Etapa 2: chave de proteção de software para migração protegida por HSM

Essas instruções fazem parte do caminho de migração do AD RMS para a Proteção de Informações do Azure e são aplicáveis somente se sua chave do AD RMS estiver protegida por software e você desejar migrar para a Proteção de Informações do Azure com uma chave de locatário protegida por HSM no Azure Key Vault.

Se esse não for o cenário de configuração escolhido, volte para a Etapa 4. Exportar dados de configuração do AD RMS e importá-los para o Azure RMS e escolha uma configuração diferente.

É um procedimento de quatro partes para importar a configuração do AD RMS para a Proteção de Informações do Azure, para resultar em sua chave de locatário da Proteção de Informações do Azure que é gerenciada por você (BYOK) no Azure Key Vault.

Você deve primeiro extrair sua chave de certificado de licenciante para servidor (SLC) dos dados de configuração do AD RMS e transferir a chave para um HSM nCipher local, em seguida empacotar e transferir sua chave HSM para o Azure Key Vault, autorizar o serviço Azure Rights Management da Proteção de Informações do Azure para acessar seu cofre de chaves e, em seguida, importar os dados de configuração.

Como sua chave de locatário da Proteção de Informações do Azure será armazenada e gerenciada pelo Azure Key Vault, essa parte da migração requer administração no Azure Key Vault, além da Proteção de Informações do Azure. Se o Azure Key Vault for gerenciado por um administrador diferente de você para sua organização, você deverá coordenar e trabalhar com esse administrador para concluir esses procedimentos.

Antes de começar, verifique se sua organização tem um cofre de chaves que foi criado no Azure Key Vault e se ele oferece suporte a chaves protegidas por HSM. Embora não seja necessário, recomendamos que você tenha um cofre de chaves dedicado para a Proteção de Informações do Azure. Esse cofre de chaves será configurado para permitir que o serviço Azure Rights Management da Proteção de Informações do Azure o acesse, portanto, as chaves que esse cofre de chaves armazena devem ser limitadas apenas às chaves da Proteção de Informações do Azure.

Dica

Se você estiver executando as etapas de configuração do Azure Key Vault e não estiver familiarizado com esse serviço do Azure, talvez seja útil revisar primeiro a Introdução ao Azure Key Vault.

Parte 1: Extrair a chave SLC dos dados de configuração e importar a chave para o HSM local

1. Administrador do Azure Key Vault: para cada chave SLC exportada que você deseja armazenar no Azure Key Vault, use as etapas a seguir na seção Como implementar o BYOK (Bring Your Own Key) no Azure Key Vault da documentação do Azure:

   • Gerar e transferir a chave para o HSM do Azure Key Vault: Etapa 1: preparar a estação de trabalho com conexão de internet

   • Gerar e transferir sua chave de locatário pela Internet: Etapa 2: preparar a estação de trabalho desconectada

   Não siga as etapas para gerar a chave de locatário, porque você já tem o equivalente no arquivo de dados de configuração (.xml) exportado. Em vez disso, você executará uma ferramenta para extrair essa chave do arquivo e importá-la para o HSM local. A ferramenta cria dois arquivos quando você a executa:

   • Um novo arquivo de dados de configuração sem a chave, que está pronto para ser importado para seu locatário da Proteção de Informações do Azure.

   • Um arquivo PEM (contêiner de chave) com a chave, que está pronto para ser importado para o HSM local.

2. Administrador da Proteção de Informações do Azure ou administrador do Azure Key Vault: na estação de trabalho desconectada, execute a ferramenta TpdUtil no kit de ferramentas de migração do Azure RMS. Por exemplo, se a ferramenta estiver instalada na unidade E onde você copia o arquivo de dados de configuração chamado ContosoTPD.xml:

   E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
   

   Se você tiver mais de um arquivo de dados de configuração do RMS, execute essa ferramenta para o restante desses arquivos.

   Para ver a Ajuda dessa ferramenta, que inclui uma descrição, uso e exemplos, execute TpdUtil.exe sem parâmetros

   Exibir informações de ajuda para esse comando:

   • O /tpd: especifica o caminho completo e o nome do arquivo de dados de configuração do AD RMS exportado. O nome completo do parâmetro é TpdFilePath.

   • O /otpd: especifica o nome do arquivo de saída para o arquivo de dados de configuração sem a chave. O nome completo do parâmetro é OutPfxFile. Se você não especificar esse parâmetro, o arquivo de saída assumirá como padrão o nome do arquivo original com o sufixo _keyless e será armazenado na pasta atual.

   • O /opem: especifica o nome do arquivo de saída para o arquivo PEM, que contém a chave extraída. O nome completo do parâmetro é OutPemFile. Se você não especificar esse parâmetro, o arquivo de saída assumirá como padrão o nome do arquivo original com o sufixo _key e será armazenado na pasta atual.

   • Se você não especificar a senha ao executar esse comando (usando o nome completo do parâmetro TpdPassword ou o nome do parâmetro curto pwd), será solicitado que você a especifique.

3. Na mesma estação de trabalho desconectada, conecte e configure o HSM nCipher, de acordo com a documentação nCipher. Agora é possível importar sua chave para o HSM nCipher anexado usando o seguinte comando, onde você precisa substituir seu próprio nome de arquivo por ContosoTPD.pem:

   generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
   

   Observação

   Se você tiver mais de um arquivo, escolha o arquivo que corresponde à chave HSM que você deseja usar no Azure RMS para proteger o conteúdo após a migração.

   Isso gera uma exibição de saída semelhante à seguinte:

   Parâmetros de geração de chave:

   operation Operação para realizar importação

   application Aplicativo simples

   verify Verificar a segurança da chave de configuração sim

   type Tipo de Chave RSA

   pemreadfile Arquivo PEM contendo a chave RSA e:\ContosoTPD.pem

   ident Identificador de chave contosobyok

   plainname Nome da chave ContosoBYOK

   Chave importada com êxito.

   Caminho para a chave: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Essa saída confirma que a chave privada agora é migrada para o dispositivo nCipher HSM local com uma cópia criptografada salva em uma chave (em nosso exemplo, "key_simple_contosobyok").

Agora que sua chave SLC foi extraída e importada para seu HSM local, você está pronto para empacotar a chave protegida por HSM e transferi-la para o Azure Key Vault.

Importante

Quando você tiver concluído esta etapa, apague com segurança esses arquivos PEM da estação de trabalho desconectada para garantir que eles não possam ser acessados por pessoas não autorizadas. Por exemplo, execute "cipher /w: E" para excluir com segurança todos os arquivos da unidade E:.

Parte 2: gerar e transferir a chave para o HSM do Azure Key Vault

Administrador do Azure Key Vault: para cada chave SLC exportada que você deseja armazenar no Azure Key Vault, use as etapas a seguir da seção Como implementar o BYOK (Bring Your Own Key) no Azure Key Vault da documentação do Azure:

• Etapa 4: Preparar a sua chave para transferência

• Etapa 5: Transferir a sua chave para o Azure Key Vault

Não siga as etapas para gerar seu par de chaves, porque você já tem a chave. Em vez disso, você executará um comando para transferir essa chave (em nosso exemplo, nosso parâmetro KeyIdentifier usa "contosobyok") do HSM local.

Antes de transferir sua chave para o Azure Key Vault, verifique se o utilitário KeyTransferRemote.exe retorna Result: SUCCESS ao criar uma cópia da chave com permissões reduzidas (etapa 4.1) e ao criptografar a chave (etapa 4.3).

Quando a chave é carregada no Azure Key Vault, você vê as propriedades da chave exibidas, o que inclui a identificação da chave. Será semelhante a https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Anote essa URL, porque o administrador da Proteção de Informações do Azure precisará dela para informar ao serviço Azure Rights Management da Proteção de Informações do Azure para usar essa chave como sua chave de locatário.

Em seguida, use o cmdlet Set-AzKeyVaultAccessPolicy para autorizar o serviço principal do Azure Rights Management a acessar o cofre de chaves. As permissões necessárias são decrypt, encrypt, unwrapkey, wrapkey, verify e sign.

Por exemplo, se o cofre de chaves que você criou para a Proteção de Informações do Azure se chama contosorms-byok-kv e seu grupo de recursos se chama contosorms-byok-rg, execute o seguinte comando:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Agora que você transferiu sua chave HSM para o Azure Key Vault, você está pronto para importar os dados de configuração do AD RMS.

Parte 3: importar os dados de configuração para a Proteção de Informações do Azure

1. Administrador da Proteção de Informações do Azure: na estação de trabalho conectada à Internet e na sessão do PowerShell, copie os novos arquivos de dados de configuração (.xml) que têm a chave SLC removida após a execução da ferramenta TpdUtil.

2. Carregue cada arquivo .xml, usando o cmdlet Import-AipServiceTpd . Por exemplo, você deve ter pelo menos um arquivo adicional para importar se tiver atualizado seu cluster do AD RMS para o Modo Criptográfico 2.

   Para executar esse cmdlet, é necessária a senha especificada anteriormente para o arquivo de dados de configuração e da URL da chave que foi identificada na etapa anterior.

   Por exemplo, usando um arquivo de dados de configuração de C:\contoso_keyless.xml e o nosso valor de URL de chave da etapa anterior, primeiro execute o procedimento a seguir para armazenar a senha:

    $TPD_Password = Read-Host -AsSecureString
   

   Insira a senha que você especificou para exportar o arquivo de dados de configuração. Em seguida, execute o seguinte comando e confirme que deseja executar essa ação:

   Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   Como parte dessa importação, a chave SLC é importada e definida automaticamente como arquivada.

3. Depois de carregar cada arquivo, execute Set-AipServiceKeyProperties para especificar qual chave importada corresponde à chave SLC no cluster AD RMS.

4. Use o cmdlet Disconnect-AipServiceService para se desconectar do serviço Azure Rights Management:

   Disconnect-AipServiceService
   

Se, posteriormente, você precisar confirmar qual a chave usada pela sua chave de locatário da Proteção de Informações do Azure no Azure Key Vault, use o cmdlet Get-AipServiceKeys do Azure RMS.

Agora você pode para ir para a Etapa 5. Ativar o serviço Azure Rights Management.