Schritt 2: Migration softwaregeschützter Schlüssel zu HSM-geschützten SchlüsselnStep 2: Software-protected key to HSM-protected key migration

Gilt für: Active Directory Rights Management Services, Azure Information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

Diese Anweisungen sind Teil des Migrationspfads von AD RMS zu Azure Information Protection und gelten nur, wenn Ihr AD RMS-Schlüssel softwaregeschützt ist und Sie die Migration zu Azure Information Protection mit einem HSM-geschützten Mandantenschlüssel in Azure Key Vault durchführen möchten.These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is software-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

Wenn dies nicht Ihr ausgewähltes Konfigurations Szenario ist, fahren Sie mit Schritt 4 fort. Exportieren Sie Konfigurationsdaten aus AD RMS, und importieren Sie Sie in Azure RMS, und wählen Sie eine andere Konfiguration aus.If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

Das Verfahren zum Importieren der AD RMS-Konfiguration in Azure Information Protection, um den von Ihnen verwalteten Azure Information Protection-Mandantenschlüssel (BYOK) in Azure Key Vault zu erhalten, gliedert sich in vier Phasen.It’s a four-part procedure to import the AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK) in Azure Key Vault.

Sie müssen zunächst den SLC-Schlüssel (Server Lizenzgeber Certificate) aus den AD RMS Konfigurationsdaten extrahieren und den Schlüssel auf ein lokales nchiffre-HSM übertragen, das nächste Mal Verpacken und den HSM-Schlüssel an Azure Key Vault übertragen. anschließend autorisieren Sie den Azure Rights Management-Dienst von Azure Information Protection, um auf Ihren Schlüssel Tresor zuzugreifen, und importieren dann die Konfigurationsdaten.You must first extract your server licensor certificate (SLC) key from the AD RMS configuration data and transfer the key to an on-premises nCipher HSM, next package and transfer your HSM key to Azure Key Vault, then authorize the Azure Rights Management service from Azure Information Protection to access your key vault, and then import the configuration data.

Da Ihr Azure Information Protection-Mandantenschlüssel von Azure Key Vault gespeichert und verwaltet wird, muss dieser Teil der Migration nicht nur in Azure Key Vault, sondern auch in Azure Information Protection verwaltet werden.Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Wenn Azure Key Vault für Ihre Organisation nicht von Ihnen, sondern von einem anderen Administrator verwaltet wird, müssen Sie sich mit diesem Administrator abstimmen und mit ihm zusammenarbeiten, um diese Prozeduren abzuschließen.If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

Stellen Sie zu Beginn sicher, dass Ihre Organisation über einen Schlüsseltresor verfügt, der in Azure Key Vault erstellt wurde, und dass er HSM-geschützte Schlüssel unterstützt.Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. Auch wenn dies nicht erforderlich ist, empfehlen wir, einen dedizierten Schlüsseltresor für Azure Information Protection zu verwenden.Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. Dieser Schlüsseltresor wird so konfiguriert, dass der Azure Rights Management-Dienst von Azure Information Protection darauf zugreifen kann, sodass dieser Schlüsseltresor nur Azure Information Protection-Schlüssel enthält.This key vault will be configured to allow the Azure Rights Management service from Azure Information Protection to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

Tipp

Wenn Sie die Konfigurationsschritte für Azure Key Vault ausführen möchten und noch nicht mit diesem Azure-Dienst vertraut sind, finden Sie nützliche Informationen im Artikel Erste Schritte mit Azure Key Vault.If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

Teil 1: Extrahieren des SLC-Schlüssels aus den Konfigurationsdaten und Importieren des Schlüssels in das lokale HSMPart 1: Extract your SLC key from the configuration data and import the key to your on-premises HSM

  1. Azure Key Vault-Administrator: Führen Sie für jeden exportierten SLC-Schlüssel, den Sie in Azure Key Vault speichern möchten, die folgenden Schritte im Abschnitt Implementieren von „Bring Your Own Key“ (BYOK) für Azure Key Vault der Azure Key Vault-Dokumentation durch:Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key Vault, use the following steps in the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

    Führen Sie die Schritte zum Generieren Ihres Mandantenschlüssels nicht aus, da Sie bereits über das Äquivalent in der XML-Datei mit den exportierten Konfigurationsdaten verfügen.Do not follow the steps to generate your tenant key, because you already have the equivalent in the exported configuration data (.xml) file. Führen Sie stattdessen ein Tool zum Extrahieren dieses Schlüssels aus der Datei und zum Importieren des Schlüssels in das lokale HSM aus.Instead, you will run a tool to extract this key from the file and import it to your on-premises HSM. Wenn Sie das Tool ausführen, werden zwei Dateien erstellt:The tool creates two files when you run it:

    • Eine neue Konfigurationsdatendatei ohne den Schlüssel, die dann auf Ihren Azure Information Protection-Mandanten importiert werden kann.A new configuration data file without the key, which is then ready to be imported to your Azure Information Protection tenant.

    • Eine PEM-Datei (Schlüsselcontainer) mit dem Schlüssel, die dann in Ihr lokales HSM importiert werden kann.A PEM file (key container) with the key, which is then ready to be imported to your on-premises HSM.

  2. Azure Information Protection-Administrator oder Azure Key Vault-Administrator: Führen Sie auf der nicht verbundenen Arbeitsstation das TpdUtil-Tool aus dem Azure RMS-Migrationstoolkit aus.Azure Information Protection administrator or Azure Key Vault administrator: On the disconnected workstation, run the TpdUtil tool from the Azure RMS migration toolkit. Wenn das Tool beispielsweise auf Ihrem Laufwerk E: installiert ist, auf das Sie Ihre Konfigurationsdatendatei mit dem Namen „ContosoTPD.xml“ kopieren:For example, if the tool is installed on your E drive where you copy your configuration data file named ContosoTPD.xml:

    E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
    

    Wenn mehrere RMS-Konfigurationsdatendateien vorliegen, führen Sie dieses Tool für die restlichen Dateien aus.If you have more than one RMS configuration data files, run this tool for the remainder of these files.

    Führen Sie „TpdUtil.exe“ ohne Parameter aus, um Hilfe für dieses Tool anzuzeigen, einschließlich einer Beschreibung, Verwendungshinweisen und Beispielen.To see Help for this tool, which includes a description, usage, and examples, run TpdUtil.exe with no parameters

    Weitere Informationen zu diesem Befehl:Additional information for this command:

    • /tpd: Gibt den vollständigen Pfad und den Namen der exportierten AD RMS-Konfigurationsdatendatei an.The /tpd: specifies the full path and name of the exported AD RMS configuration data file. Der vollständige Parametername lautet TpdFilePath.The full parameter name is TpdFilePath.

    • /otpd: Gibt den Ausgabedateinamen für die Konfigurationsdatendatei ohne den Schlüssel an.The /otpd: specifies the output file name for the configuration data file without the key. Der vollständige Parametername lautet OutPfxFile.The full parameter name is OutPfxFile. Wenn Sie diesen Parameter nicht angeben, erhält die Ausgabedatei standardmäßig den ursprünglichen Dateinamen mit dem Suffix _keyless und wird im aktuellen Ordner gespeichert.If you do not specify this parameter, the output file defaults to the original file name with the suffix _keyless, and it is stored in the current folder.

    • /opem: Gibt den Ausgabedateinamen für die PEM-Datei an, die den extrahierten Schlüssel enthält.The /opem: specifies the output file name for the PEM file, which contains the extracted key. Der vollständige Parametername lautet OutPemFile.The full parameter name is OutPemFile. Wenn Sie diesen Parameter nicht angeben, erhält die Ausgabedatei standardmäßig den ursprünglichen Dateinamen mit dem Suffix _key und wird im aktuellen Ordner gespeichert.If you do not specify this parameter, the output file defaults to the original file name with the suffix _key, and it is stored in the current folder.

    • Wenn Sie beim Ausführen dieses Befehls (unter Verwendung des vollständigen Parameternamens TpdPassword oder des kurzen Parameternamens pwd) das Kennwort nicht angeben, werden Sie zur Eingabe aufgefordert.If you don't specify the password when you run this command (by using the TpdPassword full parameter name or pwd short parameter name), you are prompted to specify it.

  3. Fügen Sie auf derselben nicht verbundenen Arbeitsstation Ihr nchiffre-HSM gemäß ihrer nchiffre-Dokumentation an, und konfigurieren Sie Sie.On the same disconnected workstation, attach and configure your nCipher HSM, according to your nCipher documentation. Sie können nun Ihren Schlüssel mit dem folgenden Befehl in Ihr angefügtes nchiffre-HSM importieren, wobei Sie Ihren eigenen Dateinamen für "fitosotpd. PEM" ersetzen müssen:You can now import your key into your attached nCipher HSM by using the following command where you need to substitute your own file name for ContosoTPD.pem:

    generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
    

    Hinweis

    Wenn Sie über mehrere Dateien verfügen, wählen Sie die Datei aus, die dem HSM-Schlüssel entspricht, den Sie in Azure RMS zum Schutz der Inhalte nach der Migration verwenden möchten.If you have more than one file, choose the file that corresponds to the HSM key you want to use in Azure RMS to protect content after the migration.

    Dadurch wird eine Ausgabeanzeige generiert, die in etwa folgendermaßen aussieht:This generates an output display similar to the following:

    key generation parameters:key generation parameters:

    Vorgangs           Vorgang zum Ausführen des                             Importsoperation       Operation to perform                import

    Anwendungs         Anwendung                                                               einfachapplication     Application                                simple

    Überprüfen                           der Sicherheit des Konfigurations Schlüssels                                 Javerify               Verify security of configuration key                 yes

    **                              typschlüsseltyp                                                                       RSA**type                 Key type                                     RSA

    PEM-Datei der Datei "peminfofile"     mit dem RSA-Schlüssel "     e:\c"pemreadfile    PEM file containing RSA key    e:\ContosoTPD.pem

    Ident-                             Schlüssel Bezeichner                                                       contosobyokident                Key identifier                             contosobyok

    plainname           Schlüssel Name                                                                   contosobyokplainname       Key name                                   ContosoBYOK

    Key successfully imported.Key successfully imported.

    Path to key: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyokPath to key: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Diese Ausgabe bestätigt, dass der private Schlüssel nun auf das lokale HSM-HSM-Gerät mit einer verschlüsselten Kopie migriert wird, die in einem Schlüssel gespeichert wird (in unserem Beispiel "key_simple_contosobyok").This output confirms that the private key is now migrated to your on-premises nCipher HSM device with an encrypted copy that is saved to a key (in our example, "key_simple_contosobyok").

Nachdem Ihr SLC-Schlüssel extrahiert und auf Ihr lokales HSM importiert wurde, sind Sie bereit, den HSM-geschützten Schlüssel zu paketieren und an Azure Key Vault zu übertragen.Now that your SLC key has been extracted and imported to your on-premises HSM, you’re ready to package the HSM-protected key and transfer it to Azure Key Vault.

Wichtig

Sorgen Sie im Anschluss an diesen Schritt dafür, dass diese PEM-Dateien sicher von der nicht verbundenen Arbeitsstation gelöscht werden, damit unbefugte Benutzer nicht darauf zugreifen können.When you have completed this step, securely erase these PEM files from the disconnected workstation to ensure that they cannot be accessed by unauthorized people. Führen Sie beispielsweise „cipher /w:E“ aus, um alle Dateien sicher vom Laufwerk E: zu löschen.For example, run "cipher /w: E" to securely delete all files from the E: drive.

Teil 2: Paketieren und Übertragen des HSM-Schlüssels an Azure Key VaultPart 2: Package and transfer your HSM key to Azure Key Vault

Azure Key Vault-Administrator: Führen Sie für jeden exportierten SLC-Schlüssel, den Sie in Azure Key Vault speichern möchten, die folgenden Schritte des Abschnitts Implementieren von „Bring Your Own Key“ (BYOK) für Azure Key Vault der Azure Key Vault-Dokumentation durch:Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key vault, use the following steps from the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

Führen Sie die Schritte zum Generieren des Schlüsselpaars nicht aus, da Sie bereits über den Schlüssel verfügen.Do not follow the steps to generate your key pair, because you already have the key. Stattdessen führen Sie einen Befehl zum Übertragen dieses Schlüssels (in unserem Beispiel verwendet der KeyIdentifier-Parameter „contosobyok“) aus Ihrem lokalen HSM aus.Instead, you will run a command to transfer this key (in our example, our KeyIdentifier parameter uses "contosobyok") from your on-premises HSM.

Bevor Sie Ihren Schlüssel an Azure Key Vault übertragen, stellen Sie sicher, dass das Dienstprogramm „KeyTransferRemote.exe“ Result: SUCCESS (Ergebnis: ERFOLG) zurückgibt, wenn Sie eine Kopie Ihres Schlüssels mit eingeschränkten Berechtigungen erstellen (Schritt 4.1) und Ihren Schlüssel verschlüsseln (Schritt 4.3).Before you transfer your key to Azure Key Vault, make sure that the KeyTransferRemote.exe utility returns Result: SUCCESS when you create a copy of your key with reduced permissions (step 4.1) and when you encrypt your key (step 4.3).

Wenn der Schlüssel in Azure Key Vault hochgeladen wird, werden Ihnen die Schlüsseleigenschaften, einschließlich der Schlüssel-ID, angezeigt.When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. Dies sieht in etwa wie folgt aus https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 :.It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Sie sollten sich diese URL notieren, da der Azure Information Protection-Administrator ihn benötigt, um dem Azure Rights Management-Dienst von Azure Information Protection mitzuteilen, dass dieser Schlüssel als Mandantenschlüssel verwendet werden soll.Make a note of this URL because the Azure Information Protection administrator will need it to tell the Azure Rights Management service from Azure Information Protection to use this key for its tenant key.

Verwenden Sie dann das Cmdlet Set-azkeyvaultaccesspolicy , um den Azure Rights Management-Dienst Prinzipal für den Zugriff auf den Schlüssel Tresor zu autorisieren.Then use the Set-AzKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault. Die erforderlichen Berechtigungen sind „decrypt“, „encrypt“, „unwrapkey“, „wrapkey“, „verify“ und „sign“.The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

Wenn beispielsweise der Schlüsseltresor, den Sie für Azure Information Protection erstellt haben, „contosorms-byok-kv“ heißt und die Ressourcengruppe „contosorms-byok-rg“, führen Sie den folgenden Befehl aus:For example, if the key vault that you have created for Azure Information Protection is named contosorms-byok-kv, and your resource group is named contosorms-byok-rg, run the following command:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Nachdem Sie Ihren HSM-Schlüssel an Azure Key Vault übertragen haben, können Sie Ihre AD RMS-Konfigurationsdaten importieren.Now that you’ve transferred your HSM key to Azure Key Vault, you’re ready to import your AD RMS configuration data.

Teil 3: Importieren der Konfigurationsdaten in Azure Information ProtectionPart 3: Import the configuration data to Azure Information Protection

  1. Azure Information Protection Administrator: Kopieren Sie auf der Arbeitsstation mit Internetverbindung und in der PowerShell-Sitzung die neuen Konfigurations Datendateien (. Xml), deren SLC-Schlüssel nach dem Ausführen des Tools tpdutil entfernt wurde.Azure Information Protection administrator: On the internet-connected workstation and in the PowerShell session, copy over your new configuration data files (.xml) that have the SLC key removed after running the TpdUtil tool.

  2. Laden Sie jede XML-Datei mithilfe des Cmdlets Import-aipservicetpd hoch.Upload each .xml file, by using the Import-AipServiceTpd cmdlet. Sie müssen beispielsweise mindestens eine weitere Datei importieren, wenn Sie Ihren AD RMS-Cluster auf den Kryptografiemodus 2 aktualisiert haben.For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    Um dieses Cmdlet auszuführen, benötigen Sie das Kennwort, das Sie zuvor für die Konfigurationsdatendatei angegeben haben, sowie die URL für den Schlüssel, der im vorherigen Schlüssel identifiziert wurde.To run this cmdlet, you need the password that you specified earlier for the configuration data file, and the URL for the key that was identified in the previous step.

    Führen Sie den folgenden Befehl aus, um das Kennwort zu speichern. Als Beispiel dienen hier die Konfigurationsdatendatei „C:\contoso_keyless.xml“ und der Wert für die Schlüssel-URL aus dem vorherigen Schritt:For example, using a configuration data file of C:\contoso_keyless.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    Geben Sie das Kennwort ein, das Sie für den Export der Konfigurationsdatendatei angegeben haben.Enter the password that you specified to export the configuration data file. Führen Sie dann den folgenden Befehl aus, und bestätigen Sie, dass Sie diese Aktion ausführen möchten:Then, run the following command and confirm that you want to perform this action:

    Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Im Rahmen dieses Importvorgangs wird der SLC-Schlüssel importiert und automatisch als archiviert festgelegt.As part of this import, the SLC key is imported and automatically set as archived.

  3. Wenn Sie jede Datei hochgeladen haben, führen Sie Set-aipservicekeyproperties aus, um anzugeben, welcher importierte Schlüssel mit dem derzeit aktiven SLC-Schlüssel in Ihrem AD RMS Cluster übereinstimmt.When you have uploaded each file, run Set-AipServiceKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster.

  4. Verwenden Sie das Disconnect-aipserviceservice- Cmdlet, um die Verbindung mit dem Azure Rights Management-Dienst zu trennen:Use the Disconnect-AipServiceService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AipServiceService
    

Wenn Sie später bestätigen müssen, welchen Schlüssel Ihr Azure Information Protection Mandanten Schlüssel in Azure Key Vault verwendet, verwenden Sie das Cmdlet Get-aipservicekeys Azure RMS.If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AipServiceKeys Azure RMS cmdlet.

Nun können Sie mit Schritt 5 fortfahren. Aktivieren Sie den Azure Rights Management-Dienst.You’re now ready to go to Step 5. Activate the Azure Rights Management service.