Steg 2: Migrering av programvaruskyddad nyckel till HSM-skyddad nyckelStep 2: Software-protected key to HSM-protected key migration

Gäller för: Active Directory Rights Management Services Azure information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

Dessa anvisningar är en del av migreringsprocessen från AD RMS till Azure Information Protection och gäller endast om din AD RMS-nyckel är programvaruskyddad och du vill migrera till Azure Information Protection med en HSM-skyddad klientnyckel i Azure Key Vault.These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is software-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

Om detta inte är ditt valda konfigurations scenario går du tillbaka till steg 4. Exportera konfigurations data från AD RMS och importera det till Azure RMS och välj en annan konfiguration.If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

Det här är en procedur i fyra delar där du importerar AD RMS-konfigurationen till Azure Information Protection för att skapa en Azure Information Protection-klientnyckel som hanteras av dig (BYOK) i Azure Key Vault.It’s a four-part procedure to import the AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK) in Azure Key Vault.

Du måste först extrahera Server licens givar certifikatet (Server licens givar certifikat) från AD RMS konfigurations data och överföra nyckeln till en lokal hjälp programmet nCipher HSM, nästa paket och överföra din HSM-nyckel till Azure Key Vault, sedan auktorisera Azure Rights Management-tjänsten från Azure Information Protection för att få åtkomst till nyckel valvet och sedan importera konfigurations data.You must first extract your server licensor certificate (SLC) key from the AD RMS configuration data and transfer the key to an on-premises nCipher HSM, next package and transfer your HSM key to Azure Key Vault, then authorize the Azure Rights Management service from Azure Information Protection to access your key vault, and then import the configuration data.

Eftersom din Azure Information Protection-klientnyckel ska lagras och hanteras av Azure Key Vault kräver den här delen av migreringen administrativa åtgärder i Azure Key Vault, förutom i Azure Information Protection.Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Om Azure Key Vault hanteras av en annan administratör än dig för din organisation, kommer du att behöva samordna och samarbeta med den administratören för att slutföra de här procedurerna.If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

Innan du börjar ska du kontrollera att din organisation har ett nyckelvalv som har skapats i Azure Key Vault, och att det har stöd för HSM-skyddade nycklar.Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. Även om det inte krävs rekommenderar vi att du använder ett dedikerat nyckelvalv för Azure Information Protection.Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. Eftersom det här nyckelvalvet ska konfigureras så att Azure Rights Management-tjänsten från Azure Information Protection kan komma åt det, bör nycklarna som lagras i det här nyckelvalvet begränsas till endast Azure Information Protection-nycklar.This key vault will be configured to allow the Azure Rights Management service from Azure Information Protection to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

Tips

Om du utför konfigurationsstegen för Azure Key Vault och du inte har använt den här Azure-tjänsten tidigare, kan du börja med att läsa igenom Kom igång med Azure Key Vault.If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

Del 1: Extrahera din SLC-nyckel från konfigurationsdata och importera nyckeln till din lokala HSMPart 1: Extract your SLC key from the configuration data and import the key to your on-premises HSM

  1. Azure Key Vault-administratör: För varje exporterad SLC-nyckel som du vill lagra i Azure Key Vault, så använd följande steg i avsnittet Implementera BYOK (ta med din egen nyckel) för Azure Key Vault i dokumentationen för Azure Key Vault:Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key Vault, use the following steps in the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

    Följ inte stegen för att generera en klientnyckel eftersom du redan har en motsvarande nyckel i den exporterade konfigurationsdatafilen (xml).Do not follow the steps to generate your tenant key, because you already have the equivalent in the exported configuration data (.xml) file. I stället ska du använda ett verktyg för att extrahera den här nyckeln från filen och importera den till din lokala HSM.Instead, you will run a tool to extract this key from the file and import it to your on-premises HSM. Verktyget skapar två filer när du kör det:The tool creates two files when you run it:

    • En ny konfigurationsdatafil utan nyckeln, som kan importeras till din Azure Information Protection-klientorganisation.A new configuration data file without the key, which is then ready to be imported to your Azure Information Protection tenant.

    • En PEM-fil (nyckelcontainer) med nyckeln, som sedan är klar att importeras till din lokala HSM.A PEM file (key container) with the key, which is then ready to be imported to your on-premises HSM.

  2. Azure Information Protection- eller Azure Key Vault-administratör: Kör verktyget TpdUtil från Azure RMS Migration Toolkit på den frånkopplade arbetsstationen.Azure Information Protection administrator or Azure Key Vault administrator: On the disconnected workstation, run the TpdUtil tool from the Azure RMS migration toolkit. Om verktyget till exempel är installerat på din E-enhet och du kopierar konfigurationsdatafilen ContosoTPD.xml dit:For example, if the tool is installed on your E drive where you copy your configuration data file named ContosoTPD.xml:

    E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
    

    Om du har flera RMS-konfigurationsdatafiler kör du verktyget för resten av dessa filer.If you have more than one RMS configuration data files, run this tool for the remainder of these files.

    Om du vill visa hjälp för verktyget, bland annat en beskrivning, syntax och exempel, kör du TpdUtil.exe utan parametrarTo see Help for this tool, which includes a description, usage, and examples, run TpdUtil.exe with no parameters

    Ytterligare information för det här kommandot:Additional information for this command:

    • /tpd: Anger den fullständiga sökvägen och namnet på den exporterade AD RMS-konfigurationsdatafilen.The /tpd: specifies the full path and name of the exported AD RMS configuration data file. Det fullständiga parameternamnet är TpdFilePath.The full parameter name is TpdFilePath.

    • /otpd: Anger namnet på utdatafilen för konfigurationsdatafilen utan nyckeln.The /otpd: specifies the output file name for the configuration data file without the key. Det fullständiga parameternamnet är OutPfxFile.The full parameter name is OutPfxFile. Om du inte anger den här parametern får utdatafilen som standard det ursprungliga filnamnet med suffixet _keyless, och lagras i den aktuella mappen.If you do not specify this parameter, the output file defaults to the original file name with the suffix _keyless, and it is stored in the current folder.

    • /opem: Anger namnet på utdatafilen för PEM-filen, som innehåller den extraherade nyckeln.The /opem: specifies the output file name for the PEM file, which contains the extracted key. Det fullständiga parameternamnet är OutPemFile.The full parameter name is OutPemFile. Om du inte anger den här parametern får utdatafilen som standard det ursprungliga filnamnet med suffixet _key, och lagras i den aktuella mappen.If you do not specify this parameter, the output file defaults to the original file name with the suffix _key, and it is stored in the current folder.

    • Om du inte anger lösenordet när du kör det här kommandot (med det fullständiga parameternamnet TpdPassword eller det förkortade parameternamnet pwd) uppmanas du att ange det.If you don't specify the password when you run this command (by using the TpdPassword full parameter name or pwd short parameter name), you are prompted to specify it.

  3. På samma frånkopplade arbets Station ansluter du och konfigurerar din hjälp programmet nCipher HSM enligt din hjälp programmet nCipher-dokumentation.On the same disconnected workstation, attach and configure your nCipher HSM, according to your nCipher documentation. Nu kan du importera din nyckel till din bifogade hjälp programmet nCipher HSM med hjälp av följande kommando där du behöver ersätta ditt eget fil namn för ContosoTPD. pem:You can now import your key into your attached nCipher HSM by using the following command where you need to substitute your own file name for ContosoTPD.pem:

    generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
    

    Anteckning

    Om du har fler än en fil väljer du den fil som motsvarar den HSM-nyckel som du vill använda i Azure RMS för att skydda innehåll efter migreringen.If you have more than one file, choose the file that corresponds to the HSM key you want to use in Azure RMS to protect content after the migration.

    Det här genererar en resultatvisning som liknar följande:This generates an output display similar to the following:

    parametrar för nyckelgenerering:key generation parameters:

    åtgärds           åtgärd för att utföra                             importenoperation       Operation to perform                import

    program         program                                                               enkelapplication     Application                                simple

    verifiera                           att konfigurations nyckelns säkerhet är                                 Javerify               Verify security of configuration key                 yes

    typ av                               nyckel typ,                                                                       RSAtype                 Key type                                     RSA

    pemreadfile     PEM-fil som innehåller RSA-nyckeln     e:\ContosoTPD.pempemreadfile    PEM file containing RSA key    e:\ContosoTPD.pem

    **                                                                                  contosobyok för nyckel identifierare för identitet**ident                Key identifier                             contosobyok

    plainname           nyckel namn                                                                   ContosoBYOKplainname       Key name                                   ContosoBYOK

    Nyckeln har importerats.Key successfully imported.

    Sökvägen till nyckeln: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyokPath to key: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Det här resultatet bekräftar att den privata nyckeln har migrerats till din lokala hjälp programmet nCipher HSM-enhet med en krypterad kopia som sparas i en nyckel (i vårt exempel "key_simple_contosobyok").This output confirms that the private key is now migrated to your on-premises nCipher HSM device with an encrypted copy that is saved to a key (in our example, "key_simple_contosobyok").

Nu när SLC-nyckeln har extraherats och importeras till din lokala HSM är du redo att paketera den HSM-skyddade nyckeln och överföra den till Azure Key Vault.Now that your SLC key has been extracted and imported to your on-premises HSM, you’re ready to package the HSM-protected key and transfer it to Azure Key Vault.

Viktigt

När du har slutfört det här steget är det säkert att radera PEM-filerna från den frånkopplade arbetsstationen så att de inte kan användas av obehöriga.When you have completed this step, securely erase these PEM files from the disconnected workstation to ensure that they cannot be accessed by unauthorized people. Du kan till exempel köra "cipher /w: E" om du vill ta bort alla filer från E-enheten på ett säkert sätt.For example, run "cipher /w: E" to securely delete all files from the E: drive.

Del 2: Paketera och överföra din HSM-nyckel till Azure Key VaultPart 2: Package and transfer your HSM key to Azure Key Vault

Azure Key Vault-administratör: För varje exporterad SLC-nyckel som du vill lagra i Azure Key Vault, så använd följande steg i avsnittet Implementera BYOK (ta med din egen nyckel) för Azure Key Vault i dokumentationen för Azure Key Vault:Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key vault, use the following steps from the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

Följ inte stegen för att generera nyckelpar, eftersom du redan har nyckeln.Do not follow the steps to generate your key pair, because you already have the key. I stället kör du ett kommando för att överföra den här nyckeln (i vårt exempel används "contosobyok" för parametern KeyIdentifier) från din lokala HSM.Instead, you will run a command to transfer this key (in our example, our KeyIdentifier parameter uses "contosobyok") from your on-premises HSM.

Innan du överför nyckeln till Azure Key Vault kontrollerar du att verktyget KeyTransferRemote.exe returnerar Result: SUCCESS när du skapar en kopia av nyckeln med begränsad behörighet (steg 4.1) och när du krypterar nyckeln (steg 4.3).Before you transfer your key to Azure Key Vault, make sure that the KeyTransferRemote.exe utility returns Result: SUCCESS when you create a copy of your key with reduced permissions (step 4.1) and when you encrypt your key (step 4.3).

När nyckeln överförs till Azure Key Vault visas egenskaperna för nyckeln, inklusive nyckel-ID.When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. Den ser ut ungefär så här https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 .It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Anteckna den här URL:en eftersom Azure Information Protection-administratören behöver den för att instruera Azure Rights Management-tjänsten från Azure Information Protection att använda den här nyckeln för dess klientnyckel.Make a note of this URL because the Azure Information Protection administrator will need it to tell the Azure Rights Management service from Azure Information Protection to use this key for its tenant key.

Använd sedan cmdleten set-AzKeyVaultAccessPolicy för att auktorisera Azure Rights Management Service-huvudobjektet för åtkomst till nyckel valvet.Then use the Set-AzKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault. De behörigheter som krävs är dekryptera, kryptera, packa upp nyckel, packa in nyckel, kontrollera samt logga in.The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

Exempel: Om nyckelvalvet som du har skapat för Azure Information Protection heter contosorms-byok-kv och din resursgrupp heter contosorms-byok-rg kör du följande kommando:For example, if the key vault that you have created for Azure Information Protection is named contosorms-byok-kv, and your resource group is named contosorms-byok-rg, run the following command:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Nu när du har överfört din HSM-nyckel till Azure Key Vault kan du importera AD RMS-konfigurationsdata.Now that you’ve transferred your HSM key to Azure Key Vault, you’re ready to import your AD RMS configuration data.

Del 3: Importera konfigurationsdata till Azure Information ProtectionPart 3: Import the configuration data to Azure Information Protection

  1. Azure Information Protection administratör: på den Internet-anslutna arbets stationen och i PowerShell-sessionen kopierar du över dina nya konfigurations data filer (. xml) som har licens givar nyckeln borttagen när du har kört TpdUtil-verktyget.Azure Information Protection administrator: On the internet-connected workstation and in the PowerShell session, copy over your new configuration data files (.xml) that have the SLC key removed after running the TpdUtil tool.

  2. Ladda upp varje XML-fil med hjälp av cmdleten import-AipServiceTpd .Upload each .xml file, by using the Import-AipServiceTpd cmdlet. Du borde exempelvis ha minst en ytterligare fil att importera om du uppgraderade ditt AD RMS-kluster för kryptografiskt läge 2.For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    Om du vill köra den här cmdleten behöver du det lösenord som du angav tidigare för konfigurationsdatafilen och URL:en för den nyckel som identifierades i föregående steg.To run this cmdlet, you need the password that you specified earlier for the configuration data file, and the URL for the key that was identified in the previous step.

    Om du t.ex. använder konfigurationsdatafilen C:\contoso_keyless.xml och URL-nyckelvärdet från föregående steg, så lagra först lösenordet genom att köra följande:For example, using a configuration data file of C:\contoso_keyless.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    Ange det lösenord som du angav när du skulle exportera konfigurationsdatafilen.Enter the password that you specified to export the configuration data file. Kör sedan följande kommando och bekräfta att du vill genomföra den här åtgärden:Then, run the following command and confirm that you want to perform this action:

    Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Som en del av den här importen importeras SLC-nyckeln och konfigureras automatiskt som arkiverad.As part of this import, the SLC key is imported and automatically set as archived.

  3. När du har laddat upp varje fil, kör set-AipServiceKeyProperties för att ange vilken importerad nyckel som matchar den aktuella aktiva licens givar nyckeln i AD RMS klustret.When you have uploaded each file, run Set-AipServiceKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster.

  4. Använd cmdleten disconnect-AipServiceService för att koppla från Azure Rights Management-tjänsten:Use the Disconnect-AipServiceService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AipServiceService
    

Om du senare behöver bekräfta vilken nyckel din Azure Information Protection klient nyckeln använder i Azure Key Vault använder du cmdleten Get-AipServiceKeys Azure RMS.If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AipServiceKeys Azure RMS cmdlet.

Nu är du redo att gå till steg 5. Aktivera Azure Rights Management-tjänsten.You’re now ready to go to Step 5. Activate the Azure Rights Management service.