Quickstart: Een beheerde HSM inrichten en activeren met behulp van Azure CLI
Azure Key Vault Managed HSM is een met standaarden compatibele cloudservice met hoge beschikbaarheid en een enkele tenant, die volledig beheerd is. Met deze cloudservice kunt u cryptografische sleutels voor uw cloudtoepassingen beveiligen, met behulp van via FIPS 140-2 niveau 3 gevalideerde HSM's. U kunt het Overzicht raadplegen voor meer informatie over beheerde HSM's.
In deze quickstart maakt en activeert u een beheerde HSM met Azure CLI.
Vereisten
U moet over de volgende items beschikken om de stappen in dit artikel uit te kunnen voeren:
- Een abonnement op Microsoft Azure Als u nog geen abonnement hebt, kunt u zich aanmelden voor een gratis proefabonnement.
- De Azure CLI versie 2.25.0 of hoger. Voer
az --versionuit om de versie te bekijken. Als u uw CLI wilt installeren of upgraden, raadpleegt u De Azure CLI installeren.
Azure Cloud Shell gebruiken
Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde opdrachten van Cloud Shell gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.
Om Azure Cloud Shell op te starten:
| Optie | Voorbeeld/koppeling |
|---|---|
| Selecteer Nu proberen in de rechterbovenhoek van een codeblok. Als u Uitproberen selecteert, wordt de code niet automatisch gekopieerd naar Cloud Shell. |  |
| Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen. |  |
| Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal. |  |
Om de code in dit artikel in Azure Cloud Shell uit te voeren:
Start Cloud Shell.
Selecteer de knop Kopiëren op een codeblok om de code te kopiëren.
Plak de code in de Cloud Shell-sessie door CTRL+Shift+V te selecteren in Windows en Linux of door Cmd+Shift+V op macOS te selecteren.
Selecteer Invoeren om de code uit te voeren.
Aanmelden bij Azure
Als u zich wilt aanmelden bij Azure met behulp van de CLI, typt u:
az login
Een resourcegroep maken
Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. In het volgende voorbeeld wordt een resourcegroep met de naam ContosoResourceGroup gemaakt op de locatie centralus.
az group create --name "ContosoResourceGroup" --location centralus
Een beheerde HSM maken
U kunt in twee stappen een beheerde HSM maken:
- Richt een beheerde HSM-resource in.
- Activeer uw beheerde HSM door het beveiligingsdomein te downloaden.
Een beheerde HSM inrichten
Gebruik de opdracht az keyvault create om een beheerde HSM te maken. Het script heeft drie verplichte parameters: een resourcegroepnaam, een HSM-naam en de geografische locatie.
U dient de volgende invoer op te geven om een beheerde HSM-resource te maken:
- De resourcegroep waar deze in uw abonnement wordt geplaatst.
- Azure-locatie.
- Een lijst met initiële beheerders.
In het onderstaande voorbeeld wordt een HSM met de naam ContosoMHSM gemaakt in de resourcegroep ContosoResourceGroup, die zich op de locatie VS - centraal bevindt, met de huidige aangemelde gebruiker als enige beheerder, met een retentieperiode van 28 dagen voor het verwijderen van de gegevens. Meer informatie over managed HSM soft-delete
oid=$(az ad signed-in-user show --query objectId -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "centralus" --administrators $oid --retention-days 28
Notitie
Het kan enkele minuten duren voordat de maakopdracht is uitgevoerd. Zodra de opdracht is voltooid, bent u klaar om uw HSM te activeren.
In de uitvoer van deze opdracht worden de eigenschappen weergegeven van de beheerde HSM die u hebt gemaakt. De twee belangrijkste eigenschappen zijn:
- name: In het voorbeeld is ContosoMHSM de naam. U gebruikt deze naam voor andere Key Vault-opdrachten.
- hsmUri: In het voorbeeld is de URI https://contosohsm.managedhsm.azure.net. Toepassingen die via de REST API gebruikmaken van uw HSM, moeten deze URI gebruiken.
Uw Azure-account is nu gemachtigd om alle bewerkingen op deze beheerde HSM uit te voeren. Op dit moment is nog niemand anders gemachtigd.
Uw beheerde HSM activeren
Alle gegevensvlakopdrachten zijn uitgeschakeld totdat de HSM wordt geactiveerd. U kunt geen sleutels maken of rollen toewijzen. Alleen de aangewezen beheerders, die zijn toegewezen tijdens het maken van de opdracht, kunnen de HSM activeren. Als u de HSM wilt activeren, moet u het Beveiligingsdomein downloaden.
Om uw HSM te activeren, hebt u het volgende nodig:
- Minimaal 3 RSA-sleutelparen (maximaal 10)
- Geef het minimum aantal sleutels op dat vereist is voor het ontsleutelen van het beveiligingsdomein (quorum)
Als u de HSM wilt activeren, stuurt u ten minste 3 (maximaal 10) openbare RSA-sleutels naar de HSM. De HSM versleutelt het beveiligingsdomein met deze sleutels en stuurt het terug. Als het downloaden van dit beveiligingsdomein voltooid is, is uw HSM klaar voor gebruik. U moet ook een quorum opgeven. Dit is het minimale aantal persoonlijke sleutels dat vereist is voor het ontsleutelen van het beveiligingsdomein.
In het onderstaande voorbeeld ziet u hoe u openssl kunt gebruiken om 3 zelfondertekende certificaten te genereren.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Belangrijk
Maak de RSA-sleutelparen en het beveiligingsdomeinbestand dat in deze stap is gegenereerd en sla ze op een veilige manier op.
Gebruik de az keyvault security-domain download opdracht om het beveiligingsdomein te downloaden en uw beheerde HSM te activeren. In het onderstaande voorbeeld wordt gebruikgemaakt van 3 RSA-sleutelparen (alleen openbare sleutels zijn vereist voor deze opdracht) en wordt het quorum ingesteld op 2.
az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json
Sla het beveiligingsdomeinbestand en de RSA-sleutelparen veilig op. U hebt deze nodig voor herstel na noodgevallen of voor het maken van een andere beheerde HSM die hetzelfde beveiligingsdomein deelt, zodat ze sleutels kunnen delen.
Nadat het beveiligingsdomein is gedownload, krijgt uw HSM de status actief en kunt u uw HSM gebruiken.
Resources opschonen
Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om verder te gaan met volgende snelstarts en zelfstudies, kunt u deze resources intact laten.
U kunt de opdracht az group delete gebruiken om de resourcegroep en alle gerelateerde resources te verwijderen wanneer u ze niet meer nodig hebt. U kunt de resources als volgt verwijderen:
az group delete --name ContosoResourceGroup
Volgende stappen
In deze quickstart hebt u een sleutelkluis gemaakt en daar een geheim in opgeslagen. Voor meer informatie over Key Vault en hoe u Key Vault integreert met uw toepassingen gaat u verder naar de artikelen hieronder.
- Bekijk een Overzicht van beheerde HSM's
- Meer informatie over het Beheren van sleutels in een beheerde HSM
- Meer informatie over rolbeheer voor een beheerde HSM
- Beoordeel Best practices voor beheerde HSM's