Share via

HSM által védett kulcsok importálása Key Vault (nCipher)

  • Cikk

Figyelmeztetés

Az ebben a dokumentumban ismertetett HSM-kulcs importálási módszer elavult , és 2021. június 30-a után nem támogatott. Csak nCipher nShield HSM-családdal működik, firmware 12.40.2 vagy újabb verzióval. Erősen ajánlott a HSM-kulcsok importálása új módszerrel .

Megjegyzés

Javasoljuk, hogy az Azure-ral való interakcióhoz az Azure Az PowerShell-modult használja. Az első lépésekhez tekintse meg az Azure PowerShell telepítését ismertető szakaszt. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

További biztosítékként az Azure Key Vault használatakor olyan hardveres biztonsági modulok (HSM-ek) kulcsait importálhatja vagy hozhatja létre, amelyek soha nem hagyják el a HSM-határt. Ennek a megoldásnak a neve saját kulcs használata, angol betűszóval BYOK. Az Azure Key Vault nCipher nShield HSM-család (FIPS 140-2 2. szint érvényesítve) használatával védi a kulcsokat.

Ez a cikk segítséget nyújt a saját HSM által védett kulcsok tervezéséhez, létrehozásához és átviteléhez az Azure Key Vault használatához.

Ez a funkció nem érhető el a 21Vianet által üzemeltetett Microsoft Azure-hoz.

Megjegyzés

Az Azure Key Vault kapcsolatos további információkért lásd: Mi az Az Azure Key Vault? A HSM által védett kulcsok kulcstartójának létrehozását ismertető első lépéseket ismertető oktatóanyagért lásd: Mi az az Azure Key Vault?.

További információ a HSM által védett kulcsok interneten keresztüli létrehozásával és átvitelével kapcsolatban:

  • A kulcsot egy offline munkaállomásról hozza létre, amely csökkenti a támadási felületet.
  • A kulcs kulcscsere-kulccsal (KEK) van titkosítva, amely addig titkosítva marad, amíg át nem kerül az Azure Key Vault HSM-be. Csak a kulcs titkosított verziója hagyja meg az eredeti munkaállomást.
  • Az eszközkészlet olyan tulajdonságokat állít be a bérlőkulcson, amelyek az Azure Key Vault biztonsági világához kötik a kulcsot. Így miután az Azure Key Vault HSM-k megkapták és visszafejtették a kulcsot, csak ezek a HSM-k használhatják. A kulcs nem exportálható. Ezt a kötést az nCipher HSM-k kényszerítik.
  • A kulcs titkosításához használt kulcscserekulcs (KEK) az Azure Key Vault HSM-eken belül jön létre, és nem exportálható. A HSM-ek biztosítják, hogy a KEK-nek nem létezhet titkosítatlan verziója a HSM-eken kívül. Emellett az eszközkészlet tartalmazza az nCipher igazolását arról, hogy a KEK nem exportálható, és egy eredeti HSM-ben jött létre, amelyet az nCipher gyártott.
  • Az eszközkészlet tartalmazza az nCipherből származó igazolást arról, hogy az Azure Key Vault biztonsági világa az nCipher által gyártott eredeti HSM-en is létrejött. Ez az igazolás azt mutatja, hogy a Microsoft eredeti hardvert használ.
  • A Microsoft külön KEK-ket és különálló biztonsági világokat használ az egyes földrajzi régiókban. Ez az elkülönítés biztosítja, hogy a kulcs csak abban a régióban található adatközpontokban használható, amelyben titkosította. Egy európai ügyfél kulcsa például nem használható észak-amerikai vagy ázsiai adatközpontokban.

További információ az nCipher HSM-ekről és a Microsoft-szolgáltatásokról

Az nCipher Security, a Entrust Datacard vállalat vezető szerepet tölt be az általános célú HSM-piacon, és világszerte vezető szervezeteket tesz lehetővé azáltal, hogy megbízhatóságot, integritást és ellenőrzést nyújt az üzletileg kritikus fontosságú információknak és alkalmazásoknak. Az nCipher titkosítási megoldásai új technológiákat – felhőt, IoT-t, blokkláncot, digitális fizetéseket – biztosítanak, és segítenek megfelelni az új megfelelőségi követelményeknek, és ugyanazt a bevált technológiát használják, amelytől a globális szervezetek ma is függenek, hogy megvédjék a bizalmas adataikat, a hálózati kommunikációt és a vállalati infrastruktúrát fenyegető veszélyeket. Az nCipher megbízhatóságot biztosít az üzletileg kritikus alkalmazásokhoz, biztosítva az adatok integritását és az ügyfelek teljes felügyeletét – ma, holnap, mindig.

A Microsoft együttműködött az nCipher Security szolgáltatással a HSM-ek korszerűsítése érdekében. Ezeknek a fejlesztéseknek köszönhetően Ön úgy élvezheti az üzemeltetett szolgáltatások szokásos előnyeit, hogy közben nem kell feláldoznia a kulcsai felügyeletét. Egészen pontosan a fejlesztéseknek köszönhetően a Microsoft képes felügyelni a HSM-eket, hogy Önnek ne kelljen. Felhőszolgáltatásként az Azure Key Vault rövid időn belül felskálázható, hogy megfeleljen a szervezet használati csúcsainak. Ugyanakkor a kulcs védett a Microsoft HSM-jeiben: Megtarthatja az irányítást a kulcs életciklusa felett, mert létrehozza a kulcsot, és átadja azt a Microsoft HSM-jeinek.

Saját kulcs használatának (BYOK) megvalósítása az Azure Key Vaulthoz

Használja az alábbi információkat és eljárásokat, ha létrehoz egy saját HSM által védett kulcsot, majd átadja azt az Azure Key Vault. Ez az úgynevezett Saját kulcs (BYOK) forgatókönyv.

A BYOK előfeltételei

Az azure-Key Vault saját kulcsának (BYOK) létrehozásához szükséges előfeltételek listáját az alábbi táblázatban találja.

Követelmény További információ
Azure-előfizetés Azure-Key Vault létrehozásához Azure-előfizetésre van szüksége: Regisztráció ingyenes próbaverzióra
Az Azure Key Vault Prémium szolgáltatási szint a HSM által védett kulcsok támogatásához Az Azure Key Vault szolgáltatási szintjeiről és képességeiről az Azure Key Vault díjszabási webhelyén talál további információt.
nCipher nShield HSM-k, intelligens kártyák és támogatási szoftverek Hozzáféréssel kell rendelkeznie egy nCipher hardveres biztonsági modulhoz és az nCipher nShield HSM-ekkel kapcsolatos alapvető üzemeltetési ismeretekhez. A kompatibilis modellek listájáért tekintse meg az nCipher nShield hardveres biztonsági modult , vagy ha nem rendelkezik HSM-sel, vásároljon HSM-et.
A következő hardverek és szoftverek:
  1. Egy offline x64-es munkaállomás, amely legalább 11.50-es verziójú Windows 7 operációs rendszerrel és nCipher nShield szoftverrel rendelkezik.

    Ha ez a munkaállomás Windows 7 rendszert futtat, telepítenie kell a Microsoft .NET-keretrendszer 4.5-öt.
  2. Egy olyan munkaállomás, amely csatlakozik az internethez, és telepítve van a Windows 7 és Azure PowerShellminimum 1.1.0-s verziójának minimális Windows operációs rendszere.
  3. Usb-meghajtó vagy más hordozható tárolóeszköz, amely legalább 16 MB szabad területtel rendelkezik.
 Biztonsági okokból javasoljuk, hogy az első munkaállomás ne csatlakozzon hálózathoz. Ez a javaslat azonban nincs programozott módon kényszerítve.

A következő utasításokban ezt a munkaállomást leválasztott munkaállomásnak nevezzük.


Emellett, ha a bérlőkulcs éles hálózathoz tartozik, javasoljuk, hogy egy második, különálló munkaállomást használjon az eszközkészlet letöltéséhez, és töltse fel a bérlőkulcsot. Tesztelési célokra azonban használhatja az első munkaállomást is.

A következő utasításokban ezt a második munkaállomást internetkapcsolattal rendelkező munkaállomásnak nevezzük.

Kulcs létrehozása és átvitele az Azure Key Vault HSM-be

A kulcs azure-Key Vault HSM-be történő létrehozásához és átviteléhez az alábbi öt lépést kell elvégeznie:

Az internetre kapcsolódó munkaállomás előkészítése

Ehhez az első lépéshez hajtsa végre az alábbi eljárásokat az internethez csatlakoztatott munkaállomáson.

Az Azure PowerShell telepítése

Az internethez csatlakoztatott munkaállomásról töltse le és telepítse az Azure Key Vault kezeléséhez szükséges parancsmagokat tartalmazó Azure PowerShell modult. A telepítési utasításokért lásd: A Azure PowerShell telepítése és konfigurálása.

Az Azure-előfizetés azonosítóinak lekérése

Indítsa el az Azure PowerShell munkamenetet, és jelentkezzen be az Azure-fiókjába az alábbi paranccsal:

   Connect-AzAccount

Az előugró böngészőablakban adja meg az Azure-fiókja felhasználónevét és jelszavát. Ezután használja a Get-AzSubscription parancsot:

   Get-AzSubscription

A kimenetben keresse meg annak az előfizetésnek az azonosítóját, amelyet az Azure Key Vault használ. Később szüksége lesz erre az előfizetés-azonosítóra.

Ne zárja be a Azure PowerShell ablakot.

Az Azure Key Vault BYOK-eszközkészletének letöltése

Nyissa meg a Microsoft letöltőközpontot, és töltse le az Azure Key Vault BYOK eszközkészletet az Azure földrajzi régiójához vagy példányához. A következő információk segítségével azonosíthatja a letöltendő csomag nevét és a hozzá tartozó SHA-256 csomagkivonatot:

Egyesült Államok:

KeyVault-BYOK-Tools-UnitedStates.zip

2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4

Európa:

KeyVault-BYOK-Tools-Europe.zip

9AAAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A

Ázsia:

KeyVault-BYOK-Tools-AsiaPacific.zip

4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5

Latin-Amerika:

KeyVault-BYOK-Tools-LatinAmerica.zip

E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619

Japán:

KeyVault-BYOK-Tools-Japan.zip

3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF

Korea:

KeyVault-BYOK-Tools-Korea.zip

71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F

Dél-Afrika:

KeyVault-BYOK-Tools-SouthAfrica.zip

C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A

UAE:

KeyVault-BYOK-Tools-UAE.zip

FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3

Ausztrália:

KeyVault-BYOK-Tools-Australia.zip

CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A

Azure Government:

KeyVault-BYOK-Tools-USGovCloud.zip

F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A

US Government DOD:

KeyVault-BYOK-Tools-USGovernmentDoD.zip

A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263

Kanada:

KeyVault-BYOK-Tools-Canada.zip

61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E27193463088579717C7B

Németország:

KeyVault-BYOK-Tools-Germany.zip

5385E615880AAFC02AFD9841F7BADD025D7EE819894AAA29ED3C71C3F844C45D6

Németországi nyilvános:

KeyVault-BYOK-Tools-Germany-Public.zip

54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29

India:

KeyVault-BYOK-Tools-India.zip

49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8

Franciaország:

KeyVault-BYOK-Tools-France.zip

5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF

Egyesült Királyság:

KeyVault-BYOK-Tools-UnitedKingdom.zip

432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849

Svájc:

KeyVault-BYOK-Tools-Switzerland.zip

88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9

A letöltött BYOK-eszközkészlet integritásának ellenőrzéséhez a Azure PowerShell munkamenetből használja a Get-FileHash parancsmagot.

Get-FileHash KeyVault-BYOK-Tools-*.zip

Az eszközkészlet a következőket tartalmazza:

  • Kulcscsere-kulcs (KEK) csomag, amelynek neve BYOK-KEK-pkg- kezdetű.
  • Egy Security World-csomag, amelynek a neve BYOK-SecurityWorld-pkg- kezdetű.
  • Egy verifykeypackage.py nevű Python-szkript .
  • Egy KeyTransferRemote.exe nevű parancssori végrehajtható fájl és a társított DLL-ek.
  • Egy Visual C++ terjeszthető csomag, vcredist_x64.exe.

Másolja a csomagot egy USB-meghajtóra vagy más hordozható tárolóeszközre.

Prepare your disconnected workstation (A kapcsolat nélküli munkaállomás előkészítése)

Ebben a második lépésben végezze el az alábbi eljárásokat azon a munkaállomáson, amely nincs hálózathoz csatlakoztatva (az internethez vagy a belső hálózathoz).

A leválasztott munkaállomás előkészítése nCipher nShield HSM-sel

Telepítse az nCipher támogatási szoftvert egy Windows-számítógépre, majd csatoljon egy nCipher nShield HSM-et a számítógéphez.

Győződjön meg arról, hogy az nCipher-eszközök az elérési úton vannak (%nfast_home%\bin). Írja be például a következőt:

set PATH=%PATH%;"%nfast_home%\bin"

További információt az nShield HSM felhasználói útmutatójában talál.

A BYOK-eszközkészlet telepítése a leválasztott munkaállomásra

Másolja ki a BYOK eszközkészletcsomagot az USB-meghajtóról vagy más hordozható tárolóból, majd:

  1. Csomagolja ki a letöltött csomagban található fájlokat egy tetszőleges mappába.
  2. Ebből a könyvtárból futtassa a vcredist_x64.exe fájlt.
  3. Kövesse az utasításokat a Visual Studio 2013 Visual C++ futtatókörnyezeti összetevőinek telepítéséhez.

Kulcs létrehozása

Ebben a harmadik lépésben végezze el az alábbi eljárásokat a leválasztott munkaállomáson. A lépés végrehajtásához a HSM-nek inicializálási módban kell lennie.

Módosítsa a HSM módot "I" módra

Ha nCipher nShield Edge-t használ, módosítsa a módot: 1. A Mód gombbal jelölje ki a szükséges módot. 2. Néhány másodpercen belül nyomja le és tartsa lenyomva a Törlés gombot néhány másodpercig. Ha a mód megváltozik, az új mód LED-jének villogása leáll, és világít. Az állapotJELZŐ LED néhány másodpercig szabálytalanul villoghat, majd rendszeresen villog, amikor az eszköz készen áll. Ellenkező esetben az eszköz az aktuális módban marad, és a megfelelő módú LED világít.

Biztonsági világ létrehozása

Indítsa el a parancssort, és futtassa az nCipher new-world programot.

 new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3

Ez a program létrehoz egy biztonságivilág-fájlt az %NFAST_KMDATA%\local\world címen, amely a C:\ProgramData\nCipher\Key Management Data\local mappának felel meg. A kvórumhoz különböző értékeket használhat, de a példában a rendszer három üres kártyát és kitűzőt kér mindegyikhez. Ezután bármelyik két kártya teljes hozzáférést biztosít a biztonsági világhoz. Ezek a kártyák lesznek az új biztonsági világ rendszergazdai kártyakészlete.

Megjegyzés

Ha a HSM nem támogatja a DLf3072s256mRijndael újabb kódcsomagot, lecserélheti --cipher-suite= DLf3072s256mRijndael a következőre --cipher-suite=DLf1024s160mRijndael: .

Az nCipher szoftver 12.50-es verziójával rendelkező new-world.exe létrehozott biztonsági világ nem kompatibilis ezzel a BYOK-eljárással. Két lehetőség érhető el:

  1. Váltsa vissza az nCipher szoftververziót a 12.40.2-es verzióra egy új biztonsági világ létrehozásához.
  2. Lépjen kapcsolatba az nCipher ügyfélszolgálatával, és kérje meg őket, hogy adjanak meg egy gyorsjavítást a 12.50-es szoftververzióhoz, amely lehetővé teszi az new-world.exe 12.40.2-es verziójának használatát, amely kompatibilis ezzel a BYOK-eljárással.

Ezután:

  • Készítsen biztonsági másolatot a világfájlról. Helyezze biztonságba és biztosítson védelmet a világfájl, valamint a rendszergazdai kártyák és PIN-kódjaik számára, és gondoskodjon róla, hogy senki ne férhessen hozzá egynél több kártyához.

A HSM mód módosítása "O" -ra

Ha nCipher nShield Edge-t használ, módosítsa a módot: 1. A Mód gombbal jelölje ki a szükséges módot. 2. Néhány másodpercen belül nyomja le és tartsa lenyomva a Törlés gombot néhány másodpercig. Ha a mód megváltozik, az új mód LED-jének villogása leáll, és világít. Az állapotJELZŐ LED néhány másodpercig szabálytalanul villoghat, majd rendszeresen villog, amikor az eszköz készen áll. Ellenkező esetben az eszköz az aktuális módban marad, és a megfelelő módú LED világít.

A letöltött csomag ellenőrzése

Ezen lépés végrehajtása nem kötelező, de ajánlott a következők ellenőrzéséhez:

  • Az eszközkészletben található kulcscserekulcs egy eredeti nCipher nShield HSM-ből lett létrehozva.
  • A biztonsági világnak az eszközkészletben található kivonata egy eredeti nCipher nShield HSM-ben lett létrehozva.
  • A kulcscserekulcs nem exportálható.

Megjegyzés

A letöltött csomag ellenőrzéséhez a HSM-nek csatlakoztatva kell lennie, be kell kapcsolnia, és rendelkeznie kell rajta egy biztonsági világnak (például az imént létrehozott csomagnak).

A letöltött csomag ellenőrzése:

  1. Futtassa a verifykeypackage.py szkriptet az alábbiak egyikének beírásával, az Azure földrajzi régiójától vagy példányától függően:

    • Észak-Amerika esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1

    • Európa esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1

    • Ázsia esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1

    • Latin-Amerika esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1

    • Japán esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1

    • Korea esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1

    • Dél-Afrika esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1

    • Egyesült Arab Emírségek esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1

    • Ausztrália esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1

    • A Azure Government esetében, amely az Azure usa-beli kormányzati példányát használja:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1

    • Us Government DOD esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1

    • Kanada esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1

    • Németország esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1

    • Németországi nyilvános:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1

    • India esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1

    • Franciaország esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1

    • Egyesült Királyság esetén:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1

    • Svájc esetében:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1

      Tipp

      Az nCipher nShield szoftver tartalmazza a Pythont a következő helyen: %NFAST_HOME%\python\bin

  2. Győződjön meg arról, hogy a következőt látja, amely sikeres ellenőrzést jelez: Eredmény: SIKERES

Ez a szkript ellenőrzi az aláírói láncot az nShield gyökérkulcsig. Ennek a gyökérkulcsnak a kivonata be van ágyazva a parancsfájlba, az értékének pedig a következőnek kell lennie: 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Ezt az értéket külön is megerősítheti az nCipher webhelyén.

Most már készen áll egy új kulcs létrehozására.

Új kulcs létrehozása

Kulcs létrehozása az nCipher nShield generatekey program használatával.

A kulcs létrehozásához futtassa a következő parancsot:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

A parancs futtatásakor használja a következő utasításokat:

  • A protect paramétert a module értékre kell állítani, ahogyan az ábrán látható. Ez egy modul által védett kulcsot hoz létre. A BYOK eszközkészlet nem támogatja az OCS által védett kulcsokat.
  • Cserélje le a contosokey értéket az ident és a plainname esetében bármilyen tetszőleges sztringre. Az adminisztratív többletterhelések minimalizálása és a hibák kockázatának csökkentése érdekében javasoljuk, hogy mindkettőhöz ugyanazt az értéket használja. Az ident érték csak számokat, kötőjeleket és kisbetűket tartalmazhat.
  • A példában a pubexp üresen maradt (alapértelmezett érték), de megadhat specifikus értékeket is.

Ez a parancs létrehoz egy tokenizált kulcsfájlt a %NFAST_KMDATA%\local mappában, amelynek neve key_simple_ kezdődik, majd a parancsban megadott ident . Például: key_simple_contosokey. Ez a fájl egy titkosított kulcsot tartalmaz.

Készítsen erről a tokenekre bontott kulcsfájlról egy biztonsági másolatot egy biztonságos helyre.

Fontos

Amikor később átadja a kulcsot az Azure Key Vault, a Microsoft nem tudja visszavinni Önnek ezt a kulcsot, így rendkívül fontos, hogy biztonságosan biztonsági másolatot készítsen a kulcsáról és a biztonsági világáról. A kulcs biztonsági mentésével kapcsolatos útmutatásért és ajánlott eljárásokért forduljon az nCipherhez .

Most már készen áll arra, hogy átvihesse a kulcsot az Azure Key Vault.

A kulcs előkészítése az átvitelhez

Ebben a negyedik lépésben hajtsa végre az alábbi eljárásokat a leválasztott munkaállomáson.

A kulcs másolatának létrehozása csökkentett engedélyekkel

Nyisson meg egy új parancssort, és módosítsa az aktuális könyvtárat arra a helyre, ahová a BYOK zip-fájlt kibontotta. A kulcs engedélyeinek csökkentése érdekében egy parancssorból futtassa az alábbiak egyikét az Azure földrajzi régiójától vagy példányától függően:

  • Észak-Amerika esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-

  • Európa esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1

  • Ázsia esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1

  • Latin-Amerika esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1

  • Japán esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1

  • Korea esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1

  • Dél-Afrika esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1

  • Egyesült Arab Emírségek esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1

  • Ausztrália esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1

  • A Azure Government esetében, amely az Azure usa-beli kormányzati példányát használja:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1

  • Us Government DOD esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1

  • Kanada esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1

  • Németország esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1

  • Németországi nyilvános:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1

  • India esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1

  • Franciaország esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1

  • Egyesült Királyság esetén:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1

  • Svájc esetében:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1

A parancs futtatásakor cserélje le a contosokey elemet a 3.5. lépésben megadott értékkel: Új kulcs létrehozása a Kulcs létrehozása lépésből.

A rendszer arra kéri, hogy csatlakoztassa a biztonsági világ rendszergazdai kártyáit.

Amikor a parancs befejeződik, megjelenik az Eredmény: SUCCESS és a csökkentett engedélyekkel rendelkező kulcs másolata a key_xferacId_<contosokey> nevű fájlban.

Az ACLS-t az nCipher nShield segédprogramokkal az alábbi parancsokkal vizsgálja meg:

  • aclprint.py:

    "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"

  • kmfile-dump.exe:

    "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"

    A parancsok futtatásakor cserélje le a contosokey értékét a 3.5. lépésben megadott értékre: Új kulcs létrehozása a Kulcs létrehozása lépésből.

A kulcs titkosítása a Microsoft kulcscsere-kulcsával

Futtassa az alábbi parancsok egyikét az Azure földrajzi régiójától vagy példányától függően:

  • Észak-Amerika esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Európa esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Ázsia esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Latin-Amerika esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Japán esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Korea esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dél-Afrika esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Egyesült Arab Emírségek esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Ausztrália esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • A Azure Government esetében, amely az Azure usa-beli kormányzati példányát használja:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Us Government DOD esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Kanada esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Németország esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Németországi nyilvános:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • India esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Franciaország esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Egyesült Királyság esetén:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Svájc esetében:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

A parancs futtatásakor használja a következő utasításokat:

  • Cserélje le a contosokey elemet a kulcs létrehozásához használt azonosítóra a 3.5. lépésben: Új kulcs létrehozása a Kulcs létrehozása lépésből.
  • Cserélje le a SubscriptionID elemet a kulcstartót tartalmazó Azure-előfizetés azonosítójára. Ezt az értéket korábban, az 1.2. lépés: Az Azure-előfizetés azonosítójának lekérése az Internetkapcsolattal rendelkező munkaállomás előkészítése lépésből lekérte.
  • Cserélje le a ContosoFirstHSMKey elemet a kimeneti fájlnévhez használt címkére.

Ha ez sikeresen befejeződött, megjelenik az Eredmény: SIKER, és az aktuális mappában egy új fájl található, amelynek neve: KeyTransferPackage-ContosoFirstHSMkey.byok

A kulcsátviteli csomag másolása az internethez csatlakoztatott munkaállomásra

Usb-meghajtóval vagy más hordozható tárolóval másolja a kimeneti fájlt az előző lépésből (KeyTransferPackage-ContosoFirstHSMkey.byok) az internethez csatlakoztatott munkaállomásra.

Kulcs átvitele az Azure Key Vault

Ehhez az utolsó lépéshez az internethez csatlakoztatott munkaállomáson az Add-AzKeyVaultKey parancsmaggal töltse fel a leválasztott munkaállomásról az Azure Key Vault HSM-be másolt kulcsátviteli csomagot:

     Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'

Ha a feltöltés sikeres, megjelenik az imént hozzáadott kulcs tulajdonságai.

Következő lépések

Most már használhatja ezt a HSM által védett kulcsot a kulcstartóban. További információkért tekintse meg ezt az ár- és funkció-összehasonlítást.