Come generare e trasferire chiavi HSM protette per l'insieme di credenziali delle chiavi di AzureHow to generate and transfer HSM-protected keys for Azure Key Vault

IntroduzioneIntroduction

Per una maggiore sicurezza, quando si usa l'insieme di credenziali delle chiavi di Azure è possibile importare o generare le chiavi in moduli di protezione hardware (HSM) che rimangono sempre entro il limite HSM.For added assurance, when you use Azure Key Vault, you can import or generate keys in hardware security modules (HSMs) that never leave the HSM boundary. Questo scenario viene spesso definito con il termine modalità Bring Your Own Keyo BYOK.This scenario is often referred to as bring your own key, or BYOK. I moduli di protezione hardware sono certificati per FIPS 140-2 livello 2.The HSMs are FIPS 140-2 Level 2 validated. L'insieme di credenziali delle chiavi di Azure usa la famiglia di HSM nShield di Thales per proteggere le chiavi.Azure Key Vault uses Thales nShield family of HSMs to protect your keys.

Questo argomento include informazioni utili per pianificare, generare e quindi trasferire le proprie chiavi protette da HSM da usare con l'insieme di credenziali delle chiavi di Azure.Use the information in this topic to help you plan for, generate, and then transfer your own HSM-protected keys to use with Azure Key Vault.

Questa funzionalità non è disponibile per la versione di Azure per la Cina.This functionality is not available for Azure China.

Nota

Per altre informazioni sull'insieme di credenziali di Azure, vedere Cos'è l'insieme di credenziali delle chiavi di Azure?For more information about Azure Key Vault, see What is Azure Key Vault?

Per un'esercitazione introduttiva che illustra la creazione di un insieme di credenziali delle chiavi per chiavi HSM protette, vedere Introduzione all'insieme di credenziali delle chiavi di Azure.For a getting started tutorial, which includes creating a key vault for HSM-protected keys, see Get started with Azure Key Vault.

Altre informazioni su generazione e trasferimento di una chiave HSM protetta tramite Internet:More information about generating and transferring an HSM-protected key over the Internet:

  • La chiave viene generata in una workstation offline per ridurre la superficie di attacco.You generate the key from an offline workstation, which reduces the attack surface.
  • La crittografia della chiave viene eseguita tramite una chiave per lo scambio delle chiavi che rimane crittografata fino al momento del trasferimento ai moduli di protezione hardware dell'insieme di credenziali delle chiavi di Azure.The key is encrypted with a Key Exchange Key (KEK), which stays encrypted until it is transferred to the Azure Key Vault HSMs. Solo la versione crittografata della chiave viene inviata dalla workstation originale.Only the encrypted version of your key leaves the original workstation.
  • Il set di strumenti imposta proprietà sulla chiave che consentono di associarla all'ambiente di sicurezza dell'insieme di credenziali delle chiavi di Azure.The toolset sets properties on your tenant key that binds your key to the Azure Key Vault security world. Di conseguenza, dopo che i moduli di protezione hardware dell'insieme di credenziali delle chiavi di Azure avranno ricevuto e decrittografato la chiave, saranno gli unici componenti a poterla usare.So after the Azure Key Vault HSMs receive and decrypt your key, only these HSMs can use it. La chiave non può essere esportata.Your key cannot be exported. Questo binding viene applicato dai moduli di protezione hardware Thales.This binding is enforced by the Thales HSMs.
  • La chiave per lo scambio delle chiavi usata per crittografare la chiave viene generata nei moduli di protezione hardware dell'insieme di credenziali delle chiavi di Azure e non è esportabile.The Key Exchange Key (KEK) that is used to encrypt your key is generated inside the Azure Key Vault HSMs and is not exportable. I moduli di protezione hardware applicano la regola in base alla quale non può esistere una versione non crittografata della chiave per lo scambio delle chiavi all'esterno dei moduli stessi.The HSMs enforce that there can be no clear version of the KEK outside the HSMs. Il set di strumenti include inoltre un'attestazione di Thales che dichiara che la chiave per lo scambio delle chiavi non è esportabile e che è stata generata in un modulo di protezione hardware originale prodotto da Thales.In addition, the toolset includes attestation from Thales that the KEK is not exportable and was generated inside a genuine HSM that was manufactured by Thales.
  • Il set di strumenti include un'attestazione di Thales che dichiara che anche l'ambiente di sicurezza dell'insieme di credenziali delle chiavi di Azure è stato generato in un modulo di protezione hardware originale prodotto da Thales.The toolset includes attestation from Thales that the Azure Key Vault security world was also generated on a genuine HSM manufactured by Thales. Questo attestato conferma che Microsoft usa hardware originale.This attestation proves to you that Microsoft is using genuine hardware.
  • Microsoft usa certificati KEK separati e ambienti di sicurezza separati in ogni area geografica.Microsoft uses separate KEKs and separate Security Worlds in each geographical region. Questa separazione assicura che la chiave possa essere usata solo nei data center appartenenti all'area in cui è stata crittografata.This separation ensures that your key can be used only in data centers in the region in which you encrypted it. Una chiave di un cliente europeo, ad esempio, non può essere usata in data center che si trovano in America del Nord o in Asia.For example, a key from a European customer cannot be used in data centers in North American or Asia.

Altre informazioni sui moduli di protezione hardware di Thales e sui servizi di MicrosoftMore information about Thales HSMs and Microsoft services

Thales e-Security è un fornitore leader a livello mondiale di soluzioni di crittografia dei dati e di sicurezza informatica per i settori finanziario, tecnologico, manifatturiero e pubblico.Thales e-Security is a leading global provider of data encryption and cyber security solutions to the financial services, high technology, manufacturing, government, and technology sectors. Basate su un'esperienza di 40 anni nella protezione di informazioni aziendali e degli enti pubblici, le soluzioni Thales vengono usate da quattro delle cinque maggiori società dei settori energetico e aerospaziale,With a 40-year track record of protecting corporate and government information, Thales solutions are used by four of the five largest energy and aerospace companies. in 22 paesi NATO, e consentono di proteggere più dell'80 percento delle transazioni di pagamento in tutto il mondo.Their solutions are also used by 22 NATO countries, and secure more than 80 per cent of worldwide payment transactions.

Microsoft ha collaborato con Thales per migliorare il livello tecnologico dei moduli di protezione hardwareMicrosoft has collaborated with Thales to enhance the state of art for HSMs. per consentire all'utente di sfruttare i vantaggi tipici dei servizi ospitati senza perdere il controllo sulle proprie chiavi.These enhancements enable you to get the typical benefits of hosted services without relinquishing control over your keys. In particolare, tali miglioramenti consentono a Microsoft di gestire i moduli di protezione hardware in modo che questa operazione non debba essere eseguita dall'utente.Specifically, these enhancements let Microsoft manage the HSMs so that you do not have to. In quanto servizio cloud, l'insieme di credenziali delle chiavi di Azure è in grado di supportare la scalabilità verticale con breve preavviso per soddisfare i picchi d'uso dell'organizzazione.As a cloud service, Azure Key Vault scales up at short notice to meet your organization’s usage spikes. Contemporaneamente, la chiave è protetta all'interno dei moduli di protezione hardware di Microsoft e l'utente mantiene il controllo sul ciclo di vita della chiave, perché genera la chiave e la trasferisce ai moduli di protezione hardware di Microsoft.At the same time, your key is protected inside Microsoft’s HSMs: You retain control over the key lifecycle because you generate the key and transfer it to Microsoft’s HSMs.

Implementazione di BYOK (Bring Your Own Key) per l'insieme di credenziali delle chiavi di AzureImplementing bring your own key (BYOK) for Azure Key Vault

Usare le informazioni e le procedure seguenti se si genera una chiave HSM protetta e quindi la si trasferisce all'insieme di credenziali delle chiavi di Azure, ovvero lo scenario BYOK (Bring Your Own Key).Use the following information and procedures if you will generate your own HSM-protected key and then transfer it to Azure Key Vault—the bring your own key (BYOK) scenario.

Prerequisiti per la modalità BYOKPrerequisites for BYOK

Nella tabella seguente sono elencati i prerequisiti relativi alla modalità BYOK per l'insieme di credenziali delle chiavi di Azure.See the following table for a list of prerequisites for bring your own key (BYOK) for Azure Key Vault.

RequisitoRequirement Altre informazioniMore information
Sottoscrizione di AzureA subscription to Azure Per creare un insieme di credenziali delle chiavi di Azure, è necessaria una sottoscrizione di Azure: Iscriversi per una versione di valutazione gratuitaTo create an Azure Key Vault, you need an Azure subscription: Sign up for free trial
È inoltre necessario il livello di servizio Premium dell'insieme di credenziali delle chiavi di Azure per supportare chiavi HSM protette.The Azure Key Vault Premium service tier to support HSM-protected keys Per altre informazioni su livelli di servizio e funzionalità per l'insieme di credenziali delle chiavi di Azure, vedere il sito Web relativo ai prezzi dell'insieme di credenziali delle chiavi di Azure .For more information about the service tiers and capabilities for Azure Key Vault, see the Azure Key Vault Pricing website.
Moduli di protezione hardware Thales, smart card e software di supportoThales HSM, smartcards, and support software È necessario avere l'accesso ai moduli di protezione hardware Thales e averne una conoscenza a livello operativo.You must have access to a Thales Hardware Security Module and basic operational knowledge of Thales HSMs. Per l'elenco dei modelli compatibili o per acquistare un modulo di protezione hardware qualora non se ne sia già in possesso, vedere la pagina relativa ai moduli di protezione hardware Thales .See Thales Hardware Security Module for the list of compatible models, or to purchase an HSM if you do not have one.
Componenti hardware e software seguenti:The following hardware and software:
  1. Una workstation x64 offline con Windows 7 come versione minima del sistema operativo Windows e software Thales nShield con versione minima 11.50.An offline x64 workstation with a minimum Windows operation system of Windows 7 and Thales nShield software that is at least version 11.50.

    Se questa workstation esegue Windows 7, è necessario installare Microsoft .NET Framework 4.5.If this workstation runs Windows 7, you must install Microsoft .NET Framework 4.5.
  2. Una workstation connessa a Internet con sistema operativo Windows 7 o versione successiva e con Azure PowerShell 1.1.0 o versione successiva installato.A workstation that is connected to the Internet and has a minimum Windows operating system of Windows 7 and Azure PowerShell minimum version 1.1.0 installed.
  3. Unità USB o un altro dispositivo di archiviazione portatile con almeno 16 MB di spazio disponibile.A USB drive or other portable storage device that has at least 16 MB free space.
Per motivi di sicurezza, si consiglia che la prima workstation non sia connessa a una rete.For security reasons, we recommend that the first workstation is not connected to a network. Questa indicazione tuttavia non viene applicata a livello di codice.However, this recommendation is not programmatically enforced.

Si noti che nelle istruzioni seguenti questa workstation viene indicata come workstation disconnessa.Note that in the instructions that follow, this workstation is referred to as the disconnected workstation.


Se inoltre la propria chiave del tenant è destinata a essere usata in una rete di produzione, si consiglia di usare una seconda workstation separata per scaricare il set di strumenti e caricare la chiave del tenant.In addition, if your tenant key is for a production network, we recommend that you use a second, separate workstation to download the toolset and upload the tenant key. A scopo di test è comunque possibile usare la prima workstation.But for testing purposes, you can use the same workstation as the first one.

Si noti che nelle istruzioni seguenti la seconda workstation viene indicata come workstation connessa a Internet.Note that in the instructions that follow, this second workstation is referred to as the Internet-connected workstation.


Generare e trasferire la chiave al modulo di protezione hardware dell'insieme di credenziali delle chiavi di AzureGenerate and transfer your key to Azure Key Vault HSM

Per generare e trasferire la chiave al modulo di protezione hardware dell'insieme di credenziali delle chiavi di Azure, eseguire i cinque passaggi seguenti:You will use the following five steps to generate and transfer your key to an Azure Key Vault HSM:

Passaggio 1: Preparare la workstation connessa a InternetStep 1: Prepare your Internet-connected workstation

Per questo primo passaggio è necessario eseguire le procedure seguenti nella workstation connessa a Internet.For this first step, do the following procedures on your workstation that is connected to the Internet.

Passaggio 1.1: Installare Azure PowerShellStep 1.1: Install Azure PowerShell

Dalla workstation connessa a Internet scaricare e installare il modulo di Azure PowerShell che include i cmdlet per la gestione dell'insieme di credenziali delle chiavi di Azure.From the Internet-connected workstation, download and install the Azure PowerShell module that includes the cmdlets to manage Azure Key Vault. È necessaria la versione minima 0.8.13.This requires a minimum version of 0.8.13.

Per le istruzioni di installazione, vedere Come installare e configurare Azure PowerShell.For installation instructions, see How to install and configure Azure PowerShell.

Passaggio 1.2: Ottenere l'ID sottoscrizione di AzureStep 1.2: Get your Azure subscription ID

Avviare una sessione di Azure PowerShell e accedere al proprio account Azure con il comando seguente:Start an Azure PowerShell session and sign in to your Azure account by using the following command:

   Add-AzureAccount

Nella finestra del browser a comparsa, immettere il nome utente e la password dell'account Azure.In the pop-up browser window, enter your Azure account user name and password. Usare quindi il comando Get-AzureSubscription :Then, use the Get-AzureSubscription command:

   Get-AzureSubscription

Nell'output individuare l'ID della sottoscrizione che si userà per l'insieme di credenziali delle chiavi di Azure.From the output, locate the ID for the subscription you will use for Azure Key Vault. Questo ID sottoscrizione verrà usato in seguito.You will need this subscription ID later.

Non chiudere la finestra di Azure PowerShell.Do not close the Azure PowerShell window.

Passaggio 1.3: Scaricare il set di strumenti BYOK per l'insieme di credenziali delle chiavi di AzureStep 1.3: Download the BYOK toolset for Azure Key Vault

Accedere all'Area download Microsoft e scaricare il set di strumenti BYOK per l'insieme di credenziali delle chiavi di Azure per la propria area geografica o istanza di Azure.Go to the Microsoft Download Center and download the Azure Key Vault BYOK toolset for your geographic region or instance of Azure. Usare le informazioni seguenti per identificare il nome del pacchetto da scaricare e il relativo hash del pacchetto SHA-256:Use the following information to identify the package name to download and its corresponding SHA-256 package hash:


Stati Uniti:United States:

KeyVault-BYOK-Tools-UnitedStates.zipKeyVault-BYOK-Tools-UnitedStates.zip

2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D42E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4


Europa:Europe:

KeyVault-BYOK-Tools-Europe.zipKeyVault-BYOK-Tools-Europe.zip

9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A


Asia:Asia:

KeyVault-BYOK-Tools-AsiaPacific.zipKeyVault-BYOK-Tools-AsiaPacific.zip

4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B54BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5


America Latina:Latin America:

KeyVault-BYOK-Tools-LatinAmerica.zipKeyVault-BYOK-Tools-LatinAmerica.zip

E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619


Giappone:Japan:

KeyVault-BYOK-Tools-Japan.zipKeyVault-BYOK-Tools-Japan.zip

3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF


Corea:Korea:

KeyVault-BYOK-strumenti-Korea.zipKeyVault-BYOK-Tools-Korea.zip

71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F


Australia:Australia:

KeyVault-BYOK-Tools-Australia.zipKeyVault-BYOK-Tools-Australia.zip

CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40ACD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A


Azure per enti pubblici:Azure Government:

KeyVault-BYOK-Tools-USGovCloud.zipKeyVault-BYOK-Tools-USGovCloud.zip

F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621AF8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A


Dipartimento della difesa del governo degli Stati Uniti:US Government DOD:

KeyVault-BYOK-Tools-USGovernmentDoD.zipKeyVault-BYOK-Tools-USGovernmentDoD.zip

A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263


Canada:Canada:

KeyVault-BYOK-Tools-Canada.zipKeyVault-BYOK-Tools-Canada.zip

61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B


Germania:Germany:

KeyVault-BYOK-Tools-Germany.zipKeyVault-BYOK-Tools-Germany.zip

5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D65385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6


India:India:

KeyVault-BYOK-Tools-India.zipKeyVault-BYOK-Tools-India.zip

49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C849EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8


Regno Unito:United Kingdom:

KeyVault-BYOK-Tools-UnitedKingdom.zipKeyVault-BYOK-Tools-UnitedKingdom.zip

432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849


Per convalidare l'integrità del set di strumenti BYOK scaricato, nella sessione di Azure PowerShell usare il cmdlet Get-FileHash .To validate the integrity of your downloaded BYOK toolset, from your Azure PowerShell session, use the Get-FileHash cmdlet.

Get-FileHash KeyVault-BYOK-Tools-*.zip

Il set di strumenti include gli elementi seguenti:The toolset includes the following:

  • Un pacchetto di chiavi per lo scambio di chiavi (KEK) con un nome che inizia con BYOK-KEK-pkg-.A Key Exchange Key (KEK) package that has a name beginning with BYOK-KEK-pkg-.
  • Un pacchetto relativo all'ambiente di sicurezza con un nome che inizia con BYOK-SecurityWorld-pkg-.A Security World package that has a name beginning with BYOK-SecurityWorld-pkg-.
  • Uno script python denominato verifykeypackage.py.A python script named verifykeypackage.py.
  • File eseguibile dalla riga di comando denominato KeyTransferRemote.exe e DLL associate.A command-line executable file named KeyTransferRemote.exe and associated DLLs.
  • Componente Visual C++ Redistributable Package denominato vcredist_x64.exe.A Visual C++ Redistributable Package, named vcredist_x64.exe.

Copiare il pacchetto in un'unità USB o in un altro dispositivo di archiviazione portatile.Copy the package to a USB drive or other portable storage.

Passaggio 2: Preparare la workstation disconnessaStep 2: Prepare your disconnected workstation

Per questo secondo passaggio eseguire le procedure seguenti nella workstation non connessa alla rete (Internet o la rete interna).For this second step, do the following procedures on the workstation that is not connected to a network (either the Internet or your internal network).

Passaggio 2.1: Preparare la workstation disconnessa con il modulo di protezione hardware ThalesStep 2.1: Prepare the disconnected workstation with Thales HSM

Installare il software di supporto nCipher (Thales) in un computer Windows, quindi collegare un modulo di protezione hardware Thales a tale computer.Install the nCipher (Thales) support software on a Windows computer, and then attach a Thales HSM to that computer.

Verificare che gli strumenti Thales si trovino nel percorso (%nfast_home%\bin).Ensure that the Thales tools are in your path (%nfast_home%\bin). Digitare ad esempio:For example, type the following:

set PATH=%PATH%;"%nfast_home%\bin"

Per altre informazioni, vedere il manuale dell'utente fornito con il modulo di protezione hardware Thales.For more information, see the user guide included with the Thales HSM.

Passaggio 2.2: Installare il set di strumenti BYOK nella workstation disconnessaStep 2.2: Install the BYOK toolset on the disconnected workstation

Copiare il pacchetto del set di strumenti BYOK dall'unità USB o da un altro dispositivo di archiviazione portatile, quindi eseguire le operazioni seguenti:Copy the BYOK toolset package from the USB drive or other portable storage, and then do the following:

  1. Estrarre i file dal pacchetto scaricato in una cartella qualsiasi.Extract the files from the downloaded package into any folder.
  2. In tale cartella eseguire vcredist_x64.exe.From that folder, run vcredist_x64.exe.
  3. Seguire le istruzioni per installare i componenti di runtime di Visual C++ per Visual Studio 2013.Follow the instructions to the install the Visual C++ runtime components for Visual Studio 2013.

Passaggio 3: Generare la chiaveStep 3: Generate your key

Per questo terzo passaggio eseguire le procedure seguenti nella workstation disconnessa.For this third step, do the following procedures on the disconnected workstation. Per poter completare questo passaggio, il modulo di protezione hardware deve essere in modalità di inizializzazione.To complete this step your HSM must be in initialization mode.

Passaggio 3.1: Modificare la modalità del modulo di protezione hardware in 'I'Step 3.1: Change the HSM mode to 'I'

Se si usa Thales nShield Edge, per modificare la modalità: 1.If you are using Thales nShield Edge, to change the mode: 1. Usare il pulsante Modalità per evidenziare la modalità richiesta.Use the Mode button to highlight the required mode. 2.2. Entro pochi secondi, premere e tenere premuto per pochi secondi il pulsante Cancella.Within a few seconds, press and hold the Clear button for a couple of seconds. Se la modalità viene modificata, il LED della nuova modalità smette di lampeggiare e rimane acceso.If the mode changes, the new mode’s LED stops flashing and remains lit. È possibile che il LED di stato lampeggi in modo irregolare per pochi secondi e quindi lampeggi in modo regolare quando il dispositivo è pronto.The Status LED might flash irregularly for a few seconds and then flashes regularly when the device is ready. In caso contrario, il dispositivo rimane nella modalità corrente, con il LED della modalità appropriata acceso.Otherwise, the device remains in the current mode, with the appropriate mode LED lit.

Passaggio 3.2: Creare un ambiente di sicurezzaStep 3.2: Create a security world

Avviare un prompt dei comandi ed eseguire il programma new-world di Thales.Start a command prompt and run the Thales new-world program.

 new-world.exe --initialize --cipher-suite=DLf1024s160mRijndael --module=1 --acs-quorum=2/3

Questo programma crea un file di ambiente di sicurezza nel percorso %NFAST_KMDATA%\local\world, che corrisponde alla cartella C:\ProgramData\nCipher\Key Management Data\local.This program creates a Security World file at %NFAST_KMDATA%\local\world, which corresponds to the C:\ProgramData\nCipher\Key Management Data\local folder. È possibile creare valori diversi per il quorum, ma nell'esempio viene chiesto di immettere tre schede vuote e un codice PIN per ogni scheda.You can use different values for the quorum but in our example, you’re prompted to enter three blank cards and pins for each one. Qualsiasi coppia di schede consente di accedere in modo completo all'ambiente di sicurezza.Then, any two cards give full access to the security world. Queste schede diventano il set di schede amministrative per il nuovo ambiente di sicurezza.These cards become the Administrator Card Set for the new security world.

Eseguire quindi le operazioni seguenti:Then do the following:

  • Eseguire il backup del file relativo all'ambiente.Back up the world file. Proteggere il file relativo all'ambiente, le schede amministrative e i codici PIN relativi e verificare che nessuna singola persona possa accedere a più di una scheda.Secure and protect the world file, the Administrator Cards, and their pins, and make sure that no single person has access to more than one card.

Passaggio 3.3: Modificare la modalità del modulo di protezione hardware in 'O'Step 3.3: Change the HSM mode to 'O'

Se si usa Thales nShield Edge, per modificare la modalità: 1.If you are using Thales nShield Edge, to change the mode: 1. Usare il pulsante Modalità per evidenziare la modalità richiesta.Use the Mode button to highlight the required mode. 2.2. Entro pochi secondi, premere e tenere premuto per pochi secondi il pulsante Cancella.Within a few seconds, press and hold the Clear button for a couple of seconds. Se la modalità viene modificata, il LED della nuova modalità smette di lampeggiare e rimane acceso.If the mode changes, the new mode’s LED stops flashing and remains lit. È possibile che il LED di stato lampeggi in modo irregolare per pochi secondi e quindi lampeggi in modo regolare quando il dispositivo è pronto.The Status LED might flash irregularly for a few seconds and then flashes regularly when the device is ready. In caso contrario, il dispositivo rimane nella modalità corrente, con il LED della modalità appropriata acceso.Otherwise, the device remains in the current mode, with the appropriate mode LED lit.

Passaggio 3.4: Convalidare il pacchetto scaricatoStep 3.4: Validate the downloaded package

Questo passaggio è facoltativo, ma è consigliato in modo che sia possibile convalidare gli elementi seguenti:This step is optional but recommended so that you can validate the following:

  • Chiave per lo scambio delle chiavi inclusa nel set di strumenti generato da un modulo di protezione hardware Thales originale.The Key Exchange Key that is included in the toolset has been generated from a genuine Thales HSM.
  • Hash dell'ambiente di sicurezza incluso nel set di strumenti generato da un modulo di protezione hardware Thales originale.The hash of the Security World that is included in the toolset has been generated in a genuine Thales HSM.
  • Impossibilità di esportare la chiave per lo scambio delle chiavi.The Key Exchange Key is non-exportable.

Nota

Per convalidare il pacchetto scaricato, il modulo di protezione hardware deve essere connesso e acceso e deve essere associato a un ambiente di sicurezza (ad esempio quello appena creato).To validate the downloaded package, the HSM must be connected, powered on, and must have a security world on it (such as the one you’ve just created).

Per convalidare il pacchetto scaricato:To validate the downloaded package:

  1. Eseguire lo script verifykeypackage.py associando uno dei comandi seguenti, a seconda dell'area geografica o istanza di Azure:Run the verifykeypackage.py script by typing one of the following, depending on your geographic region or instance of Azure:

    • America del NordFor North America:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1
      
    • EuropaFor Europe:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1
      
    • AsiaFor Asia:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1
      
    • America LatinaFor Latin America:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1
      
    • GiapponeFor Japan:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1
      
    • Per la Corea:For Korea:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1
      
    • Per l'Australia:For Australia:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1
      
    • Per Azure per enti pubblici, che usa l'istanza di Azure per il Governo degli Stati Uniti:For Azure Government, which uses the US government instance of Azure:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1
      
    • Per il Dipartimento della difesa del governo degli Stati Uniti:For US Government DOD:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1
      
    • Per il Canada:For Canada:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1
      
    • Per la Germania:For Germany:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
      
    • Per l'India:For India:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1
      
    • Per il Regno Unito:For United Kingdom:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1
      

      Suggerimento

      Il software Thales include python nel percorso %NFAST_HOME%\python\bin.The Thales software includes python at %NFAST_HOME%\python\bin

  2. Assicurarsi di visualizzare il risultato positivo seguente, che indica il completamento della convalida: Result: SUCCESSConfirm that you see the following, which indicates successful validation: Result: SUCCESS

Questo script consente di convalidare la catena di firmatari fino alla chiave radice di Thales.This script validates the signer chain up to the Thales root key. La funzione hash di questa chiave radice è incorporata nello script e il relativo valore deve essere 59178a47 de508c3f 291277ee 184f46c4 f1d9c639.The hash of this root key is embedded in the script and its value should be 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Si può anche confermare questo valore separatamente sul sito Web di Thales.You can also confirm this value separately by visiting the Thales website.

È ora possibile creare una nuova chiave.You’re now ready to create a new key.

Passaggio 3.5: Creare una nuova chiaveStep 3.5: Create a new key

Generare una chiave tramite il programma generatekey di Thales.Generate a key by using the Thales generatekey program.

Eseguire il comando seguente per generare la chiave:Run the following command to generate the key:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

Quando si esegue il comando, usare le istruzioni seguenti:When you run this command, use these instructions:

  • Il parametro protect deve essere impostato sul valore module, come illustrato.The parameter protect must be set to the value module, as shown. Verrà creata una chiave protetta tramite modulo.This creates a module-protected key. Il set di strumenti BYOK non supporta le chiavi protette con OCS.The BYOK toolset does not support OCS-protected keys.
  • Sostituire il valore di contosokey per gli elementi ident e plainname con qualsiasi valore di stringa.Replace the value of contosokey for the ident and plainname with any string value. Per ridurre il sovraccarico amministrativo e il rischio di errori, è consigliabile usare lo stesso valore per entrambi gli elementi.To minimize administrative overheads and reduce the risk of errors, we recommend that you use the same value for both. Il valore ident deve contenere solo numeri, trattini e lettere minuscole.The ident value must contain only numbers, dashes, and lower case letters.
  • L'elemento pubexp viene lasciato vuoto in questo esempio (impostazione predefinita), ma è possibile indicare valori specifici.The pubexp is left blank (default) in this example, but you can specify specific values. Per altre informazioni, vedere la documentazione di Thales.For more information, see the Thales documentation.

Questo comando crea un file di chiave in formato token nella cartella %NFAST_KMDATA%\local con un nome che inizia con key_simple_ seguito dall'elemento ident specificato nel comando.This command creates a Tokenized Key file in your %NFAST_KMDATA%\local folder with a name starting with key_simple_, followed by the ident that was specified in the command. Ad esempio: key_simple_contosokey.For example: key_simple_contosokey. Questo file contiene una chiave crittografata.This file contains an encrypted key.

Eseguire il backup del file di chiave in formato token in un percorso sicuro.Back up this Tokenized Key File in a safe location.

Importante

Quando in seguito si trasferisce la chiave all'insieme di credenziali delle chiavi di Azure, Microsoft non può esportarla nuovamente nei dispositivi dell'utente, quindi è estremamente importante eseguire il backup della chiave e dell'ambiente di sicurezza in modo sicuro.When you later transfer your key to Azure Key Vault, Microsoft cannot export this key back to you so it becomes extremely important that you back up your key and security world safely. Per ottenere informazioni aggiuntive e procedure consigliate per eseguire il backup della chiave, contattare Thales.Contact Thales for guidance and best practices for backing up your key.

È ora possibile trasferire la chiave all'insieme di credenziali delle chiavi di Azure.You are now ready to transfer your key to Azure Key Vault.

Passaggio 4: Preparare la chiave per il trasferimentoStep 4: Prepare your key for transfer

Per questo quarto passaggio eseguire le procedure seguenti nella workstation disconnessa.For this fourth step, do the following procedures on the disconnected workstation.

Passaggio 4.1: Creare una copia della chiave con autorizzazioni ridotteStep 4.1: Create a copy of your key with reduced permissions

Aprire un nuovo prompt dei comandi e passare alla directory in cui è stato decompresso il file ZIP BYOK.Open a new command prompt and change the current directory to the location where you unzipped the BYOK zip file. Per ridurre le autorizzazioni sulla chiave, in un prompt dei comandi eseguire uno dei comandi seguenti in base all'area geografica o all'istanza di Azure:To reduce the permissions on your key, from a command prompt, run one of the following, depending on your geographic region or instance of Azure:

  • America del NordFor North America:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1
    
  • EuropaFor Europe:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1
    
  • AsiaFor Asia:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1
    
  • America LatinaFor Latin America:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1
    
  • GiapponeFor Japan:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1
    
  • Per la Corea:For Korea:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1
    
  • Per l'Australia:For Australia:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1
    
  • Per Azure per enti pubblici, che usa l'istanza di Azure per il Governo degli Stati Uniti:For Azure Government, which uses the US government instance of Azure:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1
    
  • Per il Dipartimento della difesa del governo degli Stati Uniti:For US Government DOD:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1
    
  • Per il Canada:For Canada:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1
    
  • Per la Germania:For Germany:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
    
  • Per l'India:For India:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1
    
  • Per il Regno Unito:For United Kingdom:

      KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1
    

Quando si esegue il comando, sostituire contosokey con lo stesso valore specificato in Passaggio 3.5: Creare una nuova chiave nel passaggio Generare la chiave.When you run this command, replace contosokey with the same value you specified in Step 3.5: Create a new key from the Generate your key step.

Viene chiesto di inserire le schede amministrative relative all'ambiente di sicurezza.You are asked to plug in your security world admin cards.

Al completamento del comando, viene visualizzato il messaggio Result: SUCCESS e la copia della chiave con autorizzazioni ridotte si trova nel file denominato key_xferacId_.When the command completes, you see Result: SUCCESS and the copy of your key with reduced permissions are in the file named key_xferacId_.

È possibile ispezionare gli elenchi di controllo di accesso usando i comandi seguenti e le utilità Thales:You may inspects the ACLS using following commands using the Thales utilities:

  • aclprint.py:aclprint.py:

      "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"
    
  • kmfile-dump.exe:kmfile-dump.exe:

      "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"
    

    Quando si eseguono questi comandi, sostituire contosokey con lo stesso valore specificato in Passaggio 3.5: Creare una nuova chiave nel passaggio Generare la chiave.When you run these commands, replace contosokey with the same value you specified in Step 3.5: Create a new key from the Generate your key step.

Passaggio 4.2: Crittografare la chiave tramite la chiave per lo scambio di chiavi di MicrosoftStep 4.2: Encrypt your key by using Microsoft’s Key Exchange Key

Eseguire uno di questi comandi, in base all'area geografica o all'istanza di Azure:Run one of the following commands, depending on your geographic region or instance of Azure:

  • America del NordFor North America:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • EuropaFor Europe:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • AsiaFor Asia:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • America LatinaFor Latin America:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • GiapponeFor Japan:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Per la Corea:For Korea:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Per l'Australia:For Australia:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Per Azure per enti pubblici, che usa l'istanza di Azure per il Governo degli Stati Uniti:For Azure Government, which uses the US government instance of Azure:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Per il Dipartimento della difesa del governo degli Stati Uniti:For US Government DOD:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Per il Canada:For Canada:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Per la Germania:For Germany:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Per l'India:For India:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    
  • Per il Regno Unito:For United Kingdom:

      KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
    

Quando si esegue il comando, usare le istruzioni seguenti:When you run this command, use these instructions:

  • Sostituire contosokey con l'identificatore usato per generare la chiave in Passaggio 3.5: Creare una nuova chiave nel passaggio Generare la chiave.Replace contosokey with the identifier that you used to generate the key in Step 3.5: Create a new key from the Generate your key step.
  • Sostituire SubscriptionID con l'ID della sottoscrizione di Azure che contiene l'insieme di credenziali delle chiavi.Replace SubscriptionID with the ID of the Azure subscription that contains your key vault. Questo valore è stato recuperato in precedenza, in Passaggio 1.2: Ottenere l'ID sottoscrizione di Azure nel passaggio Preparare la workstation connessa a Internet.You retrieved this value previously, in Step 1.2: Get your Azure subscription ID from the Prepare your Internet-connected workstation step.
  • Sostituire ContosoFirstHSMKey con un'etichetta che viene usata per il nome del file di output.Replace ContosoFirstHSMKey with a label that is used for your output file name.

Se l'operazione ha esito positivo, viene visualizzato il messaggio Result: SUCCESS e nella cartella corrente è presente un nuovo file con il nome: KeyTransferPackage-ContosoFirstHSMkey.byokWhen this completes successfully, it displays Result: SUCCESS and there is a new file in the current folder that has the following name: KeyTransferPackage-ContosoFirstHSMkey.byok

Passaggio 4.3: Copiare il pacchetto di trasferimento della chiave nella workstation connessa a InternetStep 4.3: Copy your key transfer package to the Internet-connected workstation

Usare un'unità USB o un altro dispositivo di archiviazione portatile per copiare il file di output creato nel passaggio precedente (KeyTransferPackage-ContosoFirstHSMkey.byok) nella workstation connessa a Internet.Use a USB drive or other portable storage to copy the output file from the previous step (KeyTransferPackage-ContosoFirstHSMkey.byok) to your Internet-connected workstation.

Passaggio 5: Trasferire la chiave all'insieme di credenziali delle chiavi di AzureStep 5: Transfer your key to Azure Key Vault

Per questo passaggio finale, nella workstation connessa a Internet usare il cmdlet Add-AzureKeyVaultKey, per caricare il pacchetto di trasferimento della chiave copiato dalla workstation disconnessa al modulo di protezione hardware dell'insieme di credenziali delle chiavi di Azure:For this final step, on the Internet-connected workstation, use the Add-AzureKeyVaultKey cmdlet to upload the key transfer package that you copied from the disconnected workstation to the Azure Key Vault HSM:

     Add-AzureKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'

Se il pacchetto viene caricato correttamente, verranno visualizzate le proprietà della chiave aggiunta.If the upload is successful, you see displayed the properties of the key that you just added.

Passaggi successiviNext steps

È ora possibile usare questa chiave HSM protetta nell'insieme di credenziali delle chiavi.You can now use this HSM-protected key in your key vault. Per altre informazioni, vedere la sezione Per usare un modulo di protezione hardware (HSM) nell'esercitazione Introduzione all'insieme di credenziali delle chiavi di Azure .For more information, see the If you want to use a hardware security module (HSM) section in the Getting started with Azure Key Vault tutorial.