Krok 2: Migrace klíče chráněného softwarem na klíč chráněný HSM

  • Článek

Tyto pokyny jsou součástí cesty migrace z AD RMS na Azure Information Protection a platí jenom v případě, že je klíč AD RMS chráněný softwarem a chcete migrovat na Azure Information Protection pomocí klíče tenanta chráněného HSM ve službě Azure Key Vault.

Pokud se nejedná o vámi zvolený scénář konfigurace, vraťte se ke kroku 4. Exportujte konfigurační data ze služby AD RMS a importujte je do Azure RMS a zvolte jinou konfiguraci.

Jedná se o čtyřdílný postup importu konfigurace SLUŽBY AD RMS do služby Azure Information Protection, aby byl váš klíč tenanta Azure Information Protection spravovaný vámi (BYOK) ve službě Azure Key Vault.

Nejdřív musíte extrahovat klíč serverového certifikátu pro vystavování licencí (SLC) z konfiguračních dat služby AD RMS a přenést ho do místního modulu nCipher HSM, dále zabalit a přenést klíč HSM do služby Azure Key Vault, pak autorizovat službu Azure Rights Management ze služby Azure Information Protection pro přístup k trezoru klíčů a pak importovat konfigurační data.

Vzhledem k tomu, že klíč tenanta Azure Information Protection bude uložený a spravovaný službou Azure Key Vault, tato část migrace vyžaduje kromě služby Azure Information Protection také správu ve službě Azure Key Vault. Pokud službu Azure Key Vault spravuje jiný správce než vy ve vaší organizaci, musíte tyto postupy koordinovat a spolupracovat s tímto správcem.

Než začnete, ujistěte se, že má vaše organizace trezor klíčů vytvořený ve službě Azure Key Vault a že podporuje klíče chráněné HSM. I když to není nutné, doporučujeme mít vyhrazený trezor klíčů pro Azure Information Protection. Tento trezor klíčů bude nakonfigurovaný tak, aby službě Azure Rights Management ze služby Azure Information Protection umožňoval přístup, takže klíče, které tento trezor klíčů ukládá, by měly být omezené jenom na klíče Azure Information Protection.

Tip

Pokud provádíte kroky konfigurace pro Azure Key Vault a nejste obeznámeni s touto službou Azure, může být užitečné nejprve zkontrolovat , jak začít se službou Azure Key Vault.

Část 1: Extrahování klíče SLC z konfiguračních dat a import klíče do místního modulu HSM

  1. Správce služby Azure Key Vault: Pro každý exportovaný klíč SLC, který chcete uložit ve službě Azure Key Vault, použijte následující kroky v části Implementace funkce Přineste si vlastní klíč (BYOK) pro Azure Key Vault v dokumentaci ke službě Azure Key Vault:

    Nepoužívejte postup pro vygenerování klíče tenanta, protože v exportovaném souboru konfiguračních dat (.xml) už máte ekvivalent. Místo toho spustíte nástroj pro extrahování tohoto klíče ze souboru a jeho import do místního modulu HSM. Nástroj při spuštění vytvoří dva soubory:

    • Nový soubor konfiguračních dat bez klíče, který je pak připravený k importu do tenanta Azure Information Protection.

    • Soubor PEM (kontejner klíčů) s klíčem, který je pak připravený k importu do místního modulu HSM.

  2. Správce služby Azure Information Protection nebo správce služby Azure Key Vault: Na odpojené pracovní stanici spusťte nástroj TpdUtil ze sady nástrojů pro migraci Azure RMS. Pokud je nástroj například nainstalovaný na jednotce E, kam zkopírujete konfigurační datový soubor s názvem ContosoTPD.xml:

    E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem

    Pokud máte více konfiguračních souborů RMS, spusťte tento nástroj pro zbývající soubory.

    Pokud chcete zobrazit nápovědu pro tento nástroj, který obsahuje popis, použití a příklady, spusťte TpdUtil.exe bez parametrů.

    Další informace pro tento příkaz:

    • /tpd: určuje úplnou cestu a název exportovaného konfiguračního souboru služby AD RMS. Úplný název parametru je TpdFilePath.

    • /otpd: určuje název výstupního souboru konfiguračních dat bez klíče. Úplný název parametru je OutPfxFile. Pokud tento parametr nezadáte, výstupní soubor se ve výchozím nastavení nastaví na původní název souboru s příponou _keyless a uloží se do aktuální složky.

    • /opem: Určuje název výstupního souboru pro soubor PEM, který obsahuje extrahovaný klíč. Úplný název parametru je OutPemFile. Pokud tento parametr nezadáte, výstupní soubor se ve výchozím nastavení nastaví na původní název souboru s příponou _key a uloží se do aktuální složky.

    • Pokud při spuštění tohoto příkazu nezadáte heslo (pomocí názvu úplného parametru TpdPassword nebo názvu krátkého parametru pwd ), zobrazí se výzva k jeho zadání.

  3. Na stejné odpojené pracovní stanici připojte a nakonfigurujte nCipher HSM podle dokumentace nCipher. Teď můžete klíč importovat do připojeného modulu nCipher HSM pomocí následujícího příkazu, ve kterém potřebujete nahradit vlastní název souboru ContosoTPD.pem:

    generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA

    Poznámka:

    Pokud máte více než jeden soubor, zvolte soubor odpovídající klíči HSM, který chcete použít v Azure RMS k ochraně obsahu po migraci.

    Tím se vygeneruje výstup podobný následujícímu:

    parametry generování klíčů:

    Operace operace pro provedení importu

    jednoduchá aplikace aplikace

    Ověření zabezpečení konfiguračního klíče ano

    type Key type RSA

    soubor pemreadfile PEM obsahující klíč RSA e:\ContosoTPD.pem

    Identifikátor klíče contosobyok

    plainname Key name ContosoBYOK

    Klíč se úspěšně naimportoval.

    Cesta ke klíči: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Tento výstup potvrzuje, že privátní klíč se teď migruje do místního zařízení nCipher HSM se zašifrovanou kopií, která je uložená do klíče (v našem příkladu "key_simple_contosobyok").

Teď, když je váš klíč SLC extrahovaný a importovaný do místního hsM, jste připraveni zabalit klíč chráněný HSM a přenést ho do služby Azure Key Vault.

Důležité

Po dokončení tohoto kroku bezpečně vymažte tyto soubory PEM z odpojené pracovní stanice, abyste zajistili, že k nim nebudou mít přístup neoprávnění lidé. Například spuštěním příkazu "cipher /w: E" bezpečně odstraňte všechny soubory z jednotky E: .

Část 2: Zabalení a přenos klíče HSM do služby Azure Key Vault

Správce služby Azure Key Vault: Pro každý exportovaný klíč SLC, který chcete uložit do služby Azure Key Vault, použijte následující kroky z části Implementace funkce Přineste si vlastní klíč (BYOK) pro Azure Key Vault v dokumentaci ke službě Azure Key Vault:

Nevygenerujte pár klíčů podle pokynů, protože klíč už máte. Místo toho spustíte příkaz pro přenos tohoto klíče (v našem příkladu náš parametr KeyIdentifier používá "contosobyok") z místního modulu HSM.

Před přenosem klíče do služby Azure Key Vault se ujistěte, že nástroj KeyTransferRemote.exe vrátí výsledek: SUCCESS při vytvoření kopie klíče s omezenými oprávněními (krok 4.1) a při šifrování klíče (krok 4.3).

Když se klíč nahraje do služby Azure Key Vault, zobrazí se vlastnosti klíče, které zahrnují ID klíče. Bude vypadat podobně jako https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Poznamenejte si tuto adresu URL, protože správce služby Azure Information Protection ji bude potřebovat, aby službě Azure Rights Management ze služby Azure Information Protection řekl, aby tento klíč používal pro svůj klíč tenanta.

Potom pomocí rutiny Set-AzKeyVaultAccessPolicy autorizujete instanční objekt služby Azure Rights Management pro přístup k trezoru klíčů. Požadovaná oprávnění jsou dešifrována, šifrována, unwrapkey, wrapkey, verify a sign.

Pokud je například trezor klíčů, který jste vytvořili pro Azure Information Protection, pojmenovaný contosorms-byok-kv a vaše skupina prostředků má název contosorms-byok-rg, spusťte následující příkaz:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Teď, když jste přenesli klíč HSM do služby Azure Key Vault, jste připraveni importovat konfigurační data služby AD RMS.

Část 3: Import konfiguračních dat do služby Azure Information Protection

  1. Správce služby Azure Information Protection: Na pracovní stanici připojené k internetu a v relaci PowerShellu zkopírujte nové soubory konfiguračních dat (.xml), které mají odebraný klíč SLC po spuštění nástroje TpdUtil.

  2. Nahrajte každý soubor .xml pomocí rutiny Import-AipServiceTpd . Pokud jste například upgradovali cluster AD RMS pro kryptografický režim 2, měli byste mít k importu alespoň jeden další soubor.

    Ke spuštění této rutiny potřebujete heslo, které jste zadali dříve pro soubor konfiguračních dat, a adresu URL klíče, který byl identifikován v předchozím kroku.

    Například pomocí konfiguračního datového souboru C:\contoso_keyless.xml a hodnoty adresy URL klíče z předchozího kroku nejprve spusťte následující příkaz pro uložení hesla:

     $TPD_Password = Read-Host -AsSecureString

    Zadejte heslo, které jste zadali pro export konfiguračního datového souboru. Potom spusťte následující příkaz a potvrďte, že chcete provést tuto akci:

    Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose

    V rámci tohoto importu se klíč SLC naimportuje a automaticky nastaví jako archivovaný.

  3. Po nahrání každého souboru spusťte Set-AipServiceKeyProperties , abyste určili, který importovaný klíč odpovídá aktuálně aktivnímu klíči SLC v clusteru AD RMS.

  4. K odpojení od služby Azure Rights Management použijte rutinu Disconnect-AipServiceService :

    Disconnect-AipServiceService

Pokud později potřebujete ověřit, který klíč tenanta Azure Information Protection používáte ve službě Azure Key Vault, použijte rutinu Get-AipServiceKeys Azure RMS.

Teď jste připraveni přejít ke kroku 5. Aktivujte službu Azure Rights Management.