Stap 2: Migratie van met HSM beveiligde sleutel naar met HSM beveiligde sleutel

  • Artikel

Deze instructies maken deel uit van het migratiepad van AD RMS naar Azure Information Protection en zijn alleen van toepassing als uw AD RMS-sleutel is beveiligd met HSM en u wilt migreren naar Azure Information Protection met een tenantsleutel met HSM-beveiliging in Azure Key Vault.

Als dit niet het gekozen configuratiescenario is, gaat u terug naar stap 4. Exporteer configuratiegegevens uit AD RMS en importeer deze in Azure RMS en kies een andere configuratie.

Notitie

In deze instructies wordt ervan uitgegaan dat uw AD RMS-sleutel is beveiligd met een module. Dit is het meest voorkomende geval.

Het is een tweedelige procedure voor het importeren van uw HSM-sleutel en AD RMS-configuratie in Azure Information Protection, zodat uw Azure Information Protection-tenantsleutel wordt beheerd door u (BYOK).

Omdat uw Azure Information Protection-tenantsleutel wordt opgeslagen en beheerd door Azure Key Vault, vereist dit deel van de migratie beheer in Azure Key Vault, naast Azure Information Protection. Als Azure Key Vault wordt beheerd door een andere beheerder dan u voor uw organisatie, moet u deze procedures coördineren en samenwerken met die beheerder.

Voordat u begint, moet u ervoor zorgen dat uw organisatie een sleutelkluis heeft die is gemaakt in Azure Key Vault en dat deze ondersteuning biedt voor met HSM beveiligde sleutels. Hoewel dit niet vereist is, raden we u aan een toegewezen sleutelkluis voor Azure Information Protection te hebben. Deze sleutelkluis wordt geconfigureerd om de Azure Rights Management-service toegang te geven tot deze sleutelkluis, zodat de sleutels die door deze sleutelkluis worden opgeslagen, alleen moeten worden beperkt tot Azure Information Protection-sleutels.

Fooi

Als u de configuratiestappen voor Azure Key Vault uitvoert en u niet bekend bent met deze Azure-service, is het wellicht handig om eerst Aan de slag te gaan met Azure Key Vault.

Deel 1: Uw HSM-sleutel overdragen naar Azure Key Vault

Deze procedures worden uitgevoerd door de beheerder voor Azure Key Vault.

  1. Voor elke geëxporteerde SLC-sleutel die u wilt opslaan in Azure Key Vault, volgt u de instructies uit de Documentatie van Azure Key Vault, waarbij u BYOK (Bring Your Own Key) implementeert voor Azure Key Vault met de volgende uitzondering:

    • Voer de stappen voor het genereren van uw tenantsleutel niet uit, omdat u al het equivalent van uw AD RMS-implementatie hebt. Identificeer in plaats daarvan de sleutels die door uw AD RMS-server worden gebruikt vanuit de installatie nCipher en bereid deze sleutels voor op overdracht en breng deze vervolgens over naar Azure Key Vault.

      Versleutelde sleutelbestanden voor nCipher hebben de naam key_<keyAppName>_<keyIdentifier> lokaal op de server. Bijvoorbeeld C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. U hebt de mscapi-waarde nodig als keyAppName en uw eigen waarde voor de sleutel-id wanneer u de opdracht KeyTransferRemote uitvoert om een kopie van de sleutel met beperkte machtigingen te maken.

      Wanneer de sleutel wordt geüpload naar Azure Key Vault, ziet u de eigenschappen van de sleutel die wordt weergegeven, inclusief de sleutel-id. Het ziet er ongeveer als volgt uit: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Noteer deze URL omdat de Azure Information Protection-beheerder deze moet laten weten dat de Azure Rights Management-service deze sleutel moet gebruiken voor de tenantsleutel.

  2. Gebruik op het met internet verbonden werkstation in een PowerShell-sessie de cmdlet Set-AzKeyVaultAccessPolicy om de Azure Rights Management-service-principal te autoriseren voor toegang tot de sleutelkluis waarmee de Azure Information Protection-tenantsleutel wordt opgeslagen. De vereiste machtigingen zijn ontsleutelen, versleutelen, uitpakken, verpakken, verifiëren en ondertekenen.

    Als de sleutelkluis die u hebt gemaakt voor Azure Information Protection bijvoorbeeld contoso-byok-ky heet en uw resourcegroep contoso-byok-rg heet, voert u de volgende opdracht uit:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get

Nu u uw HSM-sleutel hebt voorbereid in Azure Key Vault voor de Azure Rights Management-service van Azure Information Protection, kunt u uw AD RMS-configuratiegegevens importeren.

Deel 2: de configuratiegegevens importeren in Azure Information Protection

Deze procedures worden uitgevoerd door de beheerder voor Azure Information Protection.

  1. Maak op het werkstation met internetverbinding en in de PowerShell-sessie verbinding met de Azure Rights Management-service met behulp van de cmdlet Verbinding maken-AipService.

    Upload vervolgens elk bestand met een vertrouwd publicatiedomein (.xml) met behulp van de cmdlet Import-AipServiceTpd . U moet bijvoorbeeld ten minste één extra bestand hebben om te importeren als u uw AD RMS-cluster hebt bijgewerkt voor cryptografische modus 2.

    Als u deze cmdlet wilt uitvoeren, hebt u het wachtwoord nodig dat u eerder hebt opgegeven voor elk configuratiegegevensbestand en de URL voor de sleutel die in de vorige stap is geïdentificeerd.

    Als u bijvoorbeeld een configuratiegegevensbestand van C:\contoso-tpd1.xml en de sleutel-URL-waarde uit de vorige stap gebruikt, voert u eerst het volgende uit om het wachtwoord op te slaan:

     $TPD_Password = Read-Host -AsSecureString

    Voer het wachtwoord in dat u hebt opgegeven om het configuratiegegevensbestand te exporteren. Voer vervolgens de volgende opdracht uit en bevestig dat u deze actie wilt uitvoeren:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose

    Als onderdeel van deze import wordt de SLC-sleutel geïmporteerd en automatisch ingesteld als gearchiveerd.

  2. Wanneer u elk bestand hebt geüpload, voert u Set-AipServiceKeyProperties uit om op te geven welke geïmporteerde sleutel overeenkomt met de momenteel actieve SLC-sleutel in uw AD RMS-cluster. Deze sleutel wordt de actieve tenantsleutel voor uw Azure Rights Management-service.

  3. Gebruik de cmdlet Disconnect-AipServiceService om de verbinding met de Azure Rights Management-service te verbreken:

    Disconnect-AipServiceService

Als u later moet controleren welke sleutel uw Azure Information Protection-tenantsleutel in Azure Key Vault gebruikt, gebruikt u de Azure RMS-cmdlet Get-AipServiceKeys .

U bent nu klaar om naar stap 5 te gaan. Activeer de Azure Rights Management-service.