Passo 2: migração de chave protegida por software para chave protegida por HSMStep 2: Software-protected key to HSM-protected key migration

Aplica-se a: Serviços de Gestão de Direitos do Active Directory, Azure Information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

Estas instruções fazem parte do caminho de migração do AD RMS para o Azure Information Protection e são aplicáveis apenas se a sua chave do AD RMS estiver protegida por software e quiser migrar para o Azure Information Protection com uma chave de inquilino protegida por HSM no Azure Key Vault.These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is software-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

Se este não for o cenário de configuração escolhido, regresse ao Passo 4. Exporte os dados de configuração do AD RMS, importe-os para o Azure RMS e escolha uma configuração diferente.If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

Este é um procedimento dividido em quatro partes para importar a configuração do AD RMS para o Azure Information Protection, de modo a criar a chave de inquilino do Azure Information Protection gerida por si (BYOK) no Azure Key Vault.It’s a four-part procedure to import the AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK) in Azure Key Vault.

Primeiro tem de extrair a sua chave de certificado de licenciante para servidor (SLC) dos dados de configuração do AD RMS e transferir a chave para um HSM da Thales no local. Em seguida, tem de transferir a sua chave HSM para o Azure Key Vault, autorizar o acesso do serviço Azure Rights Management do Azure Information Protection ao seu cofre de chaves e, em seguida, importar os dados de configuração.You must first extract your server licensor certificate (SLC) key from the AD RMS configuration data and transfer the key to an on-premises Thales HSM, next package and transfer your HSM key to Azure Key Vault, then authorize the Azure Rights Management service from Azure Information Protection to access your key vault, and then import the configuration data.

Uma vez que a chave de inquilino do Azure Information Protection será armazenada e gerida pelo Azure Key Vault, esta parte da migração requer administração no Azure Key Vault, além do Azure Information Protection.Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Se o Azure Key Vault da sua organização for gerido por um administrador diferente de si, tem de se coordenar e trabalhar com esse administrador para concluir estes procedimentos.If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

Antes de começar, certifique-se de que a sua organização tem um cofre de chaves criado no Azure Key Vault e que suporta chaves protegidas por HSM.Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. Embora não seja necessário, recomendamos que tenha um cofre de chaves dedicado para o Azure Information Protection.Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. Este cofre de chaves será configurado para permitir o acesso ao serviço Azure Rights Management do Azure Information Protection, de forma a que as chaves armazenadas neste cofre de chaves sejam limitadas apenas a chaves do Azure Information Protection.This key vault will be configured to allow the Azure Rights Management service from Azure Information Protection to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

Dica

Se for efetuar os passos de configuração do Azure Key Vault e não estiver familiarizado com este serviço do Azure, poderá considerar útil primeiro rever Introdução ao Azure Key Vault.If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

Parte 1: extrair a chave SLC dos dados de configuração e importar a chave para o seu HSM no localPart 1: Extract your SLC key from the configuration data and import the key to your on-premises HSM

  1. Administrador do Azure Key Vault: para cada chave SLC exportada que pretende armazenar no Azure Key Vault, siga os seguintes passos na secção Implementing bring your own key (BYOK) for Azure Key Vault (Implementar o BYOK (Bring Your Own Key – Traga a sua Própria Chave)) da documentação do Azure Key Vault:Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key Vault, use the following steps in the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

    Não siga os passos para gerar a chave de inquilino, porque já tem o equivalente no ficheiro dos dados de configuração exportados (.xml).Do not follow the steps to generate your tenant key, because you already have the equivalent in the exported configuration data (.xml) file. Em vez disso, deverá executar uma ferramenta para extrair esta chave do ficheiro e importá-la para o seu HSM no local.Instead, you will run a tool to extract this key from the file and import it to your on-premises HSM. A ferramenta cria dois ficheiros ao ser executada:The tool creates two files when you run it:

    • Um novo ficheiro de configuração de dados sem a chave, que está pronto para ser importado para o seu inquilino do Azure Information Protection.A new configuration data file without the key, which is then ready to be imported to your Azure Information Protection tenant.

    • Um ficheiro PEM (contentor de chaves) com a chave, que está pronto para ser importado para o seu HSM no local.A PEM file (key container) with the key, which is then ready to be imported to your on-premises HSM.

  2. Administrador do Azure Information Protection ou do Azure Key Vault: na estação de trabalho desligada, execute a ferramenta TpdUtil a partir do Toolkit de migração do Azure RMS.Azure Information Protection administrator or Azure Key Vault administrator: On the disconnected workstation, run the TpdUtil tool from the Azure RMS migration toolkit. Por exemplo, se a ferramenta for instalada na unidade E para a qual copia o ficheiro de dados de configuração com o nome ContosoTPD.xml:For example, if the tool is installed on your E drive where you copy your configuration data file named ContosoTPD.xml:

        E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
    

    Se tiver mais do que um ficheiro de dados de configuração de RMS, execute esta ferramenta para o resto dos ficheiros.If you have more than one RMS configuration data files, run this tool for the remainder of these files.

    Para ver a Ajuda desta ferramenta, que inclui uma descrição, a utilização e exemplos, execute TpdUtil.exe sem parâmetrosTo see Help for this tool, which includes a description, usage, and examples, run TpdUtil.exe with no parameters

    Informações adicionais para este comando:Additional information for this command:

    • /tpd: especifica o caminho e o nome completos do ficheiro de dados de configuração do AD RMS exportado.The /tpd: specifies the full path and name of the exported AD RMS configuration data file. O nome do parâmetro completo é TpdFilePath.The full parameter name is TpdFilePath.

    • /otpd: especifica o nome de ficheiro de saída para o ficheiro de dados de configuração sem a chave.The /otpd: specifies the output file name for the configuration data file without the key. O nome do parâmetro completo é OutPfxFile.The full parameter name is OutPfxFile. Se não especificar este parâmetro, o ficheiro de saída é predefinido para o nome do ficheiro original com o sufixo _keyless e é armazenado na pasta atual.If you do not specify this parameter, the output file defaults to the original file name with the suffix _keyless, and it is stored in the current folder.

    • /opem: especifica o nome do ficheiro de saída para o ficheiro PEM, o qual contém a chave extraída.The /opem: specifies the output file name for the PEM file, which contains the extracted key. O nome do parâmetro completo é OutPemFile.The full parameter name is OutPemFile. Se não especificar este parâmetro, o ficheiro de saída é predefinido para o nome do ficheiro original com o sufixo _key e é armazenado na pasta atual.If you do not specify this parameter, the output file defaults to the original file name with the suffix _key, and it is stored in the current folder.

    • Se não especificar a palavra-passe ao executar este comando (ao utilizar o nome do parâmetro completo TpdPassword ou o nome do parâmetro curto pwd), será solicitado que a especifique.If you don't specify the password when you run this command (by using the TpdPassword full parameter name or pwd short parameter name), you are prompted to specify it.

  3. Na mesma estação de trabalho desligada, anexe e configure o seu HSM da Thales, de acordo com a documentação da Thales.On the same disconnected workstation, attach and configure your Thales HSM, according to your Thales documentation. Agora, pode importar a chave para o seu HSM da Thales anexado ao utilizar o seguinte comando, em que terá de substituir o seu próprio nome de ficheiro para ContosoTPD.pem:You can now import your key into your attached Thales HSM by using the following command where you need to substitute your own file name for ContosoTPD.pem:

     generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
    

    Nota

    Se tiver mais do que um ficheiro, escolha o ficheiro que corresponde à chave HSM que pretende utilizar no Azure RMS para proteger o conteúdo após a migração.If you have more than one file, choose the file that corresponds to the HSM key you want to use in Azure RMS to protect content after the migration.

    Esta ação irá gerar uma apresentação de saída semelhante à seguinte:This generates an output display similar to the following:

    parâmetros de geração de chaves:key generation parameters:

    operation       Operação a efetuar                importoperation       Operation to perform                import

    application     Aplicação                                simpleapplication     Application                                simple

    verify               Verificar segurança da chave de configuração                 yesverify               Verify security of configuration key                 yes

    type                 Tipo de chave                                     RSAtype                 Key type                                     RSA

    pemreadfile    Ficheiro PEM que contém a chave RSA   e:\ContosoTPD.pempemreadfile    PEM file containing RSA key    e:\ContosoTPD.pem

    ident                Identificador de chave                             contosobyokident                Key identifier                             contosobyok

    plainname       Nome da chave                                   ContosoBYOKplainname       Key name                                   ContosoBYOK

    Chave importada com êxito.Key successfully imported.

    Caminho para a chave: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyokPath to key: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Esta saída confirma que a chave privada foi agora migrada para o seu dispositivo HSM da Thales no local com uma cópia encriptada guardada numa chave (no nosso exemplo, "key_simple_contosobyok").This output confirms that the private key is now migrated to your on-premises Thales HSM device with an encrypted copy that is saved to a key (in our example, "key_simple_contosobyok").

Agora que a chave SLC foi extraída e importada para o seu HSM no local, está pronto para empacotar a chave protegida por HSM e transferi-la para o Azure Key Vault.Now that your SLC key has been extracted and imported to your on-premises HSM, you’re ready to package the HSM-protected key and transfer it to Azure Key Vault.

Importante

Quando tiver concluído este passo, apague em segurança estes ficheiros PEM da estação de trabalho desligada para assegurar que não podem ser acedidos por pessoas não autorizadas.When you have completed this step, securely erase these PEM files from the disconnected workstation to ensure that they cannot be accessed by unauthorized people. Por exemplo, execute "cipher /w:E" para eliminar em segurança todos os ficheiros da unidade E:.For example, run "cipher /w: E" to securely delete all files from the E: drive.

Parte 2: compactar e transferir a chave HSM para o Azure Key VaultPart 2: Package and transfer your HSM key to Azure Key Vault

Administrador do Azure Key Vault: para cada chave SLC exportada que pretende armazenar no Azure Key Vault, siga os seguintes passos na secção Implementing bring your own key (BYOK) for Azure Key Vault (Implementar o BYOK (Bring Your Own Key – Traga a sua Própria Chave)) da documentação do Azure Key Vault:Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key vault, use the following steps from the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

Não siga os passos para gerar o par de chaves, uma vez que já tem a chave.Do not follow the steps to generate your key pair, because you already have the key. Em vez disso, executará um comando para transferir esta chave (no nosso exemplo, o parâmetro KeyIdentifier utiliza "contosobyok") a partir do seu HSM no local.Instead, you will run a command to transfer this key (in our example, our KeyIdentifier parameter uses "contosobyok") from your on-premises HSM.

Antes de transferir a chave para o Azure Key Vault, certifique-se de que o utilitário KeyTransferRemote.exe devolve Result: SUCCESS (Resultado: ÊXITO) quando cria uma cópia da sua chave com permissões reduzidas (passo 4.1) e ao encriptar a chave (passo 4.3).Before you transfer your key to Azure Key Vault, make sure that the KeyTransferRemote.exe utility returns Result: SUCCESS when you create a copy of your key with reduced permissions (step 4.1) and when you encrypt your key (step 4.3).

Quando a chave é carregada para o Azure Key Vault, pode ver as propriedades da chave apresentadas, incluindo o ID da chave.When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. Terá um aspeto semelhante a https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Anote este URL, uma vez que o administrador do Azure Information Protection irá precisar do mesmo para indicar ao serviço Azure Rights Management do Azure Information Protection para utilizar esta chave na respetiva chave de inquilino.Make a note of this URL because the Azure Information Protection administrator will need it to tell the Azure Rights Management service from Azure Information Protection to use this key for its tenant key.

Em seguida, utilize o cmdlet Set-AzureRmKeyVaultAccessPolicy para autorizar o principal do serviço do Azure Rights Management a aceder ao cofre de chaves.Then use the Set-AzureRmKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault. As permissões necessárias são decrypt, encrypt, unwrapkey, wrapkey, verify e sign.The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

Por exemplo, se o cofre de chaves que criou para o Azure Information Protection tiver o nome contosorms-byok-kv e o seu grupo de recursos tiver o nome contosorms-byok-rg, execute o seguinte comando:For example, if the key vault that you have created for Azure Information Protection is named contosorms-byok-kv, and your resource group is named contosorms-byok-rg, run the following command:

Set-AzureRmKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Agora que já transferiu a chave HSM para o Azure Key Vault, está pronto para importar os dados de configuração do AD RMS.Now that you’ve transferred your HSM key to Azure Key Vault, you’re ready to import your AD RMS configuration data.

Parte 3: importar os dados de configuração para o Azure Information ProtectionPart 3: Import the configuration data to Azure Information Protection

  1. Administrador do Azure Information Protection: na estação de trabalho ligada à Internet e na sessão do PowerShell, copie o seu novo ficheiro de configuração de dados (.xml) com a chave SLC removida depois de executar a ferramenta TpdUtil.Azure Information Protection administrator: On the Internet-connected workstation and in the PowerShell session, copy over your new configuration data files (.xml) that have the SLC key removed after running the TpdUtil tool.

  2. Carregue cada ficheiro .xml, ao utilizar o cmdlet Import-AadrmTpd.Upload each .xml file, by using the Import-AadrmTpd cmdlet. Por exemplo, deverá ter pelo menos um ficheiro adicional para importar se tiver atualizado o seu cluster AD RMS para o Modo Criptográfico 2.For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    Para executar este cmdlet, precisará da palavra-passe que especificou anteriormente para o ficheiro de dados de configuração e o URL da chave que foi identificada no passo anterior.To run this cmdlet, you need the password that you specified earlier for the configuration data file, and the URL for the key that was identified in the previous step.

    Por exemplo, através de um ficheiro de dados de configuração de C:\contoso_keyless.xml e do nosso valor de URL da chave do passo anterior, execute primeiro o seguinte para armazenar a palavra-passe:For example, using a configuration data file of C:\contoso_keyless.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    Introduza a palavra-passe que especificou para exportar o ficheiro de dados de configuração.Enter the password that you specified to export the configuration data file. Em seguida, execute o seguinte comando e confirme que pretende realizar esta ação:Then, run the following command and confirm that you want to perform this action:

    Import-AadrmTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Como parte desta importação, a chave SLC é importada e definida automaticamente como arquivada.As part of this import, the SLC key is imported and automatically set as archived.

  3. Depois de carregar todos os ficheiros, execute Set-AadrmKeyProperties para especificar a chave importada que corresponde à chave SLC atualmente ativa no cluster do AD RMS.When you have uploaded each file, run Set-AadrmKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster.

  4. Utilize o cmdlet Disconnect-AadrmService para desligar do serviço Azure Rights Management:Use the Disconnect-AadrmService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AadrmService
    

Se tiver de confirmar mais tarde qual a chave de inquilino do Azure Information Protection utilizada no Azure Key Vault, utilize o cmdlet Get-AadrmKeys do Azure RMS.If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AadrmKeys Azure RMS cmdlet.

Agora está pronto para ir para o Passo 5. Ativar o serviço Azure Rights Management.You’re now ready to go to Step 5. Activate the Azure Rights Management service.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.