Etapa 2: Chave protegida por software para migração de chave protegida por HSM

  • Artigo

Estas instruções fazem parte do caminho de migração do AD RMS para a Proteção de Informações do Azure e são aplicáveis apenas se a sua chave AD RMS estiver protegida por software e se pretender migrar para a Proteção de Informações do Azure com uma chave de inquilino protegida por HSM no Cofre de Chaves do Azure.

Se este não for o cenário de configuração escolhido, volte para a Etapa 4. Exporte dados de configuração do AD RMS e importe-os para o Azure RMS e escolha uma configuração diferente.

É um procedimento de quatro partes para importar a configuração do AD RMS para a Proteção de Informações do Azure, para resultar em sua chave de locatário da Proteção de Informações do Azure gerenciada por você (BYOK) no Cofre de Chaves do Azure.

Primeiro, você deve extrair sua chave de certificado de licenciante de servidor (SLC) dos dados de configuração do AD RMS e transferir a chave para um HSM nCipher local, próximo pacote e transferir sua chave HSM para o Cofre de Chaves do Azure, autorizar o serviço Azure Rights Management da Proteção de Informações do Azure para acessar seu cofre de chaves e, em seguida, importar os dados de configuração.

Como sua chave de locatário da Proteção de Informações do Azure será armazenada e gerenciada pelo Cofre de Chaves do Azure, essa parte da migração requer administração no Cofre de Chaves do Azure, além da Proteção de Informações do Azure. Se o Cofre de Chaves do Azure for gerenciado por um administrador diferente do seu para sua organização, você deverá coordenar e trabalhar com esse administrador para concluir esses procedimentos.

Antes de começar, certifique-se de que a sua organização tem um cofre de chaves que foi criado no Cofre de Chaves do Azure e que suporta chaves protegidas por HSM. Embora não seja necessário, recomendamos que você tenha um cofre de chaves dedicado para a Proteção de Informações do Azure. Esse cofre de chaves será configurado para permitir que o serviço Azure Rights Management da Proteção de Informações do Azure o acesse, portanto, as chaves que esse cofre de chaves armazena devem ser limitadas apenas às chaves da Proteção de Informações do Azure.

Gorjeta

Se estiver a efetuar os passos de configuração para o Azure Key Vault e não estiver familiarizado com este serviço do Azure, poderá achar útil rever primeiro Introdução ao Azure Key Vault.

Parte 1: Extraia a chave SLC dos dados de configuração e importe a chave para o HSM local

  1. Administrador do Azure Key Vault: para cada chave SLC exportada que você deseja armazenar no Azure Key Vault, use as seguintes etapas na seção Implementing bring your own key (BYOK) for Azure Key Vault da documentação do Azure Key Vault :

    Não siga as etapas para gerar sua chave de locatário, porque você já tem o equivalente no arquivo de dados de configuração (.xml exportados. Em vez disso, você executará uma ferramenta para extrair essa chave do arquivo e importá-la para o HSM local. A ferramenta cria dois arquivos quando você a executa:

    • Um novo arquivo de dados de configuração sem a chave, que está pronto para ser importado para seu locatário da Proteção de Informações do Azure.

    • Um arquivo PEM (contêiner de chave) com a chave, que está pronto para ser importado para seu HSM local.

  2. Administrador da Proteção de Informações do Azure ou administrador do Azure Key Vault: na estação de trabalho desconectada, execute a ferramenta TpdUtil do kit de ferramentas de migração do Azure RMS. Por exemplo, se a ferramenta estiver instalada na unidade E onde você copia o arquivo de dados de configuração chamado ContosoTPD.xml:

    E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem

    Se tiver mais do que um ficheiro de dados de configuração do RMS, execute esta ferramenta para os restantes ficheiros.

    Para ver a Ajuda desta ferramenta, que inclui uma descrição, uso e exemplos, execute TpdUtil.exe sem parâmetros

    Informações adicionais para este comando:

    • O /tpd: especifica o caminho completo e o nome do arquivo de dados de configuração do AD RMS exportado. O nome completo do parâmetro é TpdFilePath.

    • O /otpd: especifica o nome do arquivo de saída para o arquivo de dados de configuração sem a chave. O nome completo do parâmetro é OutPfxFile. Se você não especificar esse parâmetro, o arquivo de saída assumirá como padrão o nome do arquivo original com o sufixo _keyless e será armazenado na pasta atual.

    • O /opem: especifica o nome do arquivo de saída para o arquivo PEM, que contém a chave extraída. O nome completo do parâmetro é OutPemFile. Se você não especificar esse parâmetro, o arquivo de saída assumirá como padrão o nome do arquivo original com o sufixo _key e será armazenado na pasta atual.

    • Se você não especificar a senha ao executar esse comando (usando o nome completo do parâmetro TpdPassword ou o nome do parâmetro pwd short), você será solicitado a especificá-la.

  3. Na mesma estação de trabalho desconectada, conecte e configure seu nCipher HSM, de acordo com a documentação do nCipher. Agora você pode importar sua chave para o HSM nCipher anexado usando o seguinte comando, onde você precisa substituir seu próprio nome de arquivo por ContosoTPD.pem:

    generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA

    Nota

    Se você tiver mais de um arquivo, escolha o arquivo que corresponde à chave HSM que você deseja usar no Azure RMS para proteger o conteúdo após a migração.

    Isso gera uma exibição de saída semelhante à seguinte:

    Principais parâmetros de geração:

    operação Operação para realizar importação

    Aplicação Aplicação simples

    verificar Verificar a segurança da chave de configuração sim

    tipo de chave tipo RSA

    arquivo PEM pemreadfile contendo chave RSA e:\ContosoTPD.pem

    ident Identificador de chave contosobyok

    nome simples Nome da chave ContosoBYOK

    Chave importada com sucesso.

    Caminho para a chave: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Essa saída confirma que a chave privada agora foi migrada para seu dispositivo nCipher HSM local com uma cópia criptografada salva em uma chave (em nosso exemplo, "key_simple_contosobyok").

Agora que sua chave SLC foi extraída e importada para seu HSM local, você está pronto para empacotar a chave protegida por HSM e transferi-la para o Cofre de Chaves do Azure.

Importante

Quando tiver concluído esta etapa, apague com segurança esses arquivos PEM da estação de trabalho desconectada para garantir que eles não possam ser acessados por pessoas não autorizadas. Por exemplo, execute "cipher /w: E" para excluir com segurança todos os arquivos da unidade E:.

Parte 2: Empacotar e transferir sua chave HSM para o Azure Key Vault

Administrador do Azure Key Vault: para cada chave SLC exportada que você deseja armazenar no cofre da Chave do Azure, use as seguintes etapas da seção Implementando traga sua própria chave (BYOK) para o Cofre da Chave do Azure da documentação do Cofre da Chave do Azure:

Não siga os passos para gerar o seu par de chaves, porque já tem a chave. Em vez disso, você executará um comando para transferir essa chave (em nosso exemplo, nosso parâmetro KeyIdentifier usa "contosobyok") do seu HSM local.

Antes de transferir sua chave para o Cofre de Chaves do Azure, verifique se o utilitário KeyTransferRemote.exe retorna Resultado: SUCESSO quando você cria uma cópia de sua chave com permissões reduzidas (etapa 4.1) e quando criptografa sua chave (etapa 4.3).

Quando a chave é carregada no Cofre de Chaves do Azure, você vê as propriedades da chave exibida, que inclui a ID da chave. Será semelhante ao https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Anote essa URL porque o administrador da Proteção de Informações do Azure precisará dela para informar ao serviço Azure Rights Management da Proteção de Informações do Azure para usar essa chave para sua chave de locatário.

Em seguida, use o cmdlet Set-AzKeyVaultAccessPolicy para autorizar a entidade de serviço do Azure Rights Management a acessar o cofre de chaves. As permissões necessárias são desencriptar, encriptar, unwrapkey, wrapkey, verificar e assinar.

Por exemplo, se o cofre de chaves que você criou para a Proteção de Informações do Azure for chamado contosorms-byok-kv e seu grupo de recursos for chamado contosorms-byok-rg, execute o seguinte comando:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Agora que transferiu a chave HSM para o Azure Key Vault, está pronto para importar os dados de configuração do AD RMS.

Parte 3: Importar os dados de configuração para a Proteção de Informações do Azure

  1. Administrador da Proteção de Informações do Azure: na estação de trabalho conectada à Internet e na sessão do PowerShell, copie seus novos arquivos de dados de configuração (.xml) que tenham a chave SLC removida após a execução da ferramenta TpdUtil.

  2. Carregue cada arquivo .xml usando o cmdlet Import-AipServiceTpd . Por exemplo, você deve ter pelo menos um arquivo adicional para importar se tiver atualizado seu cluster AD RMS para o Modo Criptográfico 2.

    Para executar esse cmdlet, você precisa da senha especificada anteriormente para o arquivo de dados de configuração e da URL da chave identificada na etapa anterior.

    Por exemplo, usando um arquivo de dados de configuração de C:\contoso_keyless.xml e nosso valor de URL de chave da etapa anterior, execute primeiro o seguinte para armazenar a senha:

     $TPD_Password = Read-Host -AsSecureString

    Digite a senha que você especificou para exportar o arquivo de dados de configuração. Em seguida, execute o seguinte comando e confirme que deseja executar essa ação:

    Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose

    Como parte dessa importação, a chave SLC é importada e definida automaticamente como arquivada.

  3. Quando tiver carregado cada ficheiro, execute Set-AipServiceKeyProperties para especificar qual a chave importada que corresponde à chave SLC atualmente ativa no cluster AD RMS.

  4. Use o cmdlet Disconnect-AipServiceService para se desconectar do serviço Azure Rights Management:

    Disconnect-AipServiceService

Se, posteriormente, você precisar confirmar qual chave sua chave de locatário da Proteção de Informações do Azure está usando no Cofre de Chaves do Azure, use o cmdlet Get-AipServiceKeys do Azure RMS.

Agora você está pronto para ir para a Etapa 5. Ative o serviço Azure Rights Management.