Génération et transfert de clés HSM protégées pour Azure clé de coffreHow to generate and transfer HSM-protected keys for Azure Key Vault

Notes

Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Vous pouvez toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Pour en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az d’Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Pour une meilleure garantie, lorsque vous utilisez le coffre de clés Azure, vous pouvez importer ou générer des clés dans des modules de sécurité matériels (HSM) qui ne franchissent jamais les limites HSM.For added assurance, when you use Azure Key Vault, you can import or generate keys in hardware security modules (HSMs) that never leave the HSM boundary. Ce scénario est souvent appelé Apportez votre propre cléou désigné par l’acronyme BYOK.This scenario is often referred to as bring your own key, or BYOK. Les modules HSM bénéficient d’une validation FIPS 140-2 de niveau 2.The HSMs are FIPS 140-2 Level 2 validated. Azure Key Vault utilise la famille nShield de modules HSM de nCipher pour protéger vos clés.Azure Key Vault uses nCipher nShield family of HSMs to protect your keys.

Les informations de cette rubrique vous aident à planifier, à générer puis transférer vos propres clés protégées par HSM à utiliser avec Azure Key Vault.Use the information in this topic to help you plan for, generate, and then transfer your own HSM-protected keys to use with Azure Key Vault.

Cette fonctionnalité n’est pas disponible pour Azure en Chine.This functionality is not available for Azure China.

Notes

Pour plus d’informations sur le coffre de clés Azure, consultez la page Présentation du coffre de clés AzureFor more information about Azure Key Vault, see What is Azure Key Vault?
Pour voir un didacticiel de mise en route incluant un coffre de clés pour les clés protégées par HSM, consultez la section Présentation d’Azure Key Vault.For a getting started tutorial, which includes creating a key vault for HSM-protected keys, see What is Azure Key Vault?.

Plus d’informations sur la génération et le transfert d’une clé protégée par HSM sur Internet :More information about generating and transferring an HSM-protected key over the Internet:

  • Il est possible de générer la clé depuis une station de travail hors connexion, ce qui réduit la surface d’attaque.You generate the key from an offline workstation, which reduces the attack surface.
  • La clé est chiffrée à l’aide d’une clé Key Exchange Key (KEK), qui reste chiffrée jusqu’à ce qu’elle soit transférée vers le module de sécurité matériel du coffre de clés Azure.The key is encrypted with a Key Exchange Key (KEK), which stays encrypted until it is transferred to the Azure Key Vault HSMs. Seule une version chiffrée de la clé quitte la station de travail d’origine.Only the encrypted version of your key leaves the original workstation.
  • Le jeu d’outils définit les propriétés sur votre clé de locataire qui lie votre clé au monde de sécurité du coffre de clés Azure.The toolset sets properties on your tenant key that binds your key to the Azure Key Vault security world. Par conséquent, votre clé ne peut être utilisée que par les modules de sécurité matériels du coffre de clés Azure qui l’ont réceptionnée et déchiffrée.So after the Azure Key Vault HSMs receive and decrypt your key, only these HSMs can use it. Il est impossible d’exporter votre clé.Your key cannot be exported. Cette liaison est appliquée par les modules HSM de nCipher.This binding is enforced by the nCipher HSMs.
  • La clé KEK qui est utilisée pour chiffrer votre clé est générée dans les modules de sécurité matériels du coffre de clés Azure et n’est pas exportable.The Key Exchange Key (KEK) that is used to encrypt your key is generated inside the Azure Key Vault HSMs and is not exportable. Les HSM garantissent qu’aucune version en clair de la clé KEK ne se trouve hors des HSM.The HSMs enforce that there can be no clear version of the KEK outside the HSMs. En outre, le jeu d’outils inclut une attestation de nCipher certifiant que la clé KEK n’est pas exportable et qu’elle a été générée à l’intérieur d’un HSM authentique conçu par nCipher.In addition, the toolset includes attestation from nCipher that the KEK is not exportable and was generated inside a genuine HSM that was manufactured by nCipher.
  • Le jeu d’outils inclut une attestation de nCipher certifiant que le monde de sécurité d’Azure Key Vault a été généré sur un module HSM authentique fabriqué par nCipher.The toolset includes attestation from nCipher that the Azure Key Vault security world was also generated on a genuine HSM manufactured by nCipher. Cette attestation prouve que Microsoft utilise du matériel authentique.This attestation proves to you that Microsoft is using genuine hardware.
  • Microsoft utilise des KEK et des mondes de sécurité séparés dans chaque région géographique.Microsoft uses separate KEKs and separate Security Worlds in each geographical region. Cette séparation garantit que votre clé peut être utilisée uniquement dans des centres de données de la région où vous l’avez chiffrée.This separation ensures that your key can be used only in data centers in the region in which you encrypted it. Par exemple, la clé d’un client européen ne peut pas être utilisée dans des centres de données d’Amérique du Nord ou d’ Asie.For example, a key from a European customer cannot be used in data centers in North American or Asia.

Plus d’informations sur les HSM nCipher et MicrosoftMore information about nCipher HSMs and Microsoft services

nCipher e-Security est un leader mondial des solutions de chiffrement de données et de la cybersécurité pour les secteurs financiers, de haute technologie, de fabrication, l’administration et la technologie.nCipher Security is a leading global provider of data encryption and cyber security solutions to the financial services, high technology, manufacturing, government, and technology sectors. Avec 40 ans d’expérience en matière de protection des données d’entreprises et d’administrations, les solutions de chiffrement de nCipher sont utilisées par quatre des cinq plus grandes entreprises des secteurs de l’énergie et de l’aérospatiale.With a 40-year track record of protecting corporate and government information, nCipher Security cryptographic solutions are used by four of the five largest energy and aerospace companies. Leurs solutions sont également utilisées par 22 pays/régions de l’OTAN, et sécurisent plus de 80 % des transactions de paiement dans le monde.Their solutions are also used by 22 NATO countries/regions, and secure more than 80 per cent of worldwide payment transactions.

Microsoft a collaboré avec nCipher Security pour améliorer encore les performances HSM.Microsoft has collaborated with nCipher Security to enhance the state of art for HSMs. Ces améliorations vous permettent de bénéficier des avantages des services hébergés sans avoir à renoncer au contrôle de vos clés.These enhancements enable you to get the typical benefits of hosted services without relinquishing control over your keys. Ces améliorations permettent en particulier à Microsoft de gérer les modules de sécurité matériels pour vous.Specifically, these enhancements let Microsoft manage the HSMs so that you do not have to. Comme un service Cloud, le coffre de clés Azure évolue très rapidement pour répondre aux pics d’activité de votre organisation.As a cloud service, Azure Key Vault scales up at short notice to meet your organization’s usage spikes. Dans le même temps, votre clé est protégée à l’intérieur des HSM de Microsoft : vous gardez le contrôle sur le cycle de vie de la clé, car vous générez la clé, puis vous la transférez vers les modules de sécurité matérielle (HSM) de Microsoft.At the same time, your key is protected inside Microsoft’s HSMs: You retain control over the key lifecycle because you generate the key and transfer it to Microsoft’s HSMs.

Mise en œuvre du principe BYOK (Apportez votre propre clé, pour le coffre de clés AzureImplementing bring your own key (BYOK) for Azure Key Vault

Utilisez les informations et les procédures qui suivent pour générer votre propre clé protégée HSM, puis la transférer vers le coffre de clés Azure. Le scénario BYOK.Use the following information and procedures if you will generate your own HSM-protected key and then transfer it to Azure Key Vault—the bring your own key (BYOK) scenario.

Configuration requise pour BYOKPrerequisites for BYOK

Consultez le tableau qui suit pour connaître les conditions requises pour apporter votre propre clé (BYOK) dans le coffre de clés Azure.See the following table for a list of prerequisites for bring your own key (BYOK) for Azure Key Vault.

PrérequisRequirement Plus d’informationsMore information
Abonnement à AzureA subscription to Azure Pour créer un coffre de clés Azure, vous avez besoin d’un abonnement Azure : Inscrivez-vous pour un essai gratuitTo create an Azure Key Vault, you need an Azure subscription: Sign up for free trial
Niveau de service Premium d’Azure Key Vault pour prendre en charge les clés protégées par HSMThe Azure Key Vault Premium service tier to support HSM-protected keys Pour plus d’informations sur les niveaux de service et les capacités du coffre de clés Azure, consultez le site web Tarifs Azure Key Vault.For more information about the service tiers and capabilities for Azure Key Vault, see the Azure Key Vault Pricing website.
Modules HSM nShield, cartes à puces et logiciel de support de nCiphernCipher nShield HSMs, smartcards, and support software Vous devez disposer d’un accès au module de sécurité matérielle nCipher et de quelques connaissances de bases concernant les modules de sécurité matérielle nShield de nCipher.You must have access to a nCipher Hardware Security Module and basic operational knowledge of nCipher nShield HSMs. Consultez Modules de sécurité matérielle nShield de nCipher pour obtenir une liste des modèles compatibles ou pour acheter un module de sécurité matérielle si vous n’en avez pas déjà.See nCipher nShield Hardware Security Module for the list of compatible models, or to purchase an HSM if you do not have one.
Les matériels et le logiciel suivants :The following hardware and software:
  1. Une station de travail x64 hors connexion avec le système d’exploitation Windows 7 ou version ultérieure, et le logiciel nCipher nShield version 11.50 ou ultérieure.An offline x64 workstation with a minimum Windows operation system of Windows 7 and nCipher nShield software that is at least version 11.50.

    Si cette station de travail exécute Windows 7, vous devez installer Microsoft .NET Framework 4.5.If this workstation runs Windows 7, you must install Microsoft .NET Framework 4.5.
  2. Une station de travail connectée à Internet et dotée du système d’exploitation Windows 7 et d’Azure PowerShell version 1.1.0 ou ultérieure.A workstation that is connected to the Internet and has a minimum Windows operating system of Windows 7 and Azure PowerShell minimum version 1.1.0 installed.
  3. Un lecteur USB ou tout autre appareil de stockage portable offrant au moins 16 Mo d’espace libre.A USB drive or other portable storage device that has at least 16 MB free space.
Pour des raisons sécurité, nous conseillons de faire en sorte que la première station de travail ne soit pas connectée à un réseau.For security reasons, we recommend that the first workstation is not connected to a network. Toutefois, cette recommandation n’est pas appliquée par programmation.However, this recommendation is not programmatically enforced.

Dans les instructions qui suivent, cette station de travail est désignée en tant que station de travail déconnectée.In the instructions that follow, this workstation is referred to as the disconnected workstation.


De plus, si votre clé de locataire est destinée à un réseau de production, nous vous recommandons d’utiliser un poste de travail distinct pour télécharger l’ensemble d’outils et charger la clé de locataire.In addition, if your tenant key is for a production network, we recommend that you use a second, separate workstation to download the toolset, and upload the tenant key. À des fins de test, vous pouvez utiliser la même station de travail que la précédente.But for testing purposes, you can use the same workstation as the first one.

Dans les instructions qui suivent, cette deuxième station de travail est désignée en tant que station de travail connectée à Internet.In the instructions that follow, this second workstation is referred to as the Internet-connected workstation.


Générez et transférez votre clé sur le module de sécurité matériel du coffre de clés AzureGenerate and transfer your key to Azure Key Vault HSM

Pour générer votre clé et la transférer vers un module de sécurité matériel d’Azure Key Vault, vous allez suivre les cinq étapes suivantes :You will use the following five steps to generate and transfer your key to an Azure Key Vault HSM:

Étape 1 : Préparer votre station de travail connectée à InternetStep 1: Prepare your Internet-connected workstation

Pour cette première étape, exécutez les procédures qui suivent sur la station de travail connectée à Internet.For this first step, do the following procedures on your workstation that is connected to the Internet.

Étape 1.1 : Installation d’Azure PowerShellStep 1.1: Install Azure PowerShell

Depuis la station de travail connectée à Internet, téléchargez et installez le module Azure PowerShell qui inclut les applets de commande servant à gérer le coffre de clés Azure.From the Internet-connected workstation, download and install the Azure PowerShell module that includes the cmdlets to manage Azure Key Vault. Pour connaître la procédure d’installation, consultez l’article Installation et configuration d’Azure PowerShell.For installation instructions, see How to install and configure Azure PowerShell.

Étape 1.2 : Obtenir votre ID d’abonnement AzureStep 1.2: Get your Azure subscription ID

Démarrez une session Azure PowerShell et connectez-vous à votre compte Azure en utilisant la commande suivante :Start an Azure PowerShell session and sign in to your Azure account by using the following command:

   Connect-AzAccount

Dans la fenêtre contextuelle de votre navigateur, entrez votre nom d’utilisateur et votre mot de passe Azure.In the pop-up browser window, enter your Azure account user name and password. Utilisez ensuite la commande Get-AzSubscription :Then, use the Get-AzSubscription command:

   Get-AzSubscription

Dans le résultat, recherchez l’ID de l’abonnement que vous utiliserez pour le coffre de clés Azure.From the output, locate the ID for the subscription you will use for Azure Key Vault. Vous aurez besoin cet ID d’abonnement ultérieurement.You will need this subscription ID later.

Ne fermez pas la fenêtre Azure PowerShell.Do not close the Azure PowerShell window.

Étape 1.3 : Télécharger l’ensemble d’outils BYOK pour Azure Key VaultStep 1.3: Download the BYOK toolset for Azure Key Vault

Accédez au centre de téléchargement Microsoft et téléchargez l’ensemble d’outils BYOK d’Azure Key Vault correspondant à votre région géographique ou à votre instance d’Azure.Go to the Microsoft Download Center and download the Azure Key Vault BYOK toolset for your geographic region or instance of Azure. Utilisez les informations suivantes pour identifier le nom du package à télécharger et son package de hachage SHA-256 correspondant :Use the following information to identify the package name to download and its corresponding SHA-256 package hash:


États-UnisUnited States:

KeyVault-BYOK-Tools-UnitedStates.zipKeyVault-BYOK-Tools-UnitedStates.zip

2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D42E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4


Europe :Europe:

KeyVault-BYOK-outils-Europe.zipKeyVault-BYOK-Tools-Europe.zip

9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A


Asie :Asia:

KeyVault-BYOK-Tools-AsiaPacific.zipKeyVault-BYOK-Tools-AsiaPacific.zip

4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B54BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5


Amérique latine :Latin America:

KeyVault-BYOK-Tools-LatinAmerica.zipKeyVault-BYOK-Tools-LatinAmerica.zip

E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619


Japon :Japan:

KeyVault-BYOK-Tools-Japan.zipKeyVault-BYOK-Tools-Japan.zip

3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF


Corée :Korea:

KeyVault-BYOK-Tools-Korea.zipKeyVault-BYOK-Tools-Korea.zip

71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F


Afrique du Sud :South Africa:

KeyVault-BYOK-Tools-SouthAfrica.zipKeyVault-BYOK-Tools-SouthAfrica.zip

C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784AC41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A


Émirats Arabes Unis :UAE:

KeyVault-BYOK-Tools-UAE.zipKeyVault-BYOK-Tools-UAE.zip

FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3


Australie :Australia:

KeyVault-BYOK-Tools-Australia.zipKeyVault-BYOK-Tools-Australia.zip

CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40ACD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A


Azure Government : Azure Government:

KeyVault-BYOK-Tools-USGovCloud.zipKeyVault-BYOK-Tools-USGovCloud.zip

F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621AF8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A


Département de la Défense des États-Unis :US Government DOD:

KeyVault-BYOK-Tools-USGovernmentDoD.zipKeyVault-BYOK-Tools-USGovernmentDoD.zip

A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263


Canada :Canada:

KeyVault-BYOK-Tools-Canada.zipKeyVault-BYOK-Tools-Canada.zip

61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B


Allemagne :Germany:

KeyVault-BYOK-Tools-Germany.zipKeyVault-BYOK-Tools-Germany.zip

5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D65385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6


Inde :India:

KeyVault-BYOK-Tools-India.zipKeyVault-BYOK-Tools-India.zip

49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C849EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8


France :France:

KeyVault-BYOK-Tools-France.zipKeyVault-BYOK-Tools-France.zip

5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF


Royaume-Uni :United Kingdom:

KeyVault-BYOK-Tools-UnitedKingdom.zipKeyVault-BYOK-Tools-UnitedKingdom.zip

432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849


Pour valider l’intégrité de votre jeux d’outils BYOK, dans votre session Azure PowerShell, utilisez l’applet de commande Get-FileHash .To validate the integrity of your downloaded BYOK toolset, from your Azure PowerShell session, use the Get-FileHash cmdlet.

Get-FileHash KeyVault-BYOK-Tools-*.zip

L’ensemble d’outils inclut :The toolset includes:

  • Un package Key Exchange Key (KEK) dont le nom commence par BYOK-KEK-pkg-A Key Exchange Key (KEK) package that has a name beginning with BYOK-KEK-pkg-.
  • Un package Security World dont le nom commence par BYOK-SecurityWorld-pkg-A Security World package that has a name beginning with BYOK-SecurityWorld-pkg-.
  • Un script python nommé verifykeypackage.py.A python script named verifykeypackage.py.
  • Un fichier exécutable de ligne de commande nommé KeyTransferRemote.exe et les DLL associées.A command-line executable file named KeyTransferRemote.exe and associated DLLs.
  • Un package redistribuable Visual C++ nommé vcredist_x64.exe.A Visual C++ Redistributable Package, named vcredist_x64.exe.

Copiez le package sur un lecteur USB ou autre support de stockage portable.Copy the package to a USB drive or other portable storage.

Étape 2 : Préparer votre station de travail déconnectéeStep 2: Prepare your disconnected workstation

Pour cette deuxième étape, procédez comme suit sur la station de travail non connectée à un réseau (Internet ou votre réseau interne).For this second step, do the following procedures on the workstation that is not connected to a network (either the Internet or your internal network).

Étape 2.1 : Préparer la station de travail déconnectée avec un HSM nShield de nCipherStep 2.1: Prepare the disconnected workstation with nCipher nShield HSM

Installer le logiciel de support nCipher sur un ordinateur Windows, puis rattachez un module de sécurité matériel nShield de nCipher à cet ordinateur.Install the nCipher support software on a Windows computer, and then attach a nCipher nShield HSM to that computer.

Assurez-vous que les outils nCipher se trouvent dans votre chemin d’accès ( %nfast_home%\bin).Ensure that the nCipher tools are in your path (%nfast_home%\bin). Tapez ensuite la commande suivante :For example, type the following:

set PATH=%PATH%;"%nfast_home%\bin"

Pour plus d’informations, consultez le guide de l’utilisateur inclus avec le module de sécurité matériel nShield.For more information, see the user guide included with the nShield HSM.

Étape 2.2 : Installer l’ensemble d’outils BYOK sur la station de travail déconnectéeStep 2.2: Install the BYOK toolset on the disconnected workstation

Copiez le package d’outils BYOK de la clé USB ou de l’autre support de stockage portable, puis procédez comme suit :Copy the BYOK toolset package from the USB drive or other portable storage, and then do the following:

  1. Extrayez les fichiers du package téléchargé dans un dossier.Extract the files from the downloaded package into any folder.
  2. Depuis ce dossier, exécutez vcredist_x64.exe.From that folder, run vcredist_x64.exe.
  3. Suivez les instructions pour installer les composants d’exécution Visual C++ pour Visual Studio 2013.Follow the instructions to the install the Visual C++ runtime components for Visual Studio 2013.

Étape 3 : Générer votre cléStep 3: Generate your key

Pour cette troisième étape, procédez comme suit sur la station de travail déconnectée.For this third step, do the following procedures on the disconnected workstation. Pour que vous puissiez mener à bien cette étape, votre HSM doit être en mode d’initialisation.To complete this step your HSM must be in initialization mode.

Étape 3.1 : Définir le mode du HSM sur « I »Step 3.1: Change the HSM mode to 'I'

Si vous utilisez nCipher nShield Edge, pour changer le mode, procédez comme suit : 1.If you are using nCipher nShield Edge, to change the mode: 1. Utilisez le bouton Mode pour mettre le mode requis en surbrillance.Use the Mode button to highlight the required mode. 2.2. Dans un délai de quelques secondes, maintenez le bouton Clear (Effacer) enfoncé pendant deux à trois secondes.Within a few seconds, press and hold the Clear button for a couple of seconds. Si le mode est modifié, la LED du nouveau mode cesse de clignoter et reste allumée.If the mode changes, the new mode’s LED stops flashing and remains lit. La LED d’état peut clignoter de façon irrégulière pendant quelques secondes, puis clignoter régulièrement lorsque l’appareil est prêt.The Status LED might flash irregularly for a few seconds and then flashes regularly when the device is ready. Sinon, l’appareil reste dans le mode actuel, avec la LED du mode approprié allumée.Otherwise, the device remains in the current mode, with the appropriate mode LED lit.

Étape 3.2 : Créer un monde de sécuritéStep 3.2: Create a security world

Démarrez une invite de commande et exécutez le programme de nouveau monde nCipher.Start a command prompt and run the nCipher new-world program.

 new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3

Ce programme crée un fichier Security World à l’emplacement %NFAST_KMDATA%\local\world, qui correspond au dossier C:\ProgramData\nCipher\Key Management Data\local.This program creates a Security World file at %NFAST_KMDATA%\local\world, which corresponds to the C:\ProgramData\nCipher\Key Management Data\local folder. Vous pouvez utiliser des valeurs différentes pour le quorum, mais dans notre exemple, vous êtes invité à entrer trois cartes vierges et codes confidentiels pour chacune d’elles.You can use different values for the quorum but in our example, you’re prompted to enter three blank cards and pins for each one. Par la suite, chacune des deux cartes offre un accès total au monde de sécurité.Then, any two cards give full access to the security world. Ces cartes constituent l’ ensemble de cartes administrateur pour le nouveau monde de sécurité.These cards become the Administrator Card Set for the new security world.

Notes

Si votre HSM ne prend pas en charge la suite de chiffrement DLf3072s256mRijndael la plus récente, vous pouvez remplacer --cipher-suite=DLf3072s256mRijndael par --cipher-suite=DLf1024s160mRijndaelIf your HSM does not support the newer cypher suite DLf3072s256mRijndael, you can replace --cipher-suite= DLf3072s256mRijndael with --cipher-suite=DLf1024s160mRijndael

Faites ensuite ce qui suit :Then do the following:

  • Sauvegardez le fichier de monde.Back up the world file. Sécurisez et protégez le fichier de monde, les cartes administrateur et leurs codes confidentiels et assurez-vous que personne n’a accès à plusieurs cartes.Secure and protect the world file, the Administrator Cards, and their pins, and make sure that no single person has access to more than one card.

Étape 3.3 : Définir le mode du HSM sur « O »Step 3.3: Change the HSM mode to 'O'

Si vous utilisez nCipher nShield Edge, pour changer le mode, procédez comme suit : 1.If you are using nCipher nShield Edge, to change the mode: 1. Utilisez le bouton Mode pour mettre le mode requis en surbrillance.Use the Mode button to highlight the required mode. 2.2. Dans un délai de quelques secondes, maintenez le bouton Clear (Effacer) enfoncé pendant deux à trois secondes.Within a few seconds, press and hold the Clear button for a couple of seconds. Si le mode est modifié, la LED du nouveau mode cesse de clignoter et reste allumée.If the mode changes, the new mode’s LED stops flashing and remains lit. La LED d’état peut clignoter de façon irrégulière pendant quelques secondes, puis clignoter régulièrement lorsque l’appareil est prêt.The Status LED might flash irregularly for a few seconds and then flashes regularly when the device is ready. Sinon, l’appareil reste dans le mode actuel, avec la LED du mode approprié allumée.Otherwise, the device remains in the current mode, with the appropriate mode LED lit.

Étape 3.4 : Valider le package téléchargéStep 3.4: Validate the downloaded package

Cette étape est facultative, mais recommandée afin que vous puissiez valider les éléments suivants :This step is optional but recommended so that you can validate the following:

  • La clé KEK incluse dans le jeu d’outils a été générée à partir d’un HSM nShield de nCipher authentique.The Key Exchange Key that is included in the toolset has been generated from a genuine nCipher nShield HSM.
  • Le hachage du monde de sécurité inclus dans le jeu d’outils a été généré à partir d’un HSM nShield de nCipher authentique.The hash of the Security World that is included in the toolset has been generated in a genuine nCipher nShield HSM.
  • La clé KEK n’est pas exportable.The Key Exchange Key is non-exportable.

Notes

Pour valider le package téléchargé, le module de sécurité matérielle doit être connecté, mis sous tension et disposer d’un monde de sécurité (comme celui que vous venez de créer).To validate the downloaded package, the HSM must be connected, powered on, and must have a security world on it (such as the one you’ve just created).

Pour valider le package téléchargé :To validate the downloaded package:

  1. Exécutez le script verifykeypackage.py en tapant l’une des valeurs suivantes, selon votre région géographique ou votre instance d’Azure :Run the verifykeypackage.py script by typing one of the following, depending on your geographic region or instance of Azure:

    • Pour l’Amérique du Nord :For North America:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1
      
    • Pour l’Europe :For Europe:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1
      
    • Pour l’Asie :For Asia:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1
      
    • Pour l’Amérique latine :For Latin America:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1
      
    • Pour le Japon :For Japan:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1
      
    • Pour la Corée :For Korea:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1
      
    • Pour l’Afrique du Sud :For South Africa:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1
      
    • Pour les Émirats Arabes Unis :For UAE:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1
      
    • Pour l’Australie :For Australia:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1
      
    • Pour Azure Government, qui utilise l’instance du gouvernement américain d’Azure :For Azure Government, which uses the US government instance of Azure:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1
      
    • Pour le Département de la Défense des États-Unis :For US Government DOD:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1
      
    • Pour le Canada :For Canada:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1
      
    • Pour l’Allemagne :For Germany:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
      
    • Pour l’Inde :For India:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1
      
    • Pour la France :For France:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1
      
    • Pour le Royaume-Uni :For United Kingdom:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1
      

      Conseil

      Le logiciel nCipher nShield inclut python dans %NFAST_HOME%\python\binThe nCipher nShield software includes python at %NFAST_HOME%\python\bin

  2. Vérifiez que vous voyez bien ce qui suit, ce qui indique que la validation est réussie : Résultat : RÉUSSITEConfirm that you see the following, which indicates successful validation: Result: SUCCESS

Ce script valide la chaîne de signataire jusqu’à la clé racine nShield.This script validates the signer chain up to the nShield root key. Le hachage de cette clé racine est incorporé dans le script et sa valeur doit être 59178a47 de508c3f 291277ee 184f46c4 f1d9c639.The hash of this root key is embedded in the script and its value should be 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Vous pouvez aussi confirmer cette valeur séparément en vous rendant sur le site web de nCipher.You can also confirm this value separately by visiting the nCipher website.

Vous êtes maintenant prêt à créer une clé.You’re now ready to create a new key.

Étape 3.5 : Créer une cléStep 3.5: Create a new key

Générez une clé à l’aide du programme generatekey de nCipher nShield.Generate a key by using the nCipher nShield generatekey program.

Exécutez la commande suivante pour générer la clé :Run the following command to generate the key:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

Lorsque vous exécutez cette commande, utilisez ces instructions :When you run this command, use these instructions:

  • Le paramètre protect doit être défini sur la valeur module, comme indiqué.The parameter protect must be set to the value module, as shown. Ce paramétrage crée une clé protégée par module.This creates a module-protected key. Le package d’outils BYOK ne prend pas en charge les clés protégées par OCS.The BYOK toolset does not support OCS-protected keys.
  • Remplacez la valeur contosokey d’ident et de plainname par n’importe quelle valeur de chaîne.Replace the value of contosokey for the ident and plainname with any string value. Pour réduire la charge administrative et réduire le risque d’erreurs, nous vous recommandons d’utiliser la même valeur pour les deux.To minimize administrative overheads and reduce the risk of errors, we recommend that you use the same value for both. La valeur ident doit contenir uniquement des chiffres, des tirets et des lettres minuscules.The ident value must contain only numbers, dashes, and lower case letters.
  • Le pubexp est laissé vide (par défaut) dans cet exemple, mais vous pouvez définir des valeurs spécifiques.The pubexp is left blank (default) in this example, but you can specify specific values. Pour plus d’informations, consultez la documentation nCipher.For more information, see the nCipher documentation.

Cette commande crée un fichier de clé tokenisée dans le dossier %NFAST_KMDATA%\local avec un nom commençant par key_simple_ suivi de l’ident spécifié dans la commande.This command creates a Tokenized Key file in your %NFAST_KMDATA%\local folder with a name starting with key_simple_, followed by the ident that was specified in the command. Par exemple : key_simple_contosokey.For example: key_simple_contosokey. Ce fichier contient une clé chiffrée.This file contains an encrypted key.

Sauvegardez ce fichier de clé à jeton dans un emplacement sûr.Back up this Tokenized Key File in a safe location.

Important

Lorsque vous transférez par la suite la clé dans le coffre de clés Azure, Microsoft ne peut pas vous la renvoyer, ce qui fait qu’il est extrêmement important de sauvegarder votre clé et votre monde de sécurité.When you later transfer your key to Azure Key Vault, Microsoft cannot export this key back to you so it becomes extremely important that you back up your key and security world safely. Contactez nCipher pour connaître les conseils et meilleures pratiques pour sauvegarder votre clé.Contact nCipher for guidance and best practices for backing up your key.

Vous êtes maintenant prêt à transférer votre clé vers coffre de clés Azure.You are now ready to transfer your key to Azure Key Vault.

Étape 4 : Préparer votre clé pour le transfertStep 4: Prepare your key for transfer

Pour cette quatrième étape, procédez comme suit sur la station de travail déconnectée.For this fourth step, do the following procedures on the disconnected workstation.

Étape 4.1 : Créer une copie de votre clé avec des autorisations réduitesStep 4.1: Create a copy of your key with reduced permissions

Ouvrez une nouvelle invite de commandes et remplacez le répertoire actuel par l’emplacement où vous avez décompressé le fichier zip BYOK.Open a new command prompt and change the current directory to the location where you unzipped the BYOK zip file. Pour limiter les autorisations sur votre clé, dans l’invite de commande, exécutez l’une des opérations suivantes, en fonction de votre région géographique ou de votre instance d’Azure :To reduce the permissions on your key, from a command prompt, run one of the following, depending on your geographic region or instance of Azure:

  • Pour l’Amérique du Nord :For North America:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1
    
  • Pour l’Europe :For Europe:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1
    
  • Pour l’Asie :For Asia:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1
    
  • Pour l’Amérique latine :For Latin America:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1
    
  • Pour le Japon :For Japan:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1
    
  • Pour la Corée :For Korea:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1
    
  • Pour l’Afrique du Sud :For South Africa:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1
    
  • Pour les Émirats Arabes Unis :For UAE:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1
    
  • Pour l’Australie :For Australia:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1
    
  • Pour Azure Government, qui utilise l’instance du gouvernement américain d’Azure :For Azure Government, which uses the US government instance of Azure:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1
    
  • Pour le Département de la Défense des États-Unis :For US Government DOD:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1
    
  • Pour le Canada :For Canada:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1
    
  • Pour l’Allemagne :For Germany:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
    
  • Pour l’Inde :For India:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1
    
  • Pour la France :For France:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1
    
  • Pour le Royaume-Uni :For United Kingdom:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1
    

Quand vous exécutez cette commande, remplacez contosokey par la valeur spécifiée à l’Étape 3.5 : Créer une clé de l’étape Générer votre clé.When you run this command, replace contosokey with the same value you specified in Step 3.5: Create a new key from the Generate your key step.

Vous êtes invité à connecter vos cartes d’administrateur du monde de sécurité.You are asked to plug in your security world admin cards.

Une fois la commande exécutée, vous voyez Résultat : RÉUSSITE. La copie de votre clé et des autorisations réduites figurent dans le fichier nommé key_xferacId_<contosokey>.When the command completes, you see Result: SUCCESS and the copy of your key with reduced permissions are in the file named key_xferacId_<contosokey>.

Vous pouvez inspecter les listes de contrôle d’accès en utilisant les commandes suivantes dans les services nCipher nShield :You may inspects the ACLS using following commands using the nCipher nShield utilities:

  • aclprint.py :aclprint.py:

      "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"
    
  • kmfile-dump.exe :kmfile-dump.exe:

      "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"
    

    Quand vous exécutez ces commandes, remplacez contosokey par la valeur spécifiée à l’Étape 3.5 : Créer une clé de l’étape Générer votre clé.When you run these commands, replace contosokey with the same value you specified in Step 3.5: Create a new key from the Generate your key step.

Étape 4.2 : Chiffrer votre clé à l’aide d’une clé KEK (Key Exchange Key) de MicrosoftStep 4.2: Encrypt your key by using Microsoft’s Key Exchange Key

Exécutez l’un des commandes suivantes, en fonction de votre région géographique ou de votre instance d’Azure :Run one of the following commands, depending on your geographic region or instance of Azure:

  • Pour l’Amérique du Nord :For North America:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour l’Europe :For Europe:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour l’Asie :For Asia:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour l’Amérique latine :For Latin America:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour le Japon :For Japan:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour la Corée :For Korea:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour l’Afrique du Sud :For South Africa:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour les Émirats Arabes Unis :For UAE:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour l’Australie :For Australia:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour Azure Government, qui utilise l’instance du gouvernement américain d’Azure :For Azure Government, which uses the US government instance of Azure:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour le Département de la Défense des États-Unis :For US Government DOD:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour le Canada :For Canada:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour l’Allemagne :For Germany:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour l’Inde :For India:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour la France :For France:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Pour le Royaume-Uni :For United Kingdom:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    

Lorsque vous exécutez cette commande, utilisez ces instructions :When you run this command, use these instructions:

  • Remplacez contosokey par l’identificateur utilisé pour générer la clé à l’Étape 3.5 : Créer une clé de l’étape Générer votre clé.Replace contosokey with the identifier that you used to generate the key in Step 3.5: Create a new key from the Generate your key step.
  • Remplacezv SubscriptionID par l’ID d’abonnement Azure qui contient votre coffre de clés.Replace SubscriptionID with the ID of the Azure subscription that contains your key vault. Vous avez récupéré cette valeur précédemment, à l’Étape 1.2 : Obtenir votre ID d’abonnement Azure de l’étape Préparer votre station de travail connectée à Internet.You retrieved this value previously, in Step 1.2: Get your Azure subscription ID from the Prepare your Internet-connected workstation step.
  • Remplacez ContosoFirstHSMKey par une étiquette à utiliser pour votre nom de fichier de sortie.Replace ContosoFirstHSMKey with a label that is used for your output file name.

Une fois cette opération accomplie, le message Résultat : RÉUSSITE. s’affiche et un nouveau fichier est ajouté au dossier actuel, dont le nom est : KeyTransferPackage-ContosoFirstHSMkey.byokWhen this completes successfully, it displays Result: SUCCESS and there is a new file in the current folder that has the following name: KeyTransferPackage-ContosoFirstHSMkey.byok

Étape 4.3 : Copier votre package de transfert de clé sur la station de travail connectée à InternetStep 4.3: Copy your key transfer package to the Internet-connected workstation

Utilisez une clé USB ou un autre dispositif de stockage portable pour copier le fichier de sortie issu de la première étape (KeyTransferPackage-ContosoFirstHSMkey.byok) pour votre station de travail connectée à Internet.Use a USB drive or other portable storage to copy the output file from the previous step (KeyTransferPackage-ContosoFirstHSMkey.byok) to your Internet-connected workstation.

Étape 5 : Transférer votre clé vers Azure Key VaultStep 5: Transfer your key to Azure Key Vault

Pour l’opération finale, sur la station de travail connectée à Internet, utilisez l’applet de commande Add-AzKeyVaultKey pour télécharger le package de transfert de clé copié à partir de la station de travail non connectée vers le module de sécurité matériel (HSM) d’Azure Key Vault :For this final step, on the Internet-connected workstation, use the Add-AzKeyVaultKey cmdlet to upload the key transfer package that you copied from the disconnected workstation to the Azure Key Vault HSM:

     Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'

Si le téléchargement réussit, les propriétés de la clé que vous venez de créer s’afficheront.If the upload is successful, you see displayed the properties of the key that you just added.

Étapes suivantesNext steps

Vous pouvez maintenant utiliser cette clé protégée HSM dans votre coffre de clés.You can now use this HSM-protected key in your key vault. Pour plus d’informations, rendez-vous sur le prix et utilisez la fonctionnalité comparaison.For more information, see this price and feature comparison.