Protection spravovaného vámi (BYOK).It’s a two-part procedure to import your HSM key and AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK).

Protože klíč tenanta Azure Information Protection bude uložený a spravovaný službou Azure Key Vault, tato část migrace vyžaduje kromě Azure Information Protection také správu ve službě Azure Key Vault.Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Pokud službu Azure Key Vault ve vaší organizaci spravuje někdo jiný než vy, budete se muset vzájemně zkoordinovat a na provedení těchto postupů spolupracovat.If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

Než začnete, ujistěte se, že vaše organizace má úložiště klíčů, které bylo vytvořené ve službě Azure Key Vault, a že podporuje klíče chráněné HSM.Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. Sice to není nutné, ale doporučujeme, abyste pro Azure Information Protection používali vyhrazený trezor klíčů.Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. Tento trezor klíčů bude nakonfigurovaný tak, aby službě Azure Rights Management umožňoval přístup. Klíče, které se v tomto trezoru klíčů budou ukládat, by tak měly být omezené jenom na klíče Azure Information Protection.This key vault will be configured to allow the Azure Rights Management service to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

Tip

Pokud budete ke konfiguračním krokům používat Azure Key Vault a ještě tuto službu Azure neznáte, doporučujeme projít si nejdřív téma Začínáme se službou Azure Key Vault.If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

Část 1: Přenos klíče HSM do služby Azure Key VaultPart 1: Transfer your HSM key to Azure Key Vault

Tyto postupy provádí správce služby Azure Key Vault.These procedures are done by the administrator for Azure Key Vault.

  1. Pro každý exportovaný klíč SLC, který chcete uložit do služby Azure Key Vault, postupujte podle pokynů v dokumentaci ke službě Azure Key Vault s využitím části Implementace funkce Přineste si vlastní klíč (BYOK) pro Azure Key Vault s následující výjimkou:For each exported SLC key that you want to store in Azure Key Vault, follow the instructions from the Azure Key Vault documentation, using Implementing bring your own key (BYOK) for Azure Key Vault with the following exception:

    • Nepoužívejte kroky pro Generování klíče tenanta, protože už máte ekvivalent z nasazení služby AD RMS.Do not do the steps for Generate your tenant key, because you already have the equivalent from your AD RMS deployment. Místo toho musíte identifikovat klíč používaný serverem služby AD RMS z instalace společnosti Thales a tento klíč použít při migraci.Instead, identify the key used by your AD RMS server from the Thales installation and use this key during the migration. Obvykle s názvem šifrované soubory klíče Thales klíč <keyAppName><keyIdentifier > místně na serveru.Thales encrypted key files are usually named key<keyAppName><keyIdentifier> locally on the server.

      Když se klíč nahraje do služby Azure Key Vault, zobrazí se jeho vlastnosti, včetně ID klíče.When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. Bude vypadat podobně jako https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Tuto adresu URL si poznamenejte, protože správce Azure Information Protection ji bude potřebovat k tomu, aby službu Azure Rights Management informoval, že má tento klíč použít jako svůj klíč tenanta.Make a note of this URL because the Azure Information Protection administrator needs it to tell the Azure Rights Management service to use this key for its tenant key.

  2. Na pracovní stanici připojené k internetu použijte v relaci PowerShellu rutinu Set-AzureRmKeyVaultAccessPolicy k autorizaci instančního objektu služby Azure Rights Management pro přístup k trezoru klíčů, ve kterém bude uložený klíč tenanta Azure Information Protection.On the Internet-connected workstation, in a PowerShell session, use the Set-AzureRmKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault that will store the Azure Information Protection tenant key. Požadovaná oprávnění jsou decrypt, encrypt, unwrapkey, wrapkey, verify a sign.The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

    Pokud klíč trezoru, který jste vytvořili pro Azure Information Protection, má název například contoso-byok-ky a skupina prostředků se jmenuje contoso-byok-rg, spusťte tento příkaz:For example, if the key vault that you have created for Azure Information Protection is named contoso-byok-ky, and your resource group is named contoso-byok-rg, run the following command:

     Set-AzureRmKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get
    

Připravili jste ve službě Azure Key Vault klíč HSM pro Azure Rights Management ze služby Azure Information Protection, takže teď jste připraveni importovat konfigurační data služby AD RMS.Now that you’ve prepared your HSM key in Azure Key Vault for the Azure Rights Management service from Azure Information Protection, you’re ready to import your AD RMS configuration data.

Část 2: Import konfiguračních dat do Azure Information ProtectionPart 2: Import the configuration data to Azure Information Protection

Tyto postupy provádí správce služby Azure Information Protection.These procedures are done by the administrator for Azure Information Protection.

  1. Na pracovní stanici připojené k internetu se v relaci PowerShellu připojte ke službě Azure Rights Management pomocí rutiny Connnect-AadrmService.On the Internet-connect workstation and in the PowerShell session, connect to the Azure Rights Management service by using the Connnect-AadrmService cmdlet.

    Pak pomocí rutiny Import-AadrmTpd nahrajte každý soubor s exportovanou důvěryhodnou doménou publikování (.xml).Then upload each trusted publishing domain (.xml) file, by using the Import-AadrmTpd cmdlet. Pokud jste upgradovali cluster služby AD RMS pro kryptografický režim 2, měli byste mít například aspoň jeden další soubor pro import.For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    Ke spuštění této rutiny potřebujete heslo, které jste dříve zadali pro každý soubor konfiguračních dat, a adresu URL pro klíč, který byl identifikován v předchozím kroku.To run this cmdlet, you need the password that you specified earlier for each configuration data file, and the URL for the key that was identified in the previous step.

    Pokud byste třeba použili soubor konfiguračních dat C:\contoso_tpd1.xml a hodnotu adresy URL našeho klíče z předchozího kroku, nejdříve spusťte toto k uložení hesla:For example, using a configuration data file of C:\contoso-tpd1.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    Zadejte heslo, které jste zadali pro export souboru konfiguračních dat.Enter the password that you specified to export the configuration data file. Pak spusťte následující příkaz a potvrďte, že chcete tuto akci provést:Then, run the following command and confirm that you want to perform this action:

    Import-AadrmTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    V rámci tohoto importu se naimportuje klíč SLC a automaticky se nastaví jako archivovaný.As part of this import, the SLC key is imported and automatically set as archived.

  2. Až všechny soubory odešlete, spuštěním rutiny Set-AadrmKeyProperties určete, který importovaný klíč odpovídá aktuálně aktivnímu klíčí SLC ve vašem clusteru AD RMS.When you have uploaded each file, run Set-AadrmKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster. Tento klíč se stane aktivním klíčem tenanta pro vaši službu Azure Rights Management.This key becomes the active tenant key for your Azure Rights Management service.

  3. K odpojení od služby Azure Information Protection použijte rutinu Disconnect-AadrmService:Use the Disconnect-AadrmService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AadrmService
    

Pokud budete později potřebovat potvrdit, který klíč váš klíč tenanta Azure Rights Management používá ve službě Azure Key Vault, použijte rutinu Get-AadrmKeys Azure RMS.If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AadrmKeys Azure RMS cmdlet.

Teď můžete přejít na Krok 5: Aktivace služby Azure Rights Management.You’re now ready to go to Step 5. Activate the Azure Rights Management service.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.