Étape 2 : Migration de clé protégée par logiciel à clé protégée par HSMStep 2: Software-protected key to HSM-protected key migration

S’applique à : Services AD RMS (Active Directory Rights Management Services), Azure Information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

Ces instructions font partie du chemin de migration d’AD RMS vers Azure Information Protection. Elles s’appliquent uniquement si votre clé AD RMS est protégée par logiciel et que vous souhaitez procéder à la migration vers Azure Information Protection avec une clé de locataire protégée par HSM dans Azure Key Vault.These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is software-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

Si ce n’est pas le scénario de configuration que vous avez choisi, revenez à l’Étape 4. Exporter les données de configuration d’AD RMS, puis les importer dans Azure RMS et choisissez une configuration différente.If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

Cette procédure en quatre parties permet d’importer la configuration AD RMS dans Azure Information Protection pour que votre clé de locataire Azure Information Protection soit gérée par l’utilisateur (BYOK) dans Azure Key Vault.It’s a four-part procedure to import the AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK) in Azure Key Vault.

Vous devez d’abord extraire votre clé de certificat de licence serveur des données de configuration AD RMS, transférer la clé vers un module de sécurité matériel (HSM) Thales local, empaqueter et transférer votre clé HSM vers Azure Key Vault, autoriser le service Azure Rights Management d’Azure Information Protection à accéder à votre coffre de clés, puis importer les données de configuration.You must first extract your server licensor certificate (SLC) key from the AD RMS configuration data and transfer the key to an on-premises Thales HSM, next package and transfer your HSM key to Azure Key Vault, then authorize the Azure Rights Management service from Azure Information Protection to access your key vault, and then import the configuration data.

Comme votre clé de locataire Azure Information Protection est stockée et gérée par Azure Key Vault, cette partie de la migration nécessite une administration dans Azure Key Vault, en plus d’Azure Information Protection.Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Si Azure Key Vault est géré par un autre administrateur que celui de votre organisation, vous devez coordonner et travailler avec cet administrateur pour effectuer ces procédures.If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

Avant de commencer, vérifiez que votre organisation dispose d’un coffre de clés qui a été créé dans Azure Key Vault et qu’il prend en charge les clés protégées par HSM.Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. Bien que ce ne soit pas obligatoire, nous vous recommandons d’avoir un coffre de clés dédié pour Azure Information Protection.Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. Ce coffre de clés doit être configuré de façon à autoriser le service Azure Rights Management d’Azure Information Protection à y accéder : les clés stockées dans ce coffre de clés doivent donc être limitées aux clés Azure Information Protection.This key vault will be configured to allow the Azure Rights Management service from Azure Information Protection to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

Conseil

Si vous effectuez les étapes de configuration pour Azure Key Vault et que vous n’êtes pas familiarisé avec ce service Azure, il peut être utile de consulter d’abord Prise en main d’Azure Key Vault.If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

Partie 1 : Extraction de votre certificat de licence serveur des données de configuration et importation de la clé dans votre HSM localPart 1: Extract your SLC key from the configuration data and import the key to your on-premises HSM

  1. Administrateur Azure Key Vault : pour chaque clé SLC exportée que vous voulez stocker dans Azure Key Vault, utilisez les étapes suivantes de la section Implémentation de BYOK pour Azure Key Vault de la documentation d’Azure Key Vault :Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key Vault, use the following steps in the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

    Ne suivez pas ces étapes pour générer votre clé de client, car vous avez déjà l'équivalent dans le fichier (.xml) de données de configuration exporté.Do not follow the steps to generate your tenant key, because you already have the equivalent in the exported configuration data (.xml) file. Exécutez plutôt un outil pour extraire cette clé du fichier et l’importer dans votre HSM local.Instead, you will run a tool to extract this key from the file and import it to your on-premises HSM. L’outil crée deux fichiers quand vous l’exécutez :The tool creates two files when you run it:

    • Un nouveau fichier de données de configuration sans la clé, qui est alors prêt à être importé dans votre locataire Azure Information Protection.A new configuration data file without the key, which is then ready to be imported to your Azure Information Protection tenant.

    • Un fichier PEM (conteneur de clé) avec la clé, qui est alors prêt à être importé dans votre HSM local.A PEM file (key container) with the key, which is then ready to be imported to your on-premises HSM.

  2. Administrateur Azure Information Protection ou administrateur Azure Key Vault : sur la station de travail déconnectée, exécutez l’outil TpdUtil à partir du Kit de migration Azure RMS.Azure Information Protection administrator or Azure Key Vault administrator: On the disconnected workstation, run the TpdUtil tool from the Azure RMS migration toolkit. Par exemple, si l’outil est installé sur votre lecteur E où vous copiez votre fichier de données de configuration nommé ContosoTPD.xml :For example, if the tool is installed on your E drive where you copy your configuration data file named ContosoTPD.xml:

        E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
    

    Si vous avez plusieurs fichiers de données de configuration RMS, exécutez l’outil pour les autres fichiers.If you have more than one RMS configuration data files, run this tool for the remainder of these files.

    Pour consulter l’aide de cet outil, qui comprend sa description, son fonctionnement et des exemples, exécutez TpdUtil.exe sans paramètres.To see Help for this tool, which includes a description, usage, and examples, run TpdUtil.exe with no parameters

    Informations supplémentaires sur cette commande :Additional information for this command:

    • /tpd : spécifie le chemin complet et le nom du fichier de données de configuration AD RMS exporté.The /tpd: specifies the full path and name of the exported AD RMS configuration data file. Le nom complet du paramètre est TpdFilePath.The full parameter name is TpdFilePath.

    • /otpd : spécifie le nom de fichier de sortie pour le fichier de données de configuration sans la clé.The /otpd: specifies the output file name for the configuration data file without the key. Le nom complet du paramètre est OutPfxFile.The full parameter name is OutPfxFile. Si vous ne spécifiez pas ce paramètre, le fichier de sortie a par défaut le nom de fichier d’origine avec le suffixe _keyless, et il est stocké dans le dossier actif.If you do not specify this parameter, the output file defaults to the original file name with the suffix _keyless, and it is stored in the current folder.

    • /opem : spécifie le nom de fichier de sortie pour le fichier PEM, qui contient la clé extraite.The /opem: specifies the output file name for the PEM file, which contains the extracted key. Le nom complet du paramètre est OutPemFile.The full parameter name is OutPemFile. Si vous ne spécifiez pas ce paramètre, le fichier de sortie a par défaut le nom de fichier d’origine avec le suffixe _key, et il est stocké dans le dossier actif.If you do not specify this parameter, the output file defaults to the original file name with the suffix _key, and it is stored in the current folder.

    • Si vous ne spécifiez pas le mot de passe quand vous exécutez cette commande (en utilisant le nom complet du paramètre TpdPassword ou son nom court pwd), vous êtes invité à le spécifier.If you don't specify the password when you run this command (by using the TpdPassword full parameter name or pwd short parameter name), you are prompted to specify it.

  3. Sur la même station de travail déconnectée, attachez et configurez votre HSM Thales, conformément à votre documentation Thales.On the same disconnected workstation, attach and configure your Thales HSM, according to your Thales documentation. Vous pouvez maintenant importer votre clé dans votre HSM Thales attaché en utilisant la commande suivante, où vous devez remplacer ContosoTPD.pem par votre propre nom de fichier :You can now import your key into your attached Thales HSM by using the following command where you need to substitute your own file name for ContosoTPD.pem:

     generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
    
    Note

    Si vous avez plusieurs fichiers, choisissez le fichier qui correspond à la clé HSM à utiliser dans Azure RMS pour protéger le contenu après la migration.If you have more than one file, choose the file that corresponds to the HSM key you want to use in Azure RMS to protect content after the migration.

    Ceci génère l’affichage d’un résultat similaire au suivant :This generates an output display similar to the following:

    paramètres de génération de clé :key generation parameters:

    opération       Opération à réaliser               importeroperation       Operation to perform                import

    application     Application                                simpleapplication     Application                                simple

    verify               Vérifier la sécurité de la clé de configuration                 ouiverify               Verify security of configuration key                 yes

    type                 Type de clé                                    RSAtype                 Key type                                     RSA

    pemreadfile    fichier PEM contenant la clé RSA    e:\ContosoTPD.pempemreadfile    PEM file containing RSA key    e:\ContosoTPD.pem

    ident                Identificateur de clé                             contosobyokident                Key identifier                             contosobyok

    plainname       Nom de la clé                                   ContosoBYOKplainname       Key name                                   ContosoBYOK

    La clé a été importée.Key successfully imported.

    Chemin de la clé : C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyokPath to key: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Ce résultat confirme que la clé privée est maintenant migrée vers votre appareil HSM Thales local avec une copie chiffrée enregistrée dans une clé (dans notre exemple, « key_simple_contosobyok »).This output confirms that the private key is now migrated to your on-premises Thales HSM device with an encrypted copy that is saved to a key (in our example, "key_simple_contosobyok").

Maintenant que votre clé de licence serveur a été extraite et importée dans votre HSM local, vous êtes prêt à empaqueter la clé protégée par HSM et à la transférer dans Azure Key Vault.Now that your SLC key has been extracted and imported to your on-premises HSM, you’re ready to package the HSM-protected key and transfer it to Azure Key Vault.

Important

Quand vous avez terminé cette étape, pour des raisons de sécurité, effacez ces fichiers PEM sur la station de travail déconnectée pour qu’ils ne soient pas accessibles à des personnes non autorisées.When you have completed this step, securely erase these PEM files from the disconnected workstation to ensure that they cannot be accessed by unauthorized people. Par exemple, exécutez « cipher /w: E » pour supprimer de façon sûre tous les fichiers du lecteur E:.For example, run "cipher /w: E" to securely delete all files from the E: drive.

Partie 2 : Empaquetage et transfert de votre clé HSM vers Azure Key VaultPart 2: Package and transfer your HSM key to Azure Key Vault

Administrateur Azure Key Vault : pour chaque clé SLC exportée que vous voulez stocker dans Azure Key Vault, utilisez les étapes suivantes de la section Implémentation de BYOK pour Azure Key Vault de la documentation d’Azure Key Vault :Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key vault, use the following steps from the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

Ne suivez pas les étapes pour générer votre paire de clés, car vous avez déjà la clé.Do not follow the steps to generate your key pair, because you already have the key. Exécutez plutôt une commande pour transférer cette clé (dans notre exemple, notre paramètre KeyIdentifier utilise « contosobyok ») depuis votre HSM local.Instead, you will run a command to transfer this key (in our example, our KeyIdentifier parameter uses "contosobyok") from your on-premises HSM.

Avant de transférer votre clé vers Azure Key Vault, vérifiez que l’utilitaire KeyTransferRemote.exe retourne Résultat : RÉUSSITE quand vous créez une copie de votre clé avec des autorisations réduites (étape 4.1) et quand vous chiffrez votre clé (étape 4.3).Before you transfer your key to Azure Key Vault, make sure that the KeyTransferRemote.exe utility returns Result: SUCCESS when you create a copy of your key with reduced permissions (step 4.1) and when you encrypt your key (step 4.3).

Quand la clé se charge dans Azure Key Vault, vous voyez s’afficher les propriétés de la clé, notamment l’ID de clé.When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. Elle ressemble à ceci : https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Prenez note de cette URL, car l’administrateur Azure Information Protection en a besoin pour indiquer au service Azure Rights Management d’Azure Information Protection d’utiliser cette clé pour sa clé de locataire.Make a note of this URL because the Azure Information Protection administrator will need it to tell the Azure Rights Management service from Azure Information Protection to use this key for its tenant key.

Utilisez ensuite l’applet de commande Set-AzureRmKeyVaultAccessPolicy pour autoriser le principal du service Azure Rights Management à accéder au coffre de clés.Then use the Set-AzureRmKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault. Les autorisations nécessaires sont déchiffrer, chiffrer, désencapsuler la clé (unwrapkey), encapsuler la clé (wrapkey), vérifier et signer.The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

Par exemple, si le coffre de clés que vous avez créé pour Azure Information Protection est nommé contosorms-bvok-ky et que votre groupe de ressources est nommé contosorms-byok-rg, exécutez la commande suivante :For example, if the key vault that you have created for Azure Information Protection is named contosorms-byok-kv, and your resource group is named contosorms-byok-rg, run the following command:

Set-AzureRmKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Maintenant que vous avez transféré votre clé HSM dans Azure Key Vault, vous êtes prêt à importer vos données de configuration AD RMS.Now that you’ve transferred your HSM key to Azure Key Vault, you’re ready to import your AD RMS configuration data.

Partie 3 : Importer les données de configuration dans Azure Information ProtectionPart 3: Import the configuration data to Azure Information Protection

  1. Administrateur Azure Information Protection : sur le poste de travail connecté à Internet et dans la session PowerShell, copiez vos nouveaux fichiers de données de configuration (.xml) où la clé de certificat de licence serveur (SLC) a été supprimée après l’exécution de l’outil TpdUtil.Azure Information Protection administrator: On the Internet-connected workstation and in the PowerShell session, copy over your new configuration data files (.xml) that have the SLC key removed after running the TpdUtil tool.

  2. Chargez chaque fichier .xml en utilisant l’applet de commande Import-AadrmTpd.Upload each .xml file, by using the Import-AadrmTpd cmdlet. Par exemple, vous devez disposer d’au moins un fichier supplémentaire à importer si vous avez mis à niveau votre cluster AD RMS pour le Mode de chiffrement 2.For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    Pour exécuter cette applet de commande, vous avez besoin du mot de passe que vous avez spécifié précédemment pour le fichier de données de configuration et de l’URL de la clé qui a été identifiée à l’étape précédente.To run this cmdlet, you need the password that you specified earlier for the configuration data file, and the URL for the key that was identified in the previous step.

    Par exemple, à l’aide d’un fichier de données de configuration de C:\contoso_keyless.xml et de l’URL de notre clé issue de l’étape précédente, exécutez d’abord la commande suivante pour stocker le mot de passe :For example, using a configuration data file of C:\contoso_keyless.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    Entrez le mot de passe que vous avez spécifié pour exporter le fichier de données de configuration.Enter the password that you specified to export the configuration data file. Ensuite, exécutez la commande suivante et confirmez que vous souhaitez effectuer cette action :Then, run the following command and confirm that you want to perform this action:

    Import-AadrmTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Dans le cadre de cette importation, la clé SLC est importée et définie automatiquement comme archivée.As part of this import, the SLC key is imported and automatically set as archived.

  3. Lorsque vous avez chargé chaque fichier, exécutez Set-AadrmKeyProperties pour spécifier quelle clé importée correspond à la clé SLC actuellement active dans votre cluster AD RMS.When you have uploaded each file, run Set-AadrmKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster.

  4. Utilisez l’applet de commande Disconnect-AadrmService pour vous déconnecter du service Azure Rights Management :Use the Disconnect-AadrmService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AadrmService
    

Si vous avez besoin ultérieurement de vérifier quelle clé est utilisée par votre clé de locataire Azure Information Protection dans Azure Key Vault, utilisez l’applet de commande Get-AadrmKeys d’Azure RMS.If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AadrmKeys Azure RMS cmdlet.

Vous êtes maintenant prêt à passer à l’Étape 5. Activez le service Azure Rights Management.You’re now ready to go to Step 5. Activate the Azure Rights Management service.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.