Krok 2 Migrace klíče chráněného softwarem na klíč chráněný HSMStep 2: Software-protected key to HSM-protected key migration

Platí pro: Active Directory Rights Management Services, Azure Information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

Tyto pokyny jsou součástí cesty migrace z AD RMS na Azure Information Protection a jsou platné pouze tehdy, když je klíč AD RMS chráněný softwarem a když chcete migrovat na Azure Information Protection pomocí klíče tenanta chráněného HSM ve službě Azure Key Vault.These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is software-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

Pokud to není scénář konfigurace, který jste si zvolili, vraťte se ke kroku 4. Export údajů o konfiguraci ze služby AD RMS a jejich import do Azure RMS a zvolte jinou konfiguraci.If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

Jedná se o čtyřfázový postup importu konfigurace AD RMS do Azure Information Protection, který má vést k vytvoření klíče tenanta Azure Information Protection spravovaného vámi (BYOK) ve službě Azure Key Vault.It’s a four-part procedure to import the AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK) in Azure Key Vault.

Nejdřív musíte extrahovat klíč serverového certifikátu pro vystavování licencí (SLC) z konfiguračních dat AD RMS a přenést ho do místního souboru Thales HSM, potom zabalit a přenést klíč HSM do Azure Key Vault, autorizovat službu Azure Rights Management ze služby Azure Information Protection k přístupu do trezoru klíčů a potom importovat konfigurační data.You must first extract your server licensor certificate (SLC) key from the AD RMS configuration data and transfer the key to an on-premises Thales HSM, next package and transfer your HSM key to Azure Key Vault, then authorize the Azure Rights Management service from Azure Information Protection to access your key vault, and then import the configuration data.

Protože klíč tenanta Azure Information Protection bude uložený a spravovaný službou Azure Key Vault, tato část migrace vyžaduje kromě Azure Information Protection také správu ve službě Azure Key Vault.Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Pokud službu Azure Key Vault ve vaší organizaci spravuje někdo jiný než vy, budete se muset vzájemně zkoordinovat a na provedení těchto postupů spolupracovat.If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

Než začnete, ujistěte se, že vaše organizace má úložiště klíčů, které bylo vytvořené ve službě Azure Key Vault, a že podporuje klíče chráněné HSM.Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. Sice to není nutné, ale doporučujeme, abyste pro Azure Information Protection používali vyhrazený trezor klíčů.Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. Tento trezor klíčů bude nakonfigurovaný tak, aby službě Azure Rights Management ze služby Azure Information Protection umožňoval přístup. Klíče, které se v tomto trezoru klíčů budou ukládat, by tak měly být omezené jenom na klíče Azure Information Protection.This key vault will be configured to allow the Azure Rights Management service from Azure Information Protection to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

Tip

Pokud budete ke konfiguračním krokům používat Azure Key Vault a ještě tuto službu Azure neznáte, doporučujeme projít si nejdřív téma Začínáme se službou Azure Key Vault.If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

Část 1: Extrahování klíče SLC z konfiguračních dat a import klíče do místního modulu HSMPart 1: Extract your SLC key from the configuration data and import the key to your on-premises HSM

  1. Správce služby Azure Key Vault: Pro každý exportovaný klíč SLC, který chcete uložit do služby Azure Key Vault, použijte následující kroky v části Implementace funkce Přineste si vlastní klíč (BYOK) pro Azure Key Vault dokumentace ke službě Azure Key Vault:Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key Vault, use the following steps in the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

    Nedělejte postup generování klíče tenanta, protože už máte ekvivalent v exportovaném souboru konfiguračních dat (.xml).Do not follow the steps to generate your tenant key, because you already have the equivalent in the exported configuration data (.xml) file. Místo toho spustíte nástroj pro extrakci tohoto klíče ze souboru a jeho import do místního modulu HSM.Instead, you will run a tool to extract this key from the file and import it to your on-premises HSM. Tento nástroj po spuštění vytvoří dva soubory:The tool creates two files when you run it:

    • Nový soubor konfiguračních dat bez klíče, který je připravený pro import do tenanta Azure Information Protection.A new configuration data file without the key, which is then ready to be imported to your Azure Information Protection tenant.

    • Soubor PEM (kontejner klíčů) s klíčem, který je připravený pro import do místního modulu HSM.A PEM file (key container) with the key, which is then ready to be imported to your on-premises HSM.

  2. Správce Azure Information Protection nebo správce služby Azure Key Vault: Na odpojené stanici spusťte nástroj TpdUtil ze sady nástrojů pro migraci Azure RMS.Azure Information Protection administrator or Azure Key Vault administrator: On the disconnected workstation, run the TpdUtil tool from the Azure RMS migration toolkit. Pokud se tento nástroj nainstaluje na jednotku E, kam zkopírujete soubor konfiguračních dat nazvaný ContosoTPD.xml:For example, if the tool is installed on your E drive where you copy your configuration data file named ContosoTPD.xml:

        E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
    

    Pokud máte víc souborů konfiguračních dat RMS, spusťte tento nástroj i pro zbývající soubory.If you have more than one RMS configuration data files, run this tool for the remainder of these files.

    Pokud chcete pro tento nástroj zobrazit nápovědu, která zahrnuje popis, použití a příklady, spusťte TpdUtil.exe bez parametrů.To see Help for this tool, which includes a description, usage, and examples, run TpdUtil.exe with no parameters

    Další informace k tomuto příkazu:Additional information for this command:

    • /tpd: Určuje úplnou cestu a název vyexportovaného souboru konfiguračních dat AD RMS.The /tpd: specifies the full path and name of the exported AD RMS configuration data file. Úplný název tohoto parametru je TpdFilePath.The full parameter name is TpdFilePath.

    • /otpd: Určuje název výstupního souboru pro soubor konfiguračních dat bez klíče.The /otpd: specifies the output file name for the configuration data file without the key. Úplný název tohoto parametru je OutPfxFile.The full parameter name is OutPfxFile. Pokud tento parametr nezadáte, pro výstupní soubor se ve výchozím nastavení použije původní název souboru s příponou _keyless a soubor se uloží v aktuální složce.If you do not specify this parameter, the output file defaults to the original file name with the suffix _keyless, and it is stored in the current folder.

    • /opem: Určuje název výstupního souboru pro soubor PEM, který obsahuje extrahovaný klíč.The /opem: specifies the output file name for the PEM file, which contains the extracted key. Úplný název tohoto parametru je OutPemFile.The full parameter name is OutPemFile. Pokud tento parametr nezadáte, pro výstupní soubor se ve výchozím nastavení použije původní název souboru s příponou _key a soubor se uloží v aktuální složce.If you do not specify this parameter, the output file defaults to the original file name with the suffix _key, and it is stored in the current folder.

    • Pokud při spuštění tohoto příkazu nezadáte heslo (použitím úplného názvu parametru TpdPassword nebo krátkého názvu pwd), zobrazí se výzva k jeho zadání.If you don't specify the password when you run this command (by using the TpdPassword full parameter name or pwd short parameter name), you are prompted to specify it.

  3. Na stejné odpojené stanici připojte a nakonfigurujte modul hardwarového zabezpečení (HSM) Thales (podle dokumentace společnosti Thales).On the same disconnected workstation, attach and configure your Thales HSM, according to your Thales documentation. Teď můžete svůj klíč importovat do připojeného modulu hardwarového zabezpečení Thales. Provedete to následujícím příkazem (místo ContosoTPD.pem musíte použít vlastní název souboru):You can now import your key into your attached Thales HSM by using the following command where you need to substitute your own file name for ContosoTPD.pem:

     generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
    

    Poznámka

    Pokud máte víc souborů, zvolte soubor odpovídající klíči HSM, který chcete ve službě Azure RMS používat k ochraně obsahu po dokončení migrace.If you have more than one file, choose the file that corresponds to the HSM key you want to use in Azure RMS to protect content after the migration.

    Tím se vygeneruje výstup, který bude vypadat přibližně takto:This generates an output display similar to the following:

    Parametry generování klíčů:key generation parameters:

    operation       Operace, která se má provést                importoperation       Operation to perform                import

    application     Aplikace                                simpleapplication     Application                                simple

    verify               Ověření zabezpečení konfiguračního klíče                 yesverify               Verify security of configuration key                 yes

    type                 Typ klíče                                     RSAtype                 Key type                                     RSA

    pemreadfile    Soubor PEM obsahující klíč RSA    e:\ContosoTPD.pempemreadfile    PEM file containing RSA key    e:\ContosoTPD.pem

    ident                Identifikátor klíče                             contosobyokident                Key identifier                             contosobyok

    plainname       Název klíče                                   ContosoBYOKplainname       Key name                                   ContosoBYOK

    Klíč se úspěšně naimportoval.Key successfully imported.

    Cesta ke klíči: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyokPath to key: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Tento výstup potvrzuje, že privátní klíč se migroval do místního zařízení HSM Thales se šifrovanou kopií, která je uložená do klíče (v našem příkladu je to key_simple_contosobyok).This output confirms that the private key is now migrated to your on-premises Thales HSM device with an encrypted copy that is saved to a key (in our example, "key_simple_contosobyok").

Klíč SLC je teď extrahovaný a naimportovaný do vašeho místního modulu HSM, takže jste připravení klíč chráněný HSM zabalit a přenést do služby Azure Key Vault.Now that your SLC key has been extracted and imported to your on-premises HSM, you’re ready to package the HSM-protected key and transfer it to Azure Key Vault.

Důležité

Po dokončení tohoto kroku nezapomeňte tyto soubory PEM vymazat z odpojené pracovní stanice, aby k nim neměly přístup neoprávněné osoby.When you have completed this step, securely erase these PEM files from the disconnected workstation to ensure that they cannot be accessed by unauthorized people. K bezpečnému vymazání všech souborů z jednotky E použijte třeba příkaz cipher /w: E.For example, run "cipher /w: E" to securely delete all files from the E: drive.

Část 2: Zabalení a přenos klíče HSM do služby Azure Key VaultPart 2: Package and transfer your HSM key to Azure Key Vault

Správce služby Azure Key Vault: Pro každý exportovaný klíč SLC, který chcete uložit do služby Azure Key Vault, použijte následující kroky v části Implementace funkce Přineste si vlastní klíč (BYOK) pro Azure Key Vault dokumentace ke službě Azure Key Vault:Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key vault, use the following steps from the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

Vzhledem k tomu, že klíč už máte, nepoužívejte kroky pro vytvoření páru klíčů.Do not follow the steps to generate your key pair, because you already have the key. Místo toho spustíte příkaz pro přenos tohoto klíče (v našem příkladu parametr KeyIdentifier používá hodnotu contosobyok) z místního modulu HSM.Instead, you will run a command to transfer this key (in our example, our KeyIdentifier parameter uses "contosobyok") from your on-premises HSM.

Před přenosem klíče do služby Azure Key Vault ověřte, že nástroj KeyTransferRemote.exe při vytvoření kopie klíče s omezenými oprávněními (krok 4.1) a při šifrování tohoto klíče (krok 4.3) vrací Výsledek: ÚSPĚCH.Before you transfer your key to Azure Key Vault, make sure that the KeyTransferRemote.exe utility returns Result: SUCCESS when you create a copy of your key with reduced permissions (step 4.1) and when you encrypt your key (step 4.3).

Když se klíč nahraje do služby Azure Key Vault, zobrazí se jeho vlastnosti, včetně ID klíče.When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. Bude vypadat podobně jako https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Tuto adresu URL si poznamenejte, protože správce Azure Information Protection ji bude potřebovat k tomu, aby službu Azure Rights Management ze služby Azure Information Protection informoval, že má tento klíč použít jako svůj klíč tenanta.Make a note of this URL because the Azure Information Protection administrator will need it to tell the Azure Rights Management service from Azure Information Protection to use this key for its tenant key.

Pak pomocí rutiny Set-AzureRmKeyVaultAccessPolicy autorizujte instančnímu objektu Azure Rights Management přístup k trezoru klíčů.Then use the Set-AzureRmKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault. Požadovaná oprávnění jsou decrypt, encrypt, unwrapkey, wrapkey, verify a sign.The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

Pokud například trezor klíčů, který jste vytvořili pro Azure Information Protection, má název contosorms-byok-kv a skupina prostředků se jmenuje contosorms-byok-rg, spusťte tento příkaz:For example, if the key vault that you have created for Azure Information Protection is named contosorms-byok-kv, and your resource group is named contosorms-byok-rg, run the following command:

Set-AzureRmKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Přenesli jste klíč HSM do služby Azure Key Vault, takže jste připravení importovat konfigurační data služby AD RMS.Now that you’ve transferred your HSM key to Azure Key Vault, you’re ready to import your AD RMS configuration data.

Část 3: Import konfiguračních dat do Azure Information ProtectionPart 3: Import the configuration data to Azure Information Protection

  1. Správce Azure Information Protection: Na pracovní stanici připojené k počítači v relaci PowerShellu zkopírujte nové soubory konfiguračních dat (.xml), ze kterých byl po spuštění nástroje TpdUtil odebraný klíč SLC.Azure Information Protection administrator: On the Internet-connected workstation and in the PowerShell session, copy over your new configuration data files (.xml) that have the SLC key removed after running the TpdUtil tool.

  2. K nahrání každého souboru .xml použijte rutinu Import-AadrmTpd.Upload each .xml file, by using the Import-AadrmTpd cmdlet. Pokud jste upgradovali cluster služby AD RMS pro kryptografický režim 2, měli byste mít například aspoň jeden další soubor pro import.For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    Ke spuštění této rutiny budete potřebovat heslo, které jste dříve zadali pro soubor konfiguračních dat, a adresu URL klíče, který byl rozpoznán v předchozím kroku.To run this cmdlet, you need the password that you specified earlier for the configuration data file, and the URL for the key that was identified in the previous step.

    Pokud byste třeba použili soubor konfiguračních dat C:\contoso_keyless.xml a hodnotu adresy URL našeho klíče z předchozího kroku, nejdříve spusťte toto k uložení hesla:For example, using a configuration data file of C:\contoso_keyless.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    Zadejte heslo, které jste zadali pro export souboru konfiguračních dat.Enter the password that you specified to export the configuration data file. Pak spusťte následující příkaz a potvrďte, že chcete tuto akci provést:Then, run the following command and confirm that you want to perform this action:

    Import-AadrmTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    V rámci tohoto importu se naimportuje klíč SLC a automaticky se nastaví jako archivovaný.As part of this import, the SLC key is imported and automatically set as archived.

  3. Až všechny soubory odešlete, spuštěním rutiny Set-AadrmKeyProperties určete, který importovaný klíč odpovídá aktuálně aktivnímu klíčí SLC ve vašem clusteru AD RMS.When you have uploaded each file, run Set-AadrmKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster.

  4. K odpojení od služby Azure Information Protection použijte rutinu Disconnect-AadrmService:Use the Disconnect-AadrmService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AadrmService
    

Pokud budete později potřebovat potvrdit, který klíč váš klíč tenanta Azure Rights Management používá ve službě Azure Key Vault, použijte rutinu Get-AadrmKeys Azure RMS.If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AadrmKeys Azure RMS cmdlet.

Teď můžete přejít na Krok 5: Aktivace služby Azure Rights Management.You’re now ready to go to Step 5. Activate the Azure Rights Management service.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.