Snabbstart: Etablera och aktivera en hanterad HSM med Azure CLI
Azure Key Vault Managed HSM är en fullständigt hanterad molntjänst som uppfyller standardkrav för en enskild klientorganisation och som gör att du kan skydda kryptografiska nycklar för dina molnprogram med HJÄLP av FIPS 140-2 Level 3-verifierade HSM:er. Mer information om Managed HSM finns i Översikt.
I den här snabbstarten skapar och aktiverar du en hanterad HSM med Azure CLI.
Förutsättningar
För att slutföra stegen i den här artikeln måste du ha följande:
- En prenumeration på Microsoft Azure. Om du inte har ett konto kan du registrera dig för en kostnadsfri utvärderingsversion.
- Azure CLI version 2.25.0 eller senare. Kör
az --versionför att hitta versionen. Om du behöver installera eller uppgradera kan du läsa informationen i Installera Azure CLI.
Använda Azure Cloud Shell
Azure är värd för Azure Cloud Shell, en interaktiv gränssnittsmiljö som du kan använda via webbläsaren. Du kan använda antingen Bash eller PowerShell med Cloud Shell för att arbeta med Azure-tjänster. Du kan använda förinstallerade Cloud Shell-kommandon för att köra koden i den här artikeln utan att behöva installera något i din lokala miljö.
Så här startar du Azure Cloud Shell:
| Alternativ | Exempel/länk |
|---|---|
| Välj Prova i det övre högra hörnet av ett kodblock. Om du väljer Prova kopieras koden inte automatiskt till Cloud Shell. |  |
| Gå till https://shell.azure.com eller Välj knappen Starta Cloud Shell för att öppna Cloud Shell i webbläsaren. |  |
| Välj knappen Cloud Shell på menyn längst upp till höger i Azure-portalen. |  |
Så här kör du koden i den här artikeln i Azure Cloud Shell:
Starta Cloud Shell.
Kopiera koden genom att klicka på knappen Kopiera på ett kodblock.
Klistra in koden i Cloud Shell-sessionen genom att välja Ctrl+Skift+V på Windows och Linux eller genom att välja Cmd+Skift+V på macOS.
Välj Retur för att köra koden.
Logga in på Azure
Du kan logga in i Azure via CLI genom att skriva:
az login
Skapa en resursgrupp
En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras. I följande exempel skapas en resursgrupp med namnet ContosoResourceGroup på platsen centralus.
az group create --name "ContosoResourceGroup" --location centralus
Skapa en hanterad HSM
Att skapa en hanterad HSM är en tvåstegsprocess:
- Etablera en hanterad HSM-resurs.
- Aktivera din hanterade HSM genom att ladda ned säkerhetsdomänen.
Etablera en hanterad HSM
Använd kommandot az keyvault create för att skapa en hanterad HSM. Det här skriptet har tre obligatoriska parametrar: ett resursgruppsnamn, ett HSM-namn och den geografiska platsen.
Du måste ange följande indata för att skapa en hanterad HSM-resurs:
- En resursgrupp där den kommer att placeras i din prenumeration.
- Azure-plats.
- En lista över inledande administratörer.
Exemplet nedan skapar en HSM med namnet ContosoMHSM i resursgruppen ContosoResourceGroup som finns på platsen USA, centrala, med den aktuella inloggade användaren som den enda administratören, med kvarhållningsperiod på 28 dagar för mjuk borttagning. Läs mer om mjuk borttagning av Managed HSM
oid=$(az ad signed-in-user show --query objectId -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "centralus" --administrators $oid --retention-days 28
Anteckning
Det kan ta några minuter att skapa kommandot. När den har returnerats är du redo att aktivera din HSM.
Utdata från det här kommandot visar egenskaperna för den hanterade HSM som du har skapat. De två viktigaste egenskaperna är:
- name: I exemplet är namnet ContosoMHSM. Du använder det här namnet för andra Key Vault kommandon.
- hsmUri: I exemplet är URI:en " https://contosohsm.managedhsm.azure.net ." Program som använder din HSM via dess REST API måste använda denna URI.
Ditt Azure-konto har nu behörighet att utföra åtgärder på denna hanterade HSM. Än så länge har ingen annan behörighet.
Aktivera din hanterade HSM
Alla kommandon för dataplanet är inaktiverade tills HSM aktiveras. Du kommer inte att kunna skapa nycklar eller tilldela roller. Endast de utsedda administratörerna som tilldelades under skapa-kommandot kan aktivera HSM. Om du vill aktivera HSM måste du ladda ned säkerhetsdomänen.
För att aktivera din HSM behöver du:
- Minst 3 RSA-nyckelpar (högst 10)
- Ange det minsta antalet nycklar som krävs för att dekryptera säkerhetsdomänen (kvorum)
Om du vill aktivera HSM:en skickar du minst 3 (högst 10) offentliga RSA-nycklar till HSM. HSM krypterar säkerhetsdomänen med dessa nycklar och skickar tillbaka den. När nedladdningen av säkerhetsdomänen är klar är din HSM redo att användas. Du måste också ange kvorum, vilket är det minsta antalet privata nycklar som krävs för att dekryptera säkerhetsdomänen.
Exemplet nedan visar hur du använder för att openssl generera 3 själv signerade certifikat.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Viktigt
Skapa och lagra RSA-nyckelparen och säkerhetsdomänfilen som genereras i det här steget på ett säkert sätt.
Använd kommandot az keyvault security-domain download för att ladda ned säkerhetsdomänen och aktivera din hanterade HSM. I exemplet nedan används 3 RSA-nyckelpar (endast offentliga nycklar behövs för det här kommandot) och kvorumet anges till 2.
az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json
Lagra säkerhetsdomänfilen och RSA-nyckelparen på ett säkert sätt. Du behöver dem för haveriberedskap eller för att skapa en annan hanterad HSM som delar samma säkerhetsdomän så att de kan dela nycklar.
När du har laddat ned säkerhetsdomänen är din HSM i aktivt tillstånd och redo att användas.
Rensa resurser
De andra snabbstarterna och självstudierna i den här samlingen bygger på den här snabbstarten. Om du planerar att fortsätta med efterföljande snabbstarter och självstudier kan du lämna kvar de här resurserna.
När du inte behöver resursgruppen längre kan du använda kommandot az group delete till att ta bort resursgruppen och alla relaterade resurser. Så här tar du bort resurserna:
az group delete --name ContosoResourceGroup
Nästa steg
I den här snabbstarten har du skapat Key Vault och lagrat en hemlighet i den. Mer information om Key Vault och hur du integrerar det med dina program finns i artiklarna nedan.
- Läs en översikt över Managed HSM
- Lär dig mer om att hantera nycklar i en hanterad HSM
- Lär dig mer om rollhantering för en hanterad HSM
- Läs metodtips för Managed HSM