2. lépés: Szoftveres védelem alatt álló kulcs A HSM által védett kulcs migrálása

Ezek az utasítások az AD RMS-ből az Azure Information Protectionbe való migrálási útvonal részét képezik, és csak akkor alkalmazhatók, ha az AD RMS-kulcs szoftveres védelemmel rendelkezik, és HSM által védett bérlői kulccsal szeretne az Azure Information Protectionbe migrálni az Azure Key Vaultban.

Ha nem ez a választott konfigurációs forgatókönyv, térjen vissza a 4. lépéshez . Exportálja a konfigurációs adatokat az AD RMS-ből, majd importálja azOkat az Azure RMS-be , és válasszon másik konfigurációt.

Négyrészes eljárás az AD RMS-konfiguráció importálása az Azure Information Protectionbe, hogy az Azure Information Protection-bérlőkulcsot ön (BYOK) kezelje az Azure Key Vaultban.

Először ki kell nyernie a kiszolgáló licencadó tanúsítványának (SLC) kulcsát az AD RMS konfigurációs adataiból, majd át kell vinnie a kulcsot egy helyszíni nCipher HSM-be, a következő csomagba, és át kell vinnie a HSM-kulcsot az Azure Key Vaultba, majd engedélyeznie kell a Azure Tartalomvédelmi szolgáltatások szolgáltatást az Azure Information Protectionből a kulcstartó eléréséhez, majd importálnia kell a konfigurációs adatokat.

Mivel az Azure Information Protection-bérlőkulcsot az Azure Key Vault fogja tárolni és felügyelni, a migrálás ezen része az Azure Information Protection mellett az Azure Key Vaultban is igényel felügyeletet. Ha az Azure Key Vaultot más rendszergazda felügyeli, mint Ön a szervezetében, az eljárások elvégzéséhez koordinálnia kell és együtt kell működnie a rendszergazdával.

Mielőtt hozzákezdene, győződjön meg arról, hogy a szervezet rendelkezik az Azure Key Vaultban létrehozott kulcstartóval, és hogy támogatja a HSM által védett kulcsokat. Bár ez nem kötelező, javasoljuk, hogy rendelkezzen dedikált kulcstartóval az Azure Information Protectionhez. Ez a kulcstartó úgy lesz konfigurálva, hogy az Azure Information Protection Azure Tartalomvédelmi szolgáltatások szolgáltatása elérhesse azt, így a kulcstartóban tárolt kulcsokat csak Az Azure Information Protection-kulcsok számára kell korlátozni.

Tipp.

Ha az Azure Key Vault konfigurációs lépéseit hajtja végre, és nem ismeri ezt az Azure-szolgáltatást, hasznos lehet először áttekinteni az Azure Key Vault használatának első lépéseit.

1. rész: Az SLC-kulcs kinyerése a konfigurációs adatokból, és a kulcs importálása a helyszíni HSM-be

1. Azure Key Vault-rendszergazda: Az Azure Key Vaultban tárolni kívánt összes exportált SLC-kulcshoz kövesse az Azure Key Vault dokumentációjának Saját kulcs (BYOK) implementálásával foglalkozó szakaszának következő lépéseit:

   • Kulcs létrehozása és átvitele az Azure Key Vault HSM-be: 1. lépés: Az internetkapcsolattal rendelkező munkaállomás előkészítése

   • Bérlőkulcs létrehozása és átvitele – az interneten keresztül: 2. lépés: A leválasztott munkaállomás előkészítése

   Ne kövesse a bérlőkulcs létrehozásához szükséges lépéseket, mert már rendelkezik az exportált konfigurációs adatok (.xml) fájljának megfelelőjével. Ehelyett egy eszközt fog futtatni, amely kinyeri ezt a kulcsot a fájlból, és importálja azt a helyszíni HSM-be. Az eszköz két fájlt hoz létre a futtatáskor:

   • Egy új konfigurációs adatfájl kulcs nélkül, amely ezután importálható az Azure Information Protection-bérlőbe.

   • Egy PEM-fájl (kulcstároló) a kulccsal, amely ezután készen áll a helyszíni HSM-be való importálásra.

2. Azure Information Protection-rendszergazda vagy Azure Key Vault-rendszergazda: A leválasztott munkaállomáson futtassa a TpdUtil eszközt az Azure RMS migrálási eszközkészletéből. Ha például az eszköz telepítve van az e-meghajtón, ahol a ContosoTPD.xml nevű konfigurációs adatfájlt másolja:

   E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
   

   Ha több RMS-konfigurációs adatfájllal rendelkezik, futtassa ezt az eszközt a többi fájlhoz.

   Ha meg szeretné tekinteni az eszköz súgóját, amely leírást, használatot és példákat tartalmaz, futtassa a TpdUtil.exe parancsot paraméterek nélkül

   A parancs további információi:

   • A /tpd: az exportált AD RMS konfigurációs adatfájl teljes elérési útját és nevét adja meg. A teljes paraméter neve TpdFilePath.

   • Az /otpd: a kulcs nélküli konfigurációs adatfájl kimeneti fájlnevét adja meg. A teljes paraméternév OutPfxFile. Ha nem adja meg ezt a paramétert, a kimeneti fájl alapértelmezés szerint az eredeti fájlnévre _keyless utótaggal, és az aktuális mappában lesz tárolva.

   • Az /opem: a kinyert kulcsot tartalmazó PEM-fájl kimeneti fájlnevét adja meg. A teljes paraméternév OutPemFile. Ha nem adja meg ezt a paramétert, a kimeneti fájl alapértelmezés szerint az eredeti fájlnévre kerül _key utótaggal, és az aktuális mappában lesz tárolva.

   • Ha nem adja meg a jelszót a parancs futtatásakor (a TpdPassword teljes paraméternévvel vagy a pwd short paraméternévvel), a rendszer kérni fogja annak megadását.

3. Ugyanazon a leválasztott munkaállomáson csatolja és konfigurálja az nCipher HSM-et az nCipher dokumentációjának megfelelően. Most már importálhatja a kulcsot a csatolt nCipher HSM-be az alábbi paranccsal, ahol a ContosoTPD.pem fájlnevét kell lecserélnie:

   generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
   

   Megjegyzés:

   Ha több fájllal rendelkezik, válassza ki azt a fájlt, amely megfelel az Azure RMS-ben használni kívánt HSM-kulcsnak a tartalomvédelemhez az áttelepítés után.

   Ez a következőhöz hasonló kimeneti megjelenítést hoz létre:

   kulcsgenerálási paraméterek:

   művelet végrehajtása importáláshoz

   alkalmazásalkalmazás egyszerű

   a konfigurációs kulcs biztonságának ellenőrzése igen

   típus Kulcstípus RSA

   pemreadfile PEM fájl, amely RSA-kulcsot tartalmaz e:\ContosoTPD.pem

   ident Key Identifier contosobyok

   egyszerű név Kulcsnév ContosoBYOK

   A kulcs importálása sikeresen megtörtént.

   Kulcs elérési útja: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Ez a kimenet megerősíti, hogy a titkos kulcs át lesz migrálva a helyszíni nCipher HSM-eszközre egy kulcsba mentett titkosított másolattal (a példánkban a "key_simple_contosobyok").

Most, hogy az SLC-kulcsot kinyerték és importálták a helyszíni HSM-be, készen áll a HSM által védett kulcs csomagolására és az Azure Key Vaultba való átvitelére.

Fontos

Ha elvégezte ezt a lépést, biztonságosan törölje ezeket a PEM-fájlokat a leválasztott munkaállomásról, hogy illetéktelen személyek ne férhessenek hozzá. Futtassa például a "cipher /w: E" parancsot az összes fájl biztonságos törléséhez az E: meghajtóról.

2. rész: A HSM-kulcs csomagolása és átvitele az Azure Key Vaultba

Azure Key Vault-rendszergazda: Az Azure Key Vaultban tárolni kívánt összes exportált SLC-kulcshoz kövesse az Azure Key Vault dokumentációjának Implementálás saját kulcs (BYOK) implementálásával foglalkozó szakaszának következő lépéseit:

• 4. lépés: A kulcs előkészítése az átvitelhez

• 5. lépés: A kulcs átvitele az Azure Key Vaultba

Ne kövesse a kulcspár létrehozásához szükséges lépéseket, mert már rendelkezik a kulccsal. Ehelyett futtat egy parancsot a kulcs átviteléhez (a példánkban a KeyIdentifier paraméter a "contosobyok" parancsot használja) a helyszíni HSM-ből.

Mielőtt áthelyezi a kulcsot az Azure Key Vaultba, győződjön meg arról, hogy a KeyTransferRemote.exe segédprogram a Következő eredményt adja vissza: SIKER , ha csökkentett engedélyekkel hoz létre másolatot a kulcsról (4.1. lépés), és amikor titkosítja a kulcsot (4.3. lépés).

Amikor a kulcs feltölti az Azure Key Vaultba, megjelenik a kulcs tulajdonságai, amelyek tartalmazzák a kulcsazonosítót. A következőhöz https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333hasonlóan fog kinézni: . Jegyezze fel ezt az URL-címet, mert az Azure Information Protection rendszergazdájának szüksége lesz rá, hogy tájékoztassa a Azure Tartalomvédelmi szolgáltatások szolgáltatást az Azure Information Protectiontől, hogy használja ezt a kulcsot a bérlőkulcsához.

Ezután a Set-AzKeyVaultAccessPolicy parancsmaggal engedélyezze a Azure Tartalomvédelmi szolgáltatások szolgáltatásnevet a kulcstartó eléréséhez. A szükséges engedélyek: visszafejtés, titkosítás, unwrapkey, wrapkey, verify és sign.

Ha például az Azure Information Protectionhez létrehozott kulcstartó neve contosorms-byok-kv, és az erőforráscsoport neve contosorms-byok-rg, futtassa a következő parancsot:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Most, hogy átvitte a HSM-kulcsot az Azure Key Vaultba, készen áll az AD RMS konfigurációs adatainak importálására.

3. rész: Konfigurációs adatok importálása az Azure Information Protectionbe

1. Azure Information Protection-rendszergazda: Az internethez csatlakoztatott munkaállomáson és a PowerShell-munkamenetben másolja át az új konfigurációs adatfájlokat (.xml), amelyek a TpdUtil eszköz futtatása után eltávolítják az SLC-kulcsot.

2. Töltse fel az egyes .xml fájlokat az Import-AipServiceTpd parancsmag használatával. Ha például a 2. titkosítási módhoz frissítette az AD RMS-fürtöt, legalább egy további fájlt importálnia kell.

   A parancsmag futtatásához szüksége lesz a konfigurációs adatfájlhoz korábban megadott jelszóra és az előző lépésben azonosított kulcs URL-címére.

   Ha például a C:\contoso_keyless.xml konfigurációs adatfájlt és az előző lépésben szereplő kulcs URL-értékét használja, először futtassa a következőt a jelszó tárolásához:

    $TPD_Password = Read-Host -AsSecureString
   

   Adja meg a konfigurációs adatfájl exportálásához megadott jelszót. Ezután futtassa a következő parancsot, és győződjön meg arról, hogy végre kívánja hajtani ezt a műveletet:

   Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   Az importálás részeként az SLC-kulcs importálása és automatikus beállítása archiváltként történik.

3. Amikor feltöltötte az egyes fájlokat, futtassa a Set-AipServiceKeyProperties parancsot annak megadásához, hogy melyik importált kulcs felel meg az AD RMS-fürtben jelenleg aktív SLC-kulcsnak.

4. A Disconnect-AipServiceService parancsmaggal válassza le a Azure Tartalomvédelmi szolgáltatások szolgáltatást:

   Disconnect-AipServiceService
   

Ha később ellenőriznie kell, hogy az Azure Information Protection-bérlőkulcs melyik kulcsot használja az Azure Key Vaultban, használja a Get-AipServiceKeys Azure RMS parancsmagot.

Most már készen áll az 5. lépésre. Aktiválja a Azure Tartalomvédelmi szolgáltatások szolgáltatást.