Stap 2: migratie van met software beschermde sleutel naar met HSM beschermde sleutel

Van toepassing op: Active Directory Rights Management Services, Azure Information Protection

Relevant voor: Client voor eenduidige AIP-labels en klassieke client

Notitie

Om een geïntegreerde en gestroomlijnde klant ervaring te bieden, zijn de Azure Information Protection klassieke client en Label beheer in azure Portal verouderd vanaf 31 maart 2021. Terwijl de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhouds versies meer vrijgegeven voor de klassieke client.

We raden u aan om te migreren naar Unified labels en een upgrade uit te voeren naar de Unified labeling-client. Meer informatie vindt u in onze recente blog voor afschaffing.

Deze instructies maken deel uit van het migratiepad van AD RMS naar Azure Information Protection en zijn alleen van toepassing als uw AD RMS-sleutel met software is beveiligd en u wilt migreren naar Azure Information Protection met een tenantsleutel met HSM-beveiliging in Azure Key Vault.

Als dit niet uw gekozen configuratiescenario is, gaat u terug naar Stap 4. Exporteer configuratiegegevens uit AD RMS importeer deze naar Azure RMS en kies een andere configuratie.

De vierdelige procedure om de AD RMS-configuratie te importeren in Azure Information Protection heeft tot gevolg dat uw Azure Information Protection-tenantsleutel door u (BYOK) wordt beheerd in Azure Key Vault.

U moet eerst uw servercertificaatsleutel (SLC) uit de AD RMS-configuratiegegevens extraheren en de sleutel overdragen naar een on-premises nCipher HSM, vervolgens uw HSM-sleutel verpakken en overdragen naar Azure Key Vault, vervolgens de Azure Rights Management-service van Azure Information Protection autoreren voor toegang tot uw sleutelkluis en vervolgens de configuratiegegevens importeren.

Aangezien uw Azure Information Protection-tenantsleutel wordt opgeslagen en beheerd door Azure Key Vault, vereist dit deel van de migratie niet alleen beheer in Azure Key Vault, maar ook in Azure Information Protection. Als Azure Key Vault voor uw organisatie wordt beheerd door een andere beheerder dan u, moet u coördineren en samenwerken met deze beheerder om deze procedures te voltooien.

Voordat u begint, zorgt u ervoor dat uw organisatie een sleutelkluis heeft die is gemaakt in Azure Key Vault en dat deze sleutelkluis met HSM-beveiligde sleutels ondersteunt. Alhoewel het geen vereiste is, wordt aanbevolen dat u een toegewezen sleutelkluis voor Azure Information Protection hebt. Deze sleutelkluis wordt zodanig geconfigureerd dat de Azure Rights Management-service van Azure Information Protection hiertoe toegang heeft, zodat alleen Azure Information Protection-sleutels tot deze sleutelkluis toegang hebben.

Tip

Als u de configuratiestappen voor Azure Key Vault uitvoert en u niet bekend bent met deze Azure-service, is het wellicht handig vooraf Aan de slag met Azure Key Vault te raadplegen.

Deel 1: uw SLC-sleutel ophalen uit de configuratiegegevens en de sleutel in uw on-premises HSM importeren

  1. Azure Key Vault-beheerder: gebruik voor elke geëxporteerde sleutel voor serverlicentiecertificaten die u in Azure Key Vault wilt opslaan, de volgende stappen in de sectie Implementing bring your own key (BYOK) for Azure Key Vault (BYOK (Bring Your Own Key) implementeren voor Azure Key Vault) van de Azure Key Vault-documentatie:

    Volg deze stappen niet om uw tenantsleutel te genereren omdat u het equivalent al hebt in het geëxporteerde bestand met configuratiegegevens (.xml). In plaats daarvan voert u een hulpprogramma uit om deze sleutel uit het bestand uit te pakken en in uw on-premises HSM te importeren. Als u het hulpprogramma uitvoert, worden twee bestanden gemaakt:

    • Een nieuw configuratiegegevensbestand zonder de sleutel, die vervolgens in uw Azure Information Protection-tenant kan worden geïmporteerd.

    • Een PEM-bestand (sleutelcontainer) met de sleutel, die vervolgens naar uw on-premises HSM kan worden geïmporteerd.

  2. Azure Information Protection-beheerder of Azure Key Vault-beheerder: voer op een niet-verbonden werkstation het hulpprogramma TpdUtil uit de Azure RMS-migratietoolkit uit. Als het hulpprogramma bijvoorbeeld is geïnstalleerd op uw E-station waarnaar u uw configuratiegegevensbestand ContosoTPD.xml kopieert:

    E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
    

    Als u meer dan één RMS-configuratiegegevensbestand hebt, voert u dit hulpprogramma uit voor de rest van deze bestanden.

    Als u de Help van dit hulpprogramma wilt bekijken, waarin u onder andere een beschrijving, uitleg over het gebruik van het programma en voorbeelden vindt, voert u TpdUtil.exe zonder parameters uit

    Aanvullende informatie voor deze opdracht:

    • De /tpd: hiermee geeft u het volledige pad en de naam van het geëxporteerde AD RMS-configuratiegegevensbestand op. De volledige parameternaam is TpdFilePath.

    • De /otpd: hiermee geeft u de naam van het uitvoerbestand op voor het configuratiegegevensbestand zonder de sleutel. De volledige parameternaam is OutPfxFile. Als u deze parameter niet opgeeft, krijgt het uitvoerbestand de standaardbestandsnaam met het achtervoegsel _keyless en wordt dit bestand opgeslagen in de huidige map.

    • De /opem: hiermee geeft u de naam van het uitvoerbestand voor het PEM-bestand op, dat de uitgepakte sleutel bevat. De volledige parameternaam is OutPemFile. Als u deze parameter niet opgeeft, krijgt het uitvoerbestand de standaardbestandsnaam met het achtervoegsel _key en wordt dit bestand opgeslagen in de huidige map.

    • Als u het wachtwoord niet opgeeft wanneer u deze opdracht uitvoert (met behulp van de volledige parameternaam TpdPassword of de korte parameternaam pwd), wordt u gevraagd het wachtwoord op te geven.

  3. Koppel en configureer uw nCipher HSM op hetzelfde niet-verbonden werkstation volgens uw nCipher-documentatie. U kunt nu uw sleutel importeren in uw gekoppelde nCipher HSM met behulp van de volgende opdracht, waarbij u uw eigen bestandsnaam moet vervangen door ContosoTPD.pem:

    generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
    

    Notitie

    Als u meer dan één bestand hebt, kiest u het bestand dat overeenkomt met de HSM-sleutel die u wilt gebruiken in Azure RMS om inhoud te beveiligen na de migratie.

    Hiermee wordt een uitvoerscherm gegenereerd dat er ongeveer zo uitziet:

    parameters voor het genereren van sleutels:

    **          bewerkingsbewerking om import uit                             te voeren**

    **        toepassingstoepassing                                                               eenvoudig**

    verify                           Verify security of configuration key                                 yes

    type                               sleuteltype                                                                       RSA

    pemreadfile     PEM-bestand met RSA-sleutel     e:\ContosoTPD.pem

    ident                             Sleutel-id                                                       contosobyok

    plainname           Sleutelnaam                                                                   ContosoBYOK

    De sleutel is geïmporteerd.

    Pad naar de sleutel: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Deze uitvoer bevestigt dat de persoonlijke sleutel nu is gemigreerd naar uw on-premises nCipher HSM-apparaat met een versleutelde kopie die is opgeslagen in een sleutel (in ons voorbeeld 'key_simple_contosobyok').

Nu uw SLC-sleutel is uitgepakt en in uw on-premises HSM is geïmporteerd, kunt u de met HSM beveiligde sleutel inpakken en overdragen naar Azure Key Vault.

Belangrijk

Zodra u deze stap hebt voltooid, verwijdert u deze PEM-bestanden van het niet-verbonden werkstation, zodat deze bestanden niet toegankelijk zijn voor onbevoegden. Voer bijvoorbeeld cipher /w: E uit om alle bestanden veilig van het E-station te verwijderen.

Deel 2: uw HSM-sleutel inpakken en overdragen naar Azure Key Vault

Azure Key Vault-beheerder: gebruik voor elke geëxporteerde sleutel voor serverlicentiecertificaten die u in Azure Key Vault wilt opslaan, de volgende stappen in de sectie Implementing bring your own key (BYOK) for Azure Key Vault (BYOK (Bring Your Own Key) implementeren voor Azure Key Vault) van de Azure Key Vault-documentatie:

Volg niet de stappen voor het genereren van een sleutelpaar. U hebt de sleutel namelijk al. In plaats daarvan voert u een opdracht uit om deze sleutel over te dragen (in dit voorbeeld gebruikt de KeyIdentifier-parameter contosobyok) vanuit uw on-premises HSM.

Voordat u uw sleutel naar Azure Key Vault overdraagt, zorgt u ervoor dat het hulpprogramma KeyTransferRemote.exe Result: SUCCES retourneert wanneer u een kopie van de sleutel met beperkte bevoegdheden maakt (stap 4.1) en u uw sleutel versleutelt (stap 4.3).

Tijdens het uploaden van de sleutel naar Azure Key Vault worden de eigenschappen van de sleutel weergegeven, zoals de sleutel-id. Deze ziet er ongeveer uit als https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 . Noteer deze URL. De Azure Information Protection-beheerder heeft deze namelijk nodig om in de Azure Rights Management-service van Azure Information Protection in te stellen dat deze sleutel wordt gebruikt voor de tenantsleutel.

Gebruik vervolgens de cmdlet Set-AzKeyVaultAccessPolicy om de Azure Rights Management-service-principal toegang te geven tot de sleutelkluis. De vereiste machtigingen zijn decoderen, coderen, sleutel uitpakken, sleutel inpakken, controleren en ondertekenen.

Als de sleutelkluis die u hebt gemaakt voor Azure Information Protection bijvoorbeeld de naam contosorms-byok-kv heeft en uw resourcegroep de naam contosorms-byok-rg heeft, moet u de volgende opdracht uitvoeren:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Nu u uw HSM-sleutel hebt overgedragen naar Azure Key Vault, kunt u uw AD RMS-configuratiegegevens importeren.

Deel 3: de configuratiegegevens importeren in Azure Information Protection

  1. Azure Information Protection beheerder: kopieer op het met internet verbonden werkstation en in de PowerShell-sessie uw nieuwe configuratiegegevensbestanden (.xml) die de SLC-sleutel hebben verwijderd nadat u het hulpprogramma TpdUtil hebt uitgevoerd.

  2. Upload elk .xml bestand met behulp van de cmdlet Import-AipServiceTpd. U moet bijvoorbeeld over ten minste één extra te importeren bestand beschikken als u voor uw AD RMS-cluster een upgrade hebt uitgevoerd voor cryptografische modus 2.

    Als u deze cmdlet wilt uitvoeren, hebt u het wachtwoord nodig dat u eerder hebt opgegeven voor het configuratiegegevensbestand en de URL voor de sleutel die is geïdentificeerd in de vorige stap.

    Als u bijvoorbeeld het configuratiegegevensbestand C:\contoso_keyless.xml en de URL-waarde voor de sleutel uit de vorige stap gebruikt, voert u het volgende uit om het wachtwoord op te slaan:

    $TPD_Password = Read-Host -AsSecureString
    

    Voer het wachtwoord in dat u hebt opgegeven om het configuratiegegevensbestand te exporteren. Voer daarna de volgende opdracht uit en bevestig dat u deze actie wilt uitvoeren:

    Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    De sleutel voor serverlicentiecertificaten wordt geïmporteerd en automatisch ingesteld als gearchiveerd tijdens deze importbewerking.

  3. Wanneer u elk bestand hebt geüpload, moet u Set-AipServiceKeyProperties uitvoeren om op te geven welke geïmporteerde sleutel overeenkomt met de momenteel actieve SLC-sleutel in uw AD RMS cluster.

  4. Gebruik de cmdlet Disconnect-AipServiceService om de verbinding met de Azure Rights Management verbreken:

    Disconnect-AipServiceService
    

Als u later moet bevestigen welke sleutel uw Azure Information Protection tenantsleutel in Azure Key Vault gebruikt, gebruikt u de cmdlet Get-AipServiceKeys Azure RMS sleutel.

U bent nu klaar om naar stap 5 te gaan. Activeer de Azure Rights Management service.