Steg 2: Migrering av HSM-skyddad nyckel till HSM-skyddad nyckelStep 2: HSM-protected key to HSM-protected key migration

Gäller för: Active Directory Rights Management Services Azure information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

Dessa anvisningar är en del av migreringsprocessen från AD RMS till Azure Information Protection och gäller endast om din AD RMS-nyckel är HMS-skyddad och du vill migrera till Azure Information Protection med en HSM-skyddad klientnyckel i Azure Key Vault.These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is HSM-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

Om detta inte är ditt valda konfigurations scenario går du tillbaka till steg 4. Exportera konfigurations data från AD RMS och importera det till Azure RMS och välj en annan konfiguration.If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

Anteckning

De här anvisningarna förutsätter att din AD RMS-nyckel är modulskyddad.These instructions assume your AD RMS key is module-protected. Detta är vanligtvis fallet.This is the most typical case.

Det här är en procedur i två delar där du importerar din HSM-nyckel och AD RMS-konfiguration till Azure Information Protection för att skapa en Azure Information Protection-klientnyckel som hanteras av dig (BYOK) i Azure Key Vault.It’s a two-part procedure to import your HSM key and AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK).

Eftersom din Azure Information Protection-klientnyckel ska lagras och hanteras av Azure Key Vault kräver den här delen av migreringen administrativa åtgärder i Azure Key Vault, förutom i Azure Information Protection.Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Om Azure Key Vault hanteras av en annan administratör än dig för din organisation, kommer du att behöva samordna och samarbeta med den administratören för att slutföra de här procedurerna.If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

Innan du börjar ska du kontrollera att din organisation har ett nyckelvalv som har skapats i Azure Key Vault, och att det har stöd för HSM-skyddade nycklar.Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. Även om det inte krävs rekommenderar vi att du använder ett dedikerat nyckelvalv för Azure Information Protection.Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. Eftersom det här nyckelvalvet ska konfigureras så att Azure Rights Management-tjänsten kan komma åt det, bör nycklarna som lagras i det här nyckelvalvet begränsas till endast Azure Information Protection-nycklar.This key vault will be configured to allow the Azure Rights Management service to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

Tips

Om du utför konfigurationsstegen för Azure Key Vault och du inte har använt den här Azure-tjänsten tidigare, kan du börja med att läsa igenom Kom igång med Azure Key Vault.If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

Del 1: Överföra HSM-nyckeln till Azure Key VaultPart 1: Transfer your HSM key to Azure Key Vault

De här procedurerna utförs av administratören för Azure Key Vault.These procedures are done by the administrator for Azure Key Vault.

  1. För varje exporterad SLC-nyckel som du vill lagra i Azure Key Vault, så följ anvisningarna i avsnittet Implementera BYOK (ta med din egen nyckel) för Azure Key Vault i Azure Key Vault-dokumentationen, med följande undantag:For each exported SLC key that you want to store in Azure Key Vault, follow the instructions from the Azure Key Vault documentation, using Implementing bring your own key (BYOK) for Azure Key Vault with the following exception:

    • Följ inte instruktionerna under Generera din klientnyckel eftersom du redan har en motsvarande nyckel från AD RMS-distributionen.Do not do the steps for Generate your tenant key, because you already have the equivalent from your AD RMS deployment. Identifiera i stället de nycklar som används av din AD RMS-server från hjälp programmet nCipher-installationen och Förbered nycklarna för överföring och överför dem sedan till Azure Key Vault.Instead, identify the keys used by your AD RMS server from the nCipher installation and prepare these keys for transfer, and then transfer them to Azure Key Vault.

      Krypterade nyckelfiler för hjälp programmet nCipher heter **key_<keyAppName><nyckel identifierare > ** lokalt på servern.Encrypted key files for nCipher are named **key<keyAppName>_<keyIdentifier>** locally on the server. Till exempel C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54.For example, C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. Du behöver mscapi -värdet som keyAppName och ditt eget värde för nyckel identifieraren när du kör kommandot KeyTransferRemote för att skapa en kopia av nyckeln med minskad behörighet.You will need the mscapi value as the keyAppName, and your own value for the key identifier when you run the KeyTransferRemote command to create a copy of the key with reduced permissions.

      När nyckeln överförs till Azure Key Vault visas egenskaperna för nyckeln, inklusive nyckel-ID.When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. Det ser ut ungefär som https : //contosorms-kv.Vault.Azure.net/Keys/contosorms-BYOK/aaaabbbbcccc111122223333.It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Anteckna den här URL:en eftersom Azure Information Protection-administratören behöver den för att säga till Azure Rights Management-tjänsten att använda den här nyckeln som sin klientnyckel.Make a note of this URL because the Azure Information Protection administrator needs it to tell the Azure Rights Management service to use this key for its tenant key.

  2. I en PowerShell-session på den Internet-anslutna arbets stationen använder du cmdleten set-AzKeyVaultAccessPolicy för att auktorisera Azure Rights Management-tjänstens huvud namn för att få åtkomst till nyckel valvet som lagrar Azure information Protection klient nyckeln.On the internet-connected workstation, in a PowerShell session, use the Set-AzKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault that will store the Azure Information Protection tenant key. De behörigheter som krävs är dekryptera, kryptera, packa upp nyckel, packa in nyckel, kontrollera samt logga in.The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

    Exempel: Om nyckelvalvet som du har skapat för Azure Information Protection heter contoso-byok-ky och din resursgrupp heter contoso-byok-rg kör du följande kommando:For example, if the key vault that you have created for Azure Information Protection is named contoso-byok-ky, and your resource group is named contoso-byok-rg, run the following command:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

Nu när du har skapat din HSM-nyckel i Azure Key Vault för Azure Rights Management-tjänsten från Azure Information Protection är det dags att importera dina AD RMS-konfigurationsdata.Now that you’ve prepared your HSM key in Azure Key Vault for the Azure Rights Management service from Azure Information Protection, you’re ready to import your AD RMS configuration data.

Del 2: Importera konfigurationsdata till Azure Information ProtectionPart 2: Import the configuration data to Azure Information Protection

De här procedurerna utförs av Azure Information Protection-administratören.These procedures are done by the administrator for Azure Information Protection.

  1. På Internet-Connect-arbetsstationen och i PowerShell-sessionen ansluter du till Azure Rights Management-tjänsten med hjälp av cmdleten Connect-AipService .On the internet-connect workstation and in the PowerShell session, connect to the Azure Rights Management service by using the Connect-AipService cmdlet.

    Ladda sedan upp varje betrodd publicerings domän fil (. xml) med hjälp av cmdleten import-AipServiceTpd .Then upload each trusted publishing domain (.xml) file, by using the Import-AipServiceTpd cmdlet. Du borde exempelvis ha minst en ytterligare fil att importera om du uppgraderade ditt AD RMS-kluster för kryptografiskt läge 2.For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    Om du vill köra den här cmdleten, behöver du det lösenord som du angav tidigare för varje konfigurationsdatafil och URL-adressen för den nyckel som identifierades i föregående steg.To run this cmdlet, you need the password that you specified earlier for each configuration data file, and the URL for the key that was identified in the previous step.

    Om du t.ex. använder konfigurationsdatafilen C:\contoso-tpd1.xml och URL-nyckelvärdet från föregående steg, så lagra först lösenordet genom att köra följande:For example, using a configuration data file of C:\contoso-tpd1.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    Ange det lösenord som du angav när du skulle exportera konfigurationsdatafilen.Enter the password that you specified to export the configuration data file. Kör sedan följande kommando och bekräfta att du vill genomföra den här åtgärden:Then, run the following command and confirm that you want to perform this action:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Som en del av den här importen importeras SLC-nyckeln och konfigureras automatiskt som arkiverad.As part of this import, the SLC key is imported and automatically set as archived.

  2. När du har laddat upp varje fil, kör set-AipServiceKeyProperties för att ange vilken importerad nyckel som matchar den aktuella aktiva licens givar nyckeln i AD RMS klustret.When you have uploaded each file, run Set-AipServiceKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster. Den här nyckeln blir aktiv klientnyckel för Azure Rights Management-tjänsten.This key becomes the active tenant key for your Azure Rights Management service.

  3. Använd cmdleten disconnect-AipServiceService för att koppla från Azure Rights Management-tjänsten:Use the Disconnect-AipServiceService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AipServiceService
    

Om du senare behöver bekräfta vilken nyckel din Azure Information Protection klient nyckeln använder i Azure Key Vault använder du cmdleten Get-AipServiceKeys Azure RMS.If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AipServiceKeys Azure RMS cmdlet.

Nu är du redo att gå till steg 5. Aktivera Azure Rights Management-tjänsten.You’re now ready to go to Step 5. Activate the Azure Rights Management service.