2. lépés: A HSM által védett kulcs áttelepítésének szoftveres kulcsa

A következőkre vonatkozik:Active Directory Rights Management Services, Azure Information Protection

Releváns:: AIP egyesített címkéző ügyfélprogram és klasszikus ügyfélprogram

Megjegyzés

Az egységes és zökkenőmentes ügyfélélmény érdekében 2021. március 31-énelavult az Azure Information Protection klasszikus ügyfélprogramja és az Azure Portal címkekezelés szolgáltatása. A klasszikus ügyfélprogramhoz nem biztosítunk további támogatást, és a karbantartási verziók a továbbiakban nem lesznek elérhetőek.

A klasszikus ügyfél hivatalosan is kivezetve lesz, és 2022. március 31-én meg fog állni.

Az Azure Information Protection összes jelenlegi klasszikus ügyfélalkalmazásának át kell áttelepítést Microsoft-információvédelem egyesített címkeplatformra, és frissítenie kell az egyesített címkéző ügyfélalkalmazásra. További információt az áttelepítési blogunkban talál.

Ezek az utasítások az AD RMS-tőlaz Azure Information Protectionig vezető áttelepítési útvonal részei, és csak akkor vonatkoznak rá, ha az AD RMS-kulcs szoftvervédelemmel van védve, és azure-kulcstárban HSM-védelemmel védett bérlői kulccsal szeretne áttérni az Azure Information Protection szolgáltatásra.

Ha nem ezt a konfigurációt választotta, lépjen vissza a 4. lépésre. Exportálja a konfigurációs adatokat az AD RMS szolgáltatásból, és importálja az Azure RMS-be, és válasszon másik konfigurációt.

Az Azure Information Protectionbe az AD RMS-konfiguráció importálása négy részből áll, így az Ön által (BYOK) kezelt Azure Information Protection bérlői kulcsot kell eredményül vennie az Azure Kulcstárban.

Először ki kell bonta a kiszolgálói licencelési tanúsítványt (SLC) az AD RMS konfigurációs adataiból, és át kell ruházni egy helyszíni nCipher HSM-re, a következő csomagra, és át kell ruházni a HSM-kulcsot az Azure Kulcstárba, majd engedélyeznie kell az Azure Tartalomvédelmi szolgáltatások-szolgáltatást az Azure Information Protectionből a kulcstár eléréséhez, majd importálni kell a konfigurációs adatokat.

Mivel az Azure Information Protection bérlői kulcsát az Azure Kulcstár tárolja és kezeli, az áttelepítésnek ez a része az Azure Information Protection mellett az Azure Kulcstárban is felügyeletet igényel. Ha az Azure-kulcstárat öntől eltérő rendszergazda kezeli a szervezetében, akkor az eljárások 4. során együtt kell működnie és együtt kell működnie a rendszergazdával.

Mielőtt hozzákezd, győződjön meg arról, hogy a szervezet rendelkezik az Azure Kulcstárban létrehozott kulcstárral, és támogatja a HSM által védett kulcsokat. Bár nem kötelező, azt javasoljuk, hogy az Azure Information Protection számára egy külön kulcstárat biztosít. Ez a kulcstár úgy lesz konfigurálva, hogy az Azure Information Protection Azure Tartalomvédelmi szolgáltatások szolgáltatás hozzáférjen a szolgáltatáshoz, így a kulcstárban tárolt kulcsokat csak az Azure Information Protection kulcsait kell korlátozni.

Tipp

Ha az Azure kulcstár konfigurációs lépéseit követve nem ismeri ezt az Azure-szolgáltatást, hasznosnak találhatja, ha először áttekinti az Első lépések az Azure Kulcstárbanrészt.

1. rész: Az SLC-kulcs kinyerése a konfigurációs adatokból és a kulcs importálása a helyszíni HSM-be

  1. Azure Key Vault-rendszergazda: Az Azure Kulcstár dokumentációjának Azure Key Vaultban tárolni kívánt minden exportált SLC-kulcs esetén kövesse az Azure Key Vault dokumentációjának Saját kulcs (BYOK) hozzuk létre az Azure Kulcstárhoz című szakaszának alábbi lépéseit:

    • Kulcs létrehozása és átadása az Azure Key Vault HSM-hez:1. lépés: Az internetkapcsolattal rendelkező munkaállomás előkészítése

    • Bérlői kulcs létrehozása és átvitele az internetenkeresztül : 2. lépés: A leválasztott munkaállomás előkészítése

    Ne kövesse a bérlői kulcs létrehozásához szükséges lépéseket, mert már rendelkezik az exportált konfigurációs adatfájlban (.xml fájlban). Ehelyett egy eszközt futtatva kinyeri a kulcsot a fájlból, és importálja a helyszíni HSM-be. Az eszköz a futtatásakor két fájlt hoz létre:

    • Egy új konfigurációs adatfájl kulcs nélkül, amely ezután készen áll arra, hogy importálja az Azure Information Protection bérlői webhelyre.

    • A kulcsot tartalmazó PEM-fájl (kulcstároló), amely ezután készen áll a helyszíni HSM-be való importálásra.

  2. Azure Information Protection-rendszergazda vagy Azure Key Vault-rendszergazda: A leválasztott munkaállomáson futtassa a TpdUtil eszközt az Azure RMS áttelepítési eszközkészletből. Ha például az eszköz az E meghajtóra van telepítve, ahová a konfigurációs adatfájlt másolja, ContosoTPD.xml:

    E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
    

    Ha több rmS-konfigurációs adatfájlja van, futtassa ezt az eszközt a fennmaradó fájlokra is.

    Az eszköz súgója (beleértve a leírást, a használatot és a példákat) paraméterek TpdUtil.exe futtatásával

    További információ a parancsról:

    • A /tpd: az exportált AD RMS konfigurációs adatfájl teljes elérési útját és nevét adja meg. A teljes paraméter neve TpdFilePath.

    • Az /otpd: megadja a konfigurációs adatfájl kimeneti fájlnevét a kulcs nélkül. A teljes paraméter neve OutPfxFile. Ha nem adja meg ezt a paramétert, a kimeneti fájl alapértelmezés szerint az eredeti fájlnévre lesz beállítva a _keylessutótaggal, és az aktuális mappában tárolja.

    • Az /opem:a PEM-fájl kimeneti fájlnevét adja meg, amely a kibontott kulcsot tartalmazza. A teljes paraméter neve OutPemFile. Ha nem adja meg ezt a paramétert, a kimeneti fájl alapértelmezés szerint az eredeti fájlnévre lesz beállítva a _keyutótaggal, és az aktuális mappában tárolja.

    • Ha nem adja meg a jelszót a parancs futtatásakor (a TpdPassword teljes paraméternév vagy a pwd short paraméternév használatával), a rendszer kéri a megadását.

  3. Ugyanazon a leválasztott munkaállomáson csatolja és konfigurálja az nCipher HSM-et az nCipher dokumentációja szerint. Most már importálhatja a kulcsot a csatolt nCipher HSM-be az alábbi paranccsal, ahol be kell helyettesítenie a saját fájlnevét a ContosoTPD.pem helyett:

    generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
    

    Megjegyzés

    Ha több fájlja van, válassza ki azt a fájlt, amely megfelel annak az Azure RMS-beli HSM-kulcsnak, amely védelmet nyújt a tartalomnak az áttelepítés után.

    Ez az alábbihoz hasonló kimeneti megjelenítést hoz létre:

    fő generációs paraméterek:

    operation operation to perform import

    alkalmazásalkalmazás egyszerű

    verify Security of configuration key yes

    type Key type RSA

    pemreadfile PEM file containing RSA key e:\ContosoTPD.pem

    ident Key identifier contosobyok

    plainname Key name ContosoBYOK

    A kulcs importálása sikerült.

    Kulcs elérési útja: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Ez a kimenet megerősíti, hogy a titkos kulcsot áttelepíti a rendszer a helyszíni NCipher HSM-eszközre egy olyan titkosított példányban, amely egy kulcsra van mentve (ebben a példában ez a "key_simple_contosobyok").

Most, hogy megtörtént az SLC-kulcs kinyerése és importálása a helyszíni HSM-be, készen áll a HSM által védett kulcs csomagolására és Azure-kulcstárba való átvitelére.

Fontos

Ha befejezte ezt a lépést, biztonságosan törölje ezeket a PEM-fájlokat a leválasztott munkaállomásról, hogy illetéktelenek ne férhessenek hozzá. A "cipher /w: E" parancs futtatásával például biztonságosan törölheti az összes fájlt az E: meghajtóról.

2. rész: A HSM-kulcs csomagolása és átvitele az Azure-kulcstárba

Azure Key Vault-rendszergazda: Az Azure Key Vaultban tárolni kívánt minden egyes exportált SLC-kulcs esetén kövesse az Azure Key Vault dokumentációjának Saját kulcs (BYOK) hozzuk létre az Azure Kulcstárhoz című szakaszának alábbi lépéseit:

Ne kövesse a lépéseket a kulcspár létrehozásához, mert már rendelkezik a kulccsal. Ehelyett futtat egy parancsot a kulcs átviteléhez (példánkban a KeyIdentifier paraméterünk a "contosobyok" paramétert használja) a helyszíni HSM-ből.

A kulcs Azure-kulcstárba való átviteléhez győződjön meg arról, hogy a KeyTransferRemote.exe segédprogram az Eredmény: SUCCESS értéket adja vissza, amikor korlátozott engedélyekkel (4.1. lépés) létrehozza a kulcs másolatát, és amikor titkosítja a kulcsot (4.3. lépés).

Amikor a kulcs feltölti az Azure Kulcstárba, látni fogja a kulcs tulajdonságait, amely tartalmazza a kulcsazonosítót. Hasonlít a következőre: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 . Jegyezze fel ezt az URL-címet, mert az Azure Information Protection rendszergazdájának meg kell mondania az Azure Information Protection Azure Tartalomvédelmi szolgáltatások szolgáltatásának, hogy használni tudja ezt a kulcsot a bérlő kulcsában.

Ezután a Set-AzKeyVaultAccessPolicy parancsmagot használva engedélyezze a Azure Tartalomvédelmi szolgáltatások szolgáltatásnévnek a kulcstár eléréséhez. A szükséges engedélyek a visszafejtés, a titkosítás, a unwrapkey, a wrapkey, az ellenőrzés és az aláírás.

Ha például az Azure Information Protection szolgáltatáshoz létrehozott kulcstár neve contosorms-byok-kv, és az erőforráscsoport neve contosorms-byok-rg,futtassa az alábbi parancsot:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Most, hogy átvitte a HSM-kulcsot az Azure-kulcstárba, készen áll az AD RMS konfigurációs adatainak importálására.

3. rész: A konfigurációs adatok importálása az Azure Information Protectionbe

  1. Azure Information Protection-rendszergazda: Internetkapcsolattal rendelkező munkaállomáson és PowerShell-munkamenetben másolja át az új konfigurációs adatfájlokat (.xml), amelyeken a TpdUtil eszköz futtatása után eltávolította az SLC-kulcsot.

  2. Töltse fel az .xml az Import-AipServiceTpd parancsmag használatával. Ha például frissítette az AD RMS-fürtöt titkosítási módra, legalább egy további fájlt importálni kell.

    A parancsmag futtatásához szüksége van a konfigurációs adatfájlhoz korábban megadott jelszóra, valamint az előző lépésben azonosított kulcs URL-címére.

    Ha például egy "C:\contoso_keyless.xml" konfigurációs adatfájlt és az előző lépéshez tartozó legfontosabb URL-értéket használja, először futtassa az alábbiakat a jelszó tárolására:

     $TPD_Password = Read-Host -AsSecureString
    

    Adja meg a konfigurációs adatfájl exportálásához megadott jelszót. Ezután futtassa az alábbi parancsot, és győződjön meg arról, hogy végre szeretné ezt a műveletet:

    Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Az importálás részeként az SLC-kulcs importálása megtörténik, és automatikusan archiváltként lesz beállítva.

  3. Miután feltöltötte az egyes fájlokat, a Set-AipServiceKeyProperties futtatásával adja meg, hogy melyik importált kulcs egyezést adjon meg az AD RMS-fürt jelenleg aktív SLC kulcsával.

  4. A Disconnect-AipServiceService parancsmag használatával bontsa a kapcsolatot a Azure Tartalomvédelmi szolgáltatások szolgáltatással:

    Disconnect-AipServiceService
    

Ha később meg kell erősítenie, hogy az Azure Information Protection bérlőkulcsa melyik kulcsot használja az Azure kulcstárban, használja a Get-AipServiceKeys Azure RMS parancsmagot.

Most már készen áll az 5. lépésre. Aktiválja a Azure Tartalomvédelmi szolgáltatások szolgáltatást.