Étape 2 : migration de clé protégée par logiciel à clé protégée par HSM

Les instructions qui font partie du chemin de migration d’AD RMS vers Azure Information Protection et qui sont applicables uniquement si votre clé AD RMS est protégée par logiciel et que vous souhaitez migrer vers Azure Information Protection avec une clé de locataire protégée par HSM dans Azure Key Vault.

Si ce n’est pas votre scénario de configuration choisi, revenez à l’Étape 4. Exportez les données de configuration à partir d’AD RMS et importez-les dans Azure RMS et choisissez une autre configuration.

Il s’agit d’une procédure en quatre partie pour importer la configuration AD RMS dans Azure Information Protection, afin de générer votre clé de locataire Azure Information Protection gérée par vous (BYOK) dans Azure Key Vault.

Vous devez d’abord extraire votre clé de certificat de licence de serveur (SLC) à partir des données de configuration AD RMS et transférer la clé vers un HSM nCipher local, package suivant et transférer votre clé HSM vers Azure Key Vault, puis autoriser le service Azure Rights Management à partir d’Azure Information Protection à accéder à votre coffre de clés, puis importer les données de configuration.

Étant donné que votre clé de locataire Azure Information Protection sera stockée et gérée par Azure Key Vault, cette partie de la migration nécessite l’administration dans Azure Key Vault, en plus d’Azure Information Protection. Si Azure Key Vault est géré par un autre administrateur que vous pour votre entreprise, vous devez co-coordonner et collaborer avec cet administrateur pour effectuer ces procédures.

Avant de commencer, assurez-vous que votre entreprise dispose d’un coffre de clés créé dans Azure Key Vault et qu’il prend en charge les clés protégées par HSM. Bien qu’il ne soit pas nécessaire, nous vous recommandons d’avoir un coffre de clés dédié pour Azure Information Protection. Ce coffre de clés est configuré pour autoriser le service Azure Rights Management à partir d’Azure Information Protection à y accéder, de sorte que les clés que ce coffre de clés stocke doivent être limitées uniquement aux clés Azure Information Protection.

Conseil

Si vous effectuez les étapes de configuration pour Azure Key Vault et que vous n’êtes pas familiarisé avec ce service Azure, vous pouvez trouver utile de commencer par passer en revue Prise en main d’Azure Key Vault.

Partie 1 : Extraire votre clé SLC des données de configuration et importer la clé dans votre HSM local

1. Administrateur Azure Key Vault : pour chaque clé SLC exportée que vous souhaitez stocker dans Azure Key Vault, procédez comme suit dans la section Implémentation Apportez votre propre clé de BYOK (Bring Your Own Key Vault) pour Azure Key Vault de la documentation Azure Key Vault :

   • Générer et transférer votre clé vers azure Key Vault HSM : Étape 1 : Préparer votre station de travail connectée à Internet

   • Générer et transférer votre clé de locataire sur Internet : Étape 2 : Préparer votre station de travail déconnectée

   Ne suivez pas les étapes pour générer votre clé de locataire, car vous disposez déjà de l’équivalent dans le fichier de données de configuration exportées (.xml). Au lieu de cela, vous allez exécuter un outil pour extraire cette clé du fichier et l’importer dans votre HSM local. L’outil crée deux fichiers lorsque vous l’exécutez :

   • Un nouveau fichier de données de configuration sans clé, qui est ensuite prêt à être importé dans votre locataire Azure Information Protection.

   • Un fichier PEM (conteneur de clés) avec la clé, qui est ensuite prêt à être importé dans votre HSM local.

2. Administrateur Azure Protection des données ou administrateur Azure Key Vault : sur la station de travail déconnectée, exécutez l’outil TpdUtil à partir de la boîte à outils de migration Azure RMS. Par exemple, si l’outil est installé sur votre lecteur E où vous copiez votre fichier de données de configuration nommé ContosoTPD.xml :

   E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
   

   Si vous avez plusieurs fichiers de données de configuration RMS, exécutez cet outil pour le reste de ces fichiers.

   Pour afficher l’aide de cet outil, qui inclut une description, une utilisation et des exemples, exécutez TpdUtil.exe sans paramètres

   Informations supplémentaire pour cette commande.

   • /tpd : spécifie le chemin complet et le nom du fichier de données de configuration AD RMS exporté. Le nom complet du paramètre est TpdFilePath.

   • /otpd : spécifie le nom du fichier de données de sortie pour le fichier de données de configuration sans la clé. Le nom complet du paramètre est OutPfxFile. Si vous ne spécifiez pas ce paramètre, le fichier de sortie est défini par défaut sur le nom de fichier d’origine avec le suffixe _keyless, et il est stocké dans le dossier actif.

   • /opem : spécifie le nom du fichier de sortie du fichier PEM, qui contient la clé extraite. Le nom complet du paramètre est OutPemFile. Si vous ne spécifiez pas ce paramètre, le fichier de sortie est défini par défaut sur le nom de fichier d’origine avec le suffixe _key, et il est stocké dans le dossier actif.

   • Si vous ne spécifiez pas le mot de passe lorsque vous exécutez cette commande (à l’aide du nom de paramètre complet TpdPassword ou du nom de paramètre court pwd), vous êtes invité à le spécifier.

3. Sur la même station de travail déconnectée, attachez et configurez votre HSM nCipher, en fonction de votre documentation nCipher. Vous pouvez maintenant importer votre clé dans votre HSM nCipher attaché à l’aide de la commande suivante dans laquelle vous devez remplacer votre propre nom de fichier pour ContosoTPD.pem :

   generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
   

   Remarque

   Si vous avez plusieurs fichiers, choisissez le fichier correspondant à la clé HSM que vous souhaitez utiliser dans Azure RMS pour protéger le contenu après la migration.

   Cela génère un affichage de sortie similaire à la suivante :

   paramètres de génération de clés :

   opération Opération pour effectuer l’importation

   application Application simple

   vérifier Vérifier la sécurité de la clé de configuration oui

   Type de clé type RSA

   fichier PEM pemreadfile contenant la clé RSA e :\ContosoTPD.pem

   ident Identificateur de clé contosobyok

   nom de clé plainname ContosoBYOK

   Clé correctement importée.

   Chemin d’accès à la clé : C :\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Cette sortie confirme que la clé privée est maintenant migrée vers votre appareil HSM nCipher local avec une copie chiffrée enregistrée dans une clé (dans notre exemple, « key_simple_contosobyok »).

Maintenant que votre clé SLC a été extraite et importée dans votre HSM local, vous êtes prêt à empaqueter la clé protégée par HSM et à la transférer vers Azure Key Vault.

Important

Une fois cette étape terminée, effacez en toute sécurité ces fichiers PEM de la station de travail déconnectée pour vous assurer qu’ils ne peuvent pas être accessibles par des personnes non autorisées. Par exemple, exécutez « cipher /w : E » pour supprimer en toute sécurité tous les fichiers du lecteur E :

Partie 2 : empaquetez et transférez votre clé HSM vers Azure Key Vault

Administrateur Azure Key Vault : pour chaque clé SLC exportée que vous souhaitez stocker dans Azure Key Vault, procédez comme suit dans la section Implémentation Apportez votre propre clé de BYOK (Bring Your Own Key Vault) pour Azure Key Vault de la documentation Azure Key Vault :

• Étape 4 : Préparer votre clé pour le transfert

• Étape 5 : Transférer votre clé vers Azure Key Vault

Ne suivez pas les étapes pour générer votre paire de clés, car vous disposez déjà de la clé. Au lieu de cela, vous allez exécuter une commande pour transférer cette clé (dans notre exemple, notre paramètre KeyIdentifier utilise « contosobyok ») à partir de votre HSM local.

Avant de transférer votre clé vers Azure Key Vault, assurez-vous que l’utilitaire KeyTransferRemote.exe renvoie Result: SUCCESS lorsque vous créez une copie de votre clé avec des autorisations réduites (étape 4.1) et lorsque vous chiffrez votre clé (étape 4.3).

Lorsque la clé est téléchargée dans Azure Key Vault, les propriétés de la clé s'affichent, y compris l’ID de clé. Elle ressemble à https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Notez cette URL, car l’administrateur Azure Information Protection en a besoin pour indiquer au service Azure Rights Management d’Azure Information Protection d’utiliser cette clé pour sa clé de locataire.

Utilisez ensuite l’applet de commande Set-AzKeyVaultAccessPolicy pour autoriser le responsable du service Azure Rights Management à accéder au coffre de clés. Les autorisations requises sont déchiffrer, chiffrer, unwrapkey, wrapkey, vérifier et signer.

Par exemple, si le coffre de clés que vous avez créé pour Azure Information Protection est nommé contosorms-byok-kv et que votre groupe de ressources est nommé contosorms-byok-rg, exécutez la commande suivante :

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Maintenant que vous avez transféré votre clé HSM vers Azure Key Vault, vous êtes prêt à importer vos données de configuration AD RMS.

Partie 3 : Importer les données de configuration dans Azure Information Protection

1. Administrateur Azure Information Protection : sur la station de travail connectée à Internet et dans la session PowerShell, copiez vos nouveaux fichiers de données de configuration (.xml) qui ont la clé SLC supprimée après avoir exécuté l’outil TpdUtil.

2. Chargez chaque fichier .xml à l’aide de l’applet de commande Import-AipServiceTpd. Par exemple, vous devez avoir au moins un fichier supplémentaire à importer si vous avez mis à niveau votre cluster AD RMS pour le mode de chiffrement 2.

   Pour exécuter cette applet de commande, vous avez besoin du mot de passe que vous avez spécifié précédemment pour le fichier de données de configuration et de l’URL de la clé identifiée à l’étape précédente.

   Par exemple, à l’aide d’un fichier de données de configuration de C :\contoso_keyless.xml et de notre valeur d’URL de clé à l’étape précédente, exécutez d’abord ce qui suit pour stocker le mot de passe :

    $TPD_Password = Read-Host -AsSecureString
   

   Entrez le mot de passe que vous avez spécifié pour exporter le fichier de données de configuration. Ensuite, exécutez la commande suivante et vérifiez que vous souhaitez effectuer cette action :

   Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   Dans le cadre de cette importation, la clé SLC est importée et automatiquement définie comme archivée.

3. Lorsque vous avez chargé chaque fichier, exécutez Set-AipServiceKeyProperties pour spécifier quelle clé importée correspond à la clé SLC actuellement active dans votre cluster AD RMS.

4. Utilisez l’applet de commande Disconnect-AipServiceService pour vous déconnecter du service Azure Rights Management :

   Disconnect-AipServiceService
   

Si vous devez plus tard confirmer la clé que votre clé de locataire Azure Protection des données utilise dans Azure Key Vault, utilisez l’applet de commande Get-AipServiceKeys Azure RMS.

Vous êtes maintenant prêt à passer à l’Étape 5. Activez le service Azure Rights Management.