Schnellstart: Bereitstellen und Aktivieren eines verwalteten HSM mithilfe der Azure-Befehlszeilenschnittstelle

Verwaltetes HSM von Azure Key Vault ist ein vollständig verwalteter, hochverfügbarer und standardkonformer Einzelmandanten-Clouddienst, der es Ihnen ermöglicht, kryptografische Schlüssel für Ihre Cloudanwendungen über HSMs zu schützen, die mit FIPS 140-2 Level 3 validiert sind. Weitere Informationen zu verwalteten HSMs finden Sie in der Übersicht.

In dieser Schnellstartanleitung wird ein verwaltetes HSM mithilfe der Azure-Befehlszeilenschnittstelle erstellt und aktiviert.

Voraussetzungen

Damit Sie die in diesem Artikel aufgeführten Schritte ausführen können, benötigen Sie Folgendes:

Verwenden von Azure Cloud Shell

Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Befehle von Cloud Shell verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.

Starten von Azure Cloud Shell:

Option Beispiel/Link
Klicken Sie in der rechten oberen Ecke eines Codeblocks auf Ausprobieren. Durch die Auswahl von Ausprobieren wird der Code nicht automatisch in Cloud Shell kopiert. Beispiel für „Testen Sie es.“ für Azure Cloud Shell
Rufen Sie https://shell.azure.com auf, oder wählen Sie die Schaltfläche Cloud Shell starten, um Cloud Shell im Browser zu öffnen. Starten von Cloud Shell in einem neuen Fenster
Wählen Sie im Azure-Portal rechts oben im Menü die Schaltfläche Cloud Shell aus. Cloud Shell-Schaltfläche im Azure-Portal

Ausführen des Codes in diesem Artikel in Azure Cloud Shell:

  1. Starten Sie Cloud Shell.

  2. Wählen Sie die Schaltfläche Kopieren für einen Codeblock, um den Code zu kopieren.

  3. Fügen Sie den Code mit STRG+UMSCHALT+V unter Windows und Linux oder Cmd+UMSCHALT+V unter macOS in die Cloud Shell-Sitzung ein.

  4. Drücken Sie die EINGABETASTE, um den Code auszuführen.

Anmelden bei Azure

Geben Sie Folgendes ein, um sich über die Befehlszeilenschnittstelle bei Azure anzumelden:

az login

Erstellen einer Ressourcengruppe

Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Im folgenden Beispiel wird eine Ressourcengruppe mit dem Namen ContosoResourceGroup am Standort eastus2 erstellt.

az group create --name "ContosoResourceGroup" --location eastus2

Erstellen eines verwalteten HSM

Die Erstellung einer Ressource vom Typ „Verwaltetes HSM“ umfasst zwei Schritte:

  1. Bereitstellen einer verwalteten HSM-Ressource
  2. Aktivieren des verwalteten HSM durch Herunterladen der Sicherheitsdomäne

Bereitstellen eines verwalteten HSM

Verwenden Sie den Befehl az keyvault create, um ein verwaltetes HSM zu erstellen. Dieses Skript enthält drei erforderliche Parameter: einen Ressourcengruppennamen, einen HSM-Namen und den geografischen Standort.

Für die Erstellung einer Ressource vom Typ „Verwaltetes HSM“ sind folgende Angaben erforderlich:

  • Eine Ressourcengruppe, in die es unter Ihrem Abonnement eingefügt wird.
  • Azure-Standort.
  • Eine Liste mit den anfänglichen Administratoren.

Im Beispiel unten wird ein HSM mit dem Namen ContosoMHSM in der Ressourcengruppe ContosoResourceGroup am Standort USA, Osten 2 erstellt. Hierbei ist der derzeit angemeldete Benutzer der einzige Administrator, und für das vorläufige Löschen gilt ein Aufbewahrungszeitraum von 28 Tagen. Weitere Informationen über das vorläufige Löschen für verwaltete HSMs finden Sie hier.

oid=$(az ad signed-in-user show --query objectId -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "East US 2" --administrators $oid --retention-days 28

Hinweis

Die Ausführung des Erstellungsbefehls kann einige Minuten dauern. Nach erfolgreichem Abschluss können Sie Ihr HSM aktivieren.

Die Ausgabe dieses Befehls enthält die Eigenschaften des verwalteten HSM, das Sie erstellt haben. Die zwei wichtigsten Eigenschaften sind diese:

  • name: Im Beispiel lautet der Name „ContosoMHSM“. Sie verwenden diesen Namen für andere Key Vault-Befehle.
  • hsmUri: In diesem Beispiel lautet der URI https://contosohsm.managedhsm.azure.net. Von Anwendungen, die Ihr HSM über die zugehörige REST-API nutzen, muss dieser URI verwendet werden.

Ihr Azure-Konto verfügt nun über die Berechtigung zum Durchführen von Vorgängen für dieses verwaltete HSM. Derzeit ist noch keine andere Person autorisiert.

Aktivieren Ihres verwalteten HSM

Bis zur Aktivierung des HSM sind alle Datenebenenbefehle deaktiviert. Sie können keine Schlüssel erstellen oder Rollen zuweisen. Nur die designierten Administratoren, die im Rahmen des Erstellungsbefehls zugewiesen wurden, können das HSM aktivieren. Zum Aktivieren des HSM muss die Sicherheitsdomäne heruntergeladen werden.

Für die HSM-Aktivierung benötigen Sie Folgendes:

  • Mindestens drei RSA-Schlüsselpaare (maximal zehn)
  • Geben Sie die Mindestanzahl von Schlüsseln an, die zum Entschlüsseln der Sicherheitsdomäne erforderlich sind (Quorum).

Für die HSM-Aktivierung müssen zwischen drei und zehn öffentliche RSA-Schlüssel an das HSM gesendet werden. Das HSM verschlüsselt die Sicherheitsdomäne mit diesen Schlüsseln und sendet sie zurück. Nach erfolgreichem Herunterladen der Sicherheitsdomäne ist Ihr HSM verwendungsbereit. Darüber hinaus müssen Sie ein Quorum angeben. Hierbei handelt es sich um die Mindestanzahl privater Schlüssel, die zum Entschlüsseln der Sicherheitsdomäne erforderlich sind.

Im folgenden Beispiel wird gezeigt, wie Sie mithilfe von openssl drei selbst signierte Zertifikate generieren.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Wichtig

Erstellen und speichern Sie die in diesem Schritt generierten RSA-Schlüsselpaare und die generierte Sicherheitsdomänendatei an einem sicheren Ort.

Verwenden Sie den Befehl az keyvault security-domain download, um die Sicherheitsdomäne herunterzuladen und Ihr verwaltetes HSM zu aktivieren. Im folgenden Beispiel werden drei RSA-Schlüsselpaare verwendet. (Für diesen Befehl werden nur öffentliche Schlüssel benötigt.) Das Quorum wird auf „2“ festgelegt.

az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json

Speichern Sie die Sicherheitsdomänendatei und die RSA-Schlüsselpaare an einem sicheren Ort. Sie werden für die Notfallwiederherstellung sowie für die Erstellung eines weiteren verwalteten HSM mit der gleichen Sicherheitsdomäne benötigt, um die gemeinsame Nutzung von Schlüsseln zu ermöglichen.

Nach erfolgreichem Herunterladen der Sicherheitsdomäne befindet sich Ihr HSM im aktiven Zustand und ist verwendungsbereit.

Bereinigen von Ressourcen

Andere Schnellstartanleitungen und Tutorials in dieser Sammlung bauen auf dieser Schnellstartanleitung auf. Falls Sie mit weiteren Schnellstartanleitungen und Tutorials fortfahren möchten, sollten Sie die Ressourcen nicht bereinigen.

Wenn Sie die Ressourcen nicht mehr benötigen, führen Sie den Befehl az group delete aus, um die Ressourcengruppe und alle dazugehörigen Ressourcen zu löschen. Die Ressourcen können wie folgt gelöscht werden:

az group delete --name ContosoResourceGroup

Nächste Schritte

In dieser Schnellstartanleitung haben Sie eine Key Vault-Instanz erstellt und ein Geheimnis darin gespeichert. Weitere Informationen zu Key Vault und zur Integration in Ihre Anwendungen finden Sie in den folgenden Artikeln: