Steg 2: Migrering av HSM-skyddad nyckel till HSM-skyddad nyckel

  • Artikel

De här instruktionerna är en del av migreringsvägen från AD RMS till Azure Information Protection och gäller endast om din AD RMS-nyckel är HSM-skyddad och du vill migrera till Azure Information Protection med en HSM-skyddad klientnyckel i Azure Key Vault.

Om detta inte är det valda konfigurationsscenariot går du tillbaka till steg 4. Exportera konfigurationsdata från AD RMS och importera dem till Azure RMS och välj en annan konfiguration.

Kommentar

Dessa instruktioner förutsätter att AD RMS-nyckeln är modulskyddad. Detta är det mest typiska fallet.

Det är en tvådelad procedur för att importera HSM-nyckeln och AD RMS-konfigurationen till Azure Information Protection för att resultera i din Azure Information Protection-klientnyckel som hanteras av dig (BYOK).

Eftersom din Azure Information Protection-klientnyckel lagras och hanteras av Azure Key Vault kräver den här delen av migreringen administration i Azure Key Vault, utöver Azure Information Protection. Om Azure Key Vault hanteras av en annan administratör än du för din organisation måste du samordna och samarbeta med administratören för att slutföra dessa procedurer.

Innan du börjar kontrollerar du att din organisation har ett nyckelvalv som har skapats i Azure Key Vault och att den har stöd för HSM-skyddade nycklar. Även om det inte krävs rekommenderar vi att du har ett dedikerat nyckelvalv för Azure Information Protection. Det här nyckelvalvet konfigureras så att Azure Rights Management-tjänsten kan komma åt det, så nycklarna som nyckelvalvet lagrar bör begränsas till endast Azure Information Protection-nycklar.

Dricks

Om du utför konfigurationsstegen för Azure Key Vault och du inte är bekant med den här Azure-tjänsten kan det vara bra att först granska Komma igång med Azure Key Vault.

Del 1: Överför din HSM-nyckel till Azure Key Vault

De här procedurerna utförs av administratören för Azure Key Vault.

  1. För varje exporterad SLC-nyckel som du vill lagra i Azure Key Vault följer du anvisningarna i Azure Key Vault-dokumentationen med implementering av BYOK (Bring Your Own Key) för Azure Key Vault med följande undantag:

    • Utför inte stegen för Generera din klientnyckel eftersom du redan har motsvarande från AD RMS-distributionen. Identifiera i stället de nycklar som används av AD RMS-servern från nCipher-installationen och förbered dessa nycklar för överföring och överför dem sedan till Azure Key Vault.

      Krypterade nyckelfiler för nCipher heter key_<keyAppName>_<keyIdentifier> lokalt på servern. Till exempel C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. Du behöver mscapi-värdet som keyAppName och ditt eget värde för nyckelidentifieraren när du kör kommandot KeyTransferRemote för att skapa en kopia av nyckeln med begränsade behörigheter.

      När nyckeln laddas upp till Azure Key Vault visas egenskaperna för nyckeln, som innehåller nyckel-ID:t. Det ser ut ungefär som https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Anteckna den här URL:en eftersom Azure Information Protection-administratören behöver den för att be Azure Rights Management-tjänsten att använda den här nyckeln för sin klientnyckel.

  2. I en PowerShell-session på den Internetanslutna arbetsstationen använder du cmdleten Set-AzKeyVaultAccessPolicy för att ge Azure Rights Management-tjänstens huvudnamn åtkomst till nyckelvalvet som lagrar Azure Information Protection-klientnyckeln. De behörigheter som krävs är dekryptera, kryptera, unwrapkey, wrapkey, verify och sign.

    Om nyckelvalvet som du har skapat för Azure Information Protection till exempel heter contoso-byok-ky och resursgruppen heter contoso-byok-rg kör du följande kommando:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get

Nu när du har förberett din HSM-nyckel i Azure Key Vault för Azure Rights Management-tjänsten från Azure Information Protection är du redo att importera dina AD RMS-konfigurationsdata.

Del 2: Importera konfigurationsdata till Azure Information Protection

De här procedurerna utförs av administratören för Azure Information Protection.

  1. På arbetsstationen internet-connect och i PowerShell-sessionen ansluter du till Azure Rights Management-tjänsten med hjälp av cmdleten Anslut-AipService.

    Ladda sedan upp varje betrodd publiceringsdomänfil (.xml) med hjälp av cmdleten Import-AipServiceTpd . Du bör till exempel ha minst en ytterligare fil att importera om du har uppgraderat DITT AD RMS-kluster för kryptografiskt läge 2.

    Om du vill köra den här cmdleten behöver du lösenordet som du angav tidigare för varje konfigurationsdatafil och URL:en för nyckeln som identifierades i föregående steg.

    Om du till exempel använder en konfigurationsdatafil med C:\contoso-tpd1.xml och vårt nyckel-URL-värde från föregående steg, kör du först följande för att lagra lösenordet:

     $TPD_Password = Read-Host -AsSecureString

    Ange det lösenord som du angav för att exportera konfigurationsdatafilen. Kör sedan följande kommando och bekräfta att du vill utföra den här åtgärden:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose

    Som en del av den här importen importeras SLC-nyckeln och anges automatiskt som arkiverad.

  2. När du har laddat upp varje fil kör du Set-AipServiceKeyProperties för att ange vilken importerad nyckel som matchar den aktiva SLC-nyckeln i DITT AD RMS-kluster. Den här nyckeln blir den aktiva klientnyckeln för din Azure Rights Management-tjänst.

  3. Använd cmdleten Disconnect-AipServiceService för att koppla från Azure Rights Management-tjänsten:

    Disconnect-AipServiceService

Om du senare behöver bekräfta vilken nyckel din Azure Information Protection-klientnyckel använder i Azure Key Vault använder du Cmdleten Get-AipServiceKeys Azure RMS.

Nu är du redo att gå till steg 5. Aktivera Azure Rights Management-tjänsten.