Schritt 2: Softwaregeschützter Schlüssel zur softwaregeschützten Schlüsselmigration

Anweisungen, die Teil des Migrationspfads von AD RMS zu Azure Information Protection sind und nur gelten, wenn Ihr AD RMS-Schlüssel HSM-geschützt ist und Sie zu Azure Information Protection mit einem HSM-geschützten Mandant-Schlüssel in Azure Key Vault migrieren möchten.

Wenn dies nicht das von Ihnen gewählte Konfigurationsszenario ist, gehen Sie zurück zu Schritt 4. Exportieren von Konfigurationsdaten aus AD RMS und importieren in Azure RMS und wählen Sie eine andere Konfiguration.

Es handelt sich um ein vierteiliges Verfahren zum Importieren der AD RMS-Konfiguration in Azure Information Protection, um zu Ihrem Azure Information Protection-Mandantenschlüssel zu führen, der von Ihnen (BYOK) im Azure Key Vault verwaltet wird.

Sie müssen zunächst Ihren SLC-Schlüssel (Server Licensor Certificate) aus den AD RMS-Konfigurationsdaten extrahieren und den Schlüssel auf ein lokales nCipher HSM übertragen. Anschließend müssen Sie Ihren HSM-Schlüssel verpacken und auf Azure Key Vault übertragen, dann den Azure Rights Management Service von Azure Information Protection für den Zugriff auf Ihren Schlüsseltresor autorisieren und schließlich die Konfigurationsdaten importieren.

Da Ihr Azure Information Protection-Mandantenschlüssel von Azure Key Vault gespeichert und verwaltet wird, erfordert dieser Teil der Migration zusätzlich zu Azure Information Protection die Verwaltung in Azure Key Vault. Wenn Azure Key Vault von einem anderen Administrator als Ihnen für Ihre Organisation verwaltet wird, müssen Sie sich bei dieser Vorgehensweise mit diesem Administrator abstimmen und mit ihm zusammenarbeiten.

Stellen Sie vor Beginn sicher, dass Ihre Organisation über einen in Azure erstellten Schlüsseltresor verfügt und dass er durch HSM geschützte Schlüssel unterstützt. Obwohl nicht unbedingt erforderlich, sollten Sie über einen dedizierten Schlüsseltresor für Azure Information Protection verfügen. Dieser Schlüsseltresor wird so konfiguriert, dass der Azure Rights Management-Dienst von Azure Information Protection darauf zugreifen kann, sodass die Schlüssel, die dieser Schlüsseltresorspeicher speichert, nur auf Azure Information Protection-Schlüssel beschränkt sein sollten.

Tipp

Wenn Sie die Konfigurationsschritte für Azure Key Vault ausführen und mit diesem Azure-Dienst nicht vertraut sind, könnte es hilfreich sein zuerst Erste Schritte mit Azure Key Vault zu lesen.

Teil 1: Extrahieren Ihres SLC-Schlüssels aus den Konfigurationsdaten und Importieren des Schlüssels in Ihr lokales HSM

1. Azure Key Vault-Administrator: Verwenden Sie für jeden exportierten SLC-Schlüssel, den Sie in Azure Key Vault speichern möchten, die folgenden Schritte im Abschnitt Implementieren ihres eigenen Schlüssels (BYOK) für Azure Key Vault der Azure Key Vault-Dokumentation:

   • Erzeugen Sie Ihren Schlüssel und übertragen Sie ihn auf Azure Key Vault HSM: Schritt 1: Bereiten Sie Ihre Arbeitsstation mit Internetanschluss vor

   • Generieren und übertragen Sie Ihren Mandantenschlüssel - über das Internet: Schritt 2: Bereiten Sie Ihre getrennte Arbeitsstation vor

   Führen Sie nicht die Schritte aus, um Ihren Mandantenschlüssel zu generieren, da Sie bereits über die Entsprechung in der exportierten Konfigurationsdatendatei (XML) verfügen. Stattdessen führen Sie ein Tool aus, um diesen Schlüssel aus der Datei zu extrahieren und in Ihr lokales HSM zu importieren. Das Tool erstellt zwei Dateien, wenn Sie es ausführen:

   • Eine neue Konfigurationsdatendatei ohne den Schlüssel, die dann in Ihren Azure Information Protection-Mandanten importiert werden kann.

   • Eine PEM-Datei (Schlüsselcontainer) mit dem Schlüssel, der dann in Ihr lokales HSM importiert werden kann.

2. Azure Information Protection-Administrator oder Azure Key Vault-Administrator: Führen Sie auf der getrennten Arbeitsstation das TpdUtil-Tool aus dem Azure RMS-Migrations-Toolkit aus. Wenn das Tool beispielsweise auf Ihrem E-Laufwerk installiert ist, auf dem Sie die Konfigurationsdatendatei mit dem Namen ContosoTPD.xml kopieren:

   E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
   

   Wenn Sie über mehrere RMS-Konfigurationsdatendateien verfügen, führen Sie dieses Tool für den Remainder der dieser Dateien aus.

   Um Hilfe zu diesem Tool anzuzeigen, das eine Beschreibung, Verwendung und Beispiele enthält, führen Sie TpdUtil.exe ohne Parameter aus.

   Zeigt Hilfeinformationen für diesen Befehl an.

   • Der /tpd: gibt den vollständigen Pfad und Namen der exportierten AD RMS-Konfigurationsdatendatei an. Der vollständige Parametername ist TpdFilePath.

   • Der /otpd:-Wert gibt den Ausgabedateinamen für die Konfigurationsdatendatei ohne den Schlüssel an. Der vollständige Parametername ist OutPfxFile. Wenn Sie diesen Parameter nicht angeben, wird die Ausgabedatei standardmäßig auf den ursprünglichen Dateinamen mit dem Suffix _keyless festgelegt und im aktuellen Ordner gespeichert.

   • Das /opem: gibt den Ausgabedateinamen für die PEM-Datei an, die den extrahierten Schlüssel enthält. Der vollständige Parametername ist OutPemFile. Wenn Sie diesen Parameter nicht angeben, wird die Ausgabedatei standardmäßig auf den ursprünglichen Dateinamen mit dem Suffix _key festgelegt und im aktuellen Ordner gespeichert.

   • Wenn Sie das Kennwort nicht angeben, wenn Sie diesen Befehl ausführen (mithilfe des vollständigen Parameternamens tpdPassword oder des pwd short-Parameters), werden Sie aufgefordert, es anzugeben.

3. Schließen Sie Ihr nCipher-HSM auf derselben getrennten Arbeitsstation an und konfigurieren Sie es gemäß der nCipher-Dokumentation. Sie können nun Ihren Schlüssel in Ihr angeschlossenes nCipher HSM importieren, indem Sie den folgenden Befehl verwenden, wobei Sie Ihren eigenen Dateinamen für ContosoTPD.pem ersetzen müssen:

   generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
   

   Hinweis

   Wenn Sie über mehrere Dateien verfügen, wählen Sie die Datei aus, die dem HSM-Schlüssel entspricht, den Sie in Azure RMS verwenden möchten, um Inhalte nach der Migration zu schützen.

   Dieser Befehl zeigt eine Ausgabe ähnlich der folgenden an.

   Parameter für die Schlüsselgenerierung:

   operation Vorgang zur Durchführung des Imports

   Anwendung einfach

   verify Überprüfen der Sicherheit des Konfigurationsschlüssels yes

   type Schlüsseltyp RSA

   pemreadfile PEM-Datei mit RSA-Schlüssel e:\ContosoTPD.pem

   ident Schlüsselbezeichner contosobyok

   plainname Schlüsselname ContosoBYOK

   Schlüssel wurde erfolgreich importiert.

   Pfad zu Schlüssel: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Diese Ausgabe bestätigt, dass der private Schlüssel jetzt mit einer verschlüsselten Kopie, die in einem Schlüssel (in unserem Beispiel "key_simple_contosobyok") gespeichert ist, auf Ihr lokales nCipher HSM-Gerät migriert wurde.

Nachdem Ihr SLC-Schlüssel extrahiert und in Ihr lokales HSM importiert wurde, können Sie den HSM-geschützten Schlüssel packen und in Azure Key Vault übertragen.

Wichtig

Wenn Sie diesen Schritt abgeschlossen haben, löschen Sie diese PEM-Dateien sicher von der getrennten Arbeitsstation, um sicherzustellen, dass nicht autorisierte Personen darauf zugreifen können. Führen Sie z. B. „Chiffre /w: E“ aus, um alle Dateien sicher aus dem E:-Laufwerk zu löschen.

Schritt 2: Generieren und Übertragen des Schlüssels an das HSM des Azure-Schlüsseltresors

Azure Key Vault-Administrator: Verwenden Sie für jeden exportierten SLC-Schlüssel, den Sie im Azure Key Vault speichern möchten, die folgenden Schritte aus der Implementierung ihres eigenen Schlüssels (BYOK) für Azure Key Vault in der Azure Key Vault-Dokumentation :

• Schritt 4: Vorbereiten des Schlüssels für die Übertragung

• Schritt 5: Übertragen des Schlüssels an Azure Key Vault

Führen Sie nicht die Schritte aus, um Ihr Schlüsselpaar zu generieren, da Sie bereits über den Schlüssel verfügen. Stattdessen führen Sie einen Befehl aus, um diesen Schlüssel zu übertragen (in unserem Beispiel verwendet unser KeyIdentifier-Parameter „contosobyok“) von Ihrem lokalen HSM.

Bevor Sie Ihren Schlüssel in Azure Key Vault übertragen, stellen Sie sicher, dass das Hilfsprogramm KeyTransferRemote.exe Ergebnis zurückgibt : SUCCESS , wenn Sie eine Kopie Ihres Schlüssels mit reduzierten Berechtigungen (Schritt 4.1) und beim Verschlüsseln Des Schlüssels (Schritt 4.3) erstellen.

Wenn der Schlüssel in Azure Key Vault hochgeladen wird, werden die Eigenschaften des Schlüssels angezeigt, der die Schlüssel-ID enthält. Sie hat in etwa das folgende Format: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Notieren Sie sich diese URL, da der Azure Information Protection-Administrator ihn benötigt, um den Azure Rights Management-Dienst von Azure Information Protection anweisen, diesen Schlüssel für seinen Mandantenschlüssel zu verwenden.

Verwenden Sie dann das Cmdlet Set-AzKeyVaultAccessPolicy, um den Azure Rights Management-Dienstprinzipal für den Zugriff auf den Schlüsseltresor zu autorisieren. Erforderlich sind Berechtigungen für entschlüsseln, verschlüsseln, unwrapkey, wrapkey, überprüfen und signieren.

Wenn der Schlüsseltresor, den Sie für Azure Information Protection erstellt haben, beispielsweise contosorms-byok-kv heißt und Ihre Ressourcengruppe contosorms-byok-rg heißt, führen Sie den folgenden Befehl aus:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Nachdem Sie Ihren HSM-Schlüssel nun in Azure Key Vault übertragen haben, können Sie Ihre AD RMS-Konfigurationsdaten importieren.

Teil 3: Importieren der Konfigurationsdaten in Azure Information Protection

1. Azure Information Protection-Administrator: Kopieren Sie auf der mit dem Internet verbundenen Arbeitsstation und in der PowerShell-Sitzung Ihre neuen Konfigurationsdatendateien (.xml), bei denen der SLC-Schlüssel nach der Ausführung des Tools TpdUtil entfernt wurde.

2. Laden Sie jede .xml-Datei mit dem Cmdlet Import-AipServiceTpd hoch. Sie sollten beispielsweise mindestens eine weitere Datei zu importieren haben, wenn Sie ein Upgrade ihres AD RMS-Clusters für den Kryptografiemodus 2 durchgeführt haben.

   Zum Ausführen dieses Cmdlets benötigen Sie das Kennwort, das Sie zuvor für die Konfigurationsdatendatei angegeben haben, und die URL für den Schlüssel, der im vorherigen Schritt identifiziert wurde.

   Führen Sie beispielsweise mithilfe einer Konfigurationsdatendatei von C:\contoso_keyless.xml und unserem Schlüssel-URL-Wert aus dem vorherigen Schritt zuerst Folgendes aus, um das Kennwort zu speichern:

    $TPD_Password = Read-Host -AsSecureString
   

   Geben Sie das Kennwort ein, das Sie zum Exportieren der Konfigurationsdatendatei angegeben haben. Führen Sie dann den folgenden Befehl aus, und bestätigen Sie, dass Sie diese Aktion ausführen möchten:

   Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   Im Rahmen dieses Imports wird der SLC-Schlüssel importiert und automatisch auf archiviert gesetzt.

3. Wenn Sie jede Datei hochgeladen haben, führen Sie Set-AipServiceKeyProperties aus, um anzugeben, welcher importierte Schlüssel mit dem derzeit aktiven SLC-Schlüssel in Ihrem AD RMS-Cluster übereinstimmt.

4. Verwenden Sie das Cmdlet Disconnect-AipServiceService, um die Verbindung mit dem Azure Rights Management-Dienst zu trennen:

   Disconnect-AipServiceService
   

Wenn Sie später bestätigen müssen, welchen Schlüssel Ihr Azure Information Protection-Mieterschlüssel in Azure Key Vault verwendet, verwenden Sie das Cmdlet Get-AipServiceKeys Azure RMS-Cmdlet.

Sie können nun zu Schritt 5 übergehen. Aktivieren Sie den Azure Rights Management-Dienst.