2. adım: Yazılımla korunan anahtardan HSM korumalı anahtara geçişStep 2: Software-protected key to HSM-protected key migration

Uygulama hedefi: Active Directory Rights Management Services Azure Information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

Bu yönergeler, AD RMS’den Azure Information Protection’a geçiş yolunun parçasıdır ve yalnızca AD RMS anahtarınız yazılım korumalı ise ve Azure Anahtar Kasası’nda HSM korumalı bir kiracı anahtarıyla Azure Information Protection’a geçiş yapmak istiyorsanız geçerlidir.These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is software-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

Seçtiğiniz yapılandırma senaryosu bu değilse 4. Adıma dönün. AD RMS'den yapılandırma verilerini dışa aktarın ve Azure RMS’ye alın ve farklı bir yapılandırma seçin.If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

AD RMS yapılandırmasını Azure Information Protection’a aktararak Azure Anahtar Kasası’nda sizin tarafınızdan yönetilen Azure Information Protection kiracı anahtarını (BYOK) elde etmek dört kısımdan oluşan bir yordamdır.It’s a four-part procedure to import the AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK) in Azure Key Vault.

Önce sunucu lisans sertifikası (SLC) anahtarınızı AD RMS yapılandırma verilerinden ayıklamanız ve anahtarı bir şirket içi Thales HSM’ye transfer etmeniz, ardından HSM anahtarınızı paketleyip Azure Anahtar Kasası’na aktarmanız ve Azure Information Protection’dan Azure Rights Management hizmetine anahtar kasanıza erişim izni verip sonra yapılandırma verilerini içeri aktarmanız gerekir.You must first extract your server licensor certificate (SLC) key from the AD RMS configuration data and transfer the key to an on-premises Thales HSM, next package and transfer your HSM key to Azure Key Vault, then authorize the Azure Rights Management service from Azure Information Protection to access your key vault, and then import the configuration data.

Azure Information Protection kiracı anahtarınız Azure Anahtar Kasası tarafından depolanıp yönetileceğinden, geçişin bu aşaması Azure Anahtarı Information Protection’a ek olarak Azure Anahtar Kasası’nda yönetim gerektirir.Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Azure Key Vault, kuruluşunuzdaki yöneticiden farklı bir yönetici tarafından yönetiliyorsa bu yordamları tamamlamak için ilgili yöneticiyle birlikte çalışmanız gerekir.If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

Başlamadan önce kurumunuzun Azure Anahtar Kasası’nda oluşturulmuş bir anahtar kasası olduğundan ve kasanın HSM korumalı anahtarları desteklediğinden emin olun.Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. Zorunlu olmasa da Azure Information Protection için ayrılmış bir anahtar kasanızın olmasını öneririz.Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. Bu anahtar kasası, Azure Information Protection’dan Azure Rights Management hizmetine kendisine erişmesi için izin verecek şekilde yapılandırılır, bu nedenle bu anahtar kasasındaki anahtarlar yalnızca Azure Information Protection anahtarları ile sınırlandırılmalıdır.This key vault will be configured to allow the Azure Rights Management service from Azure Information Protection to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

İpucu

Azure Key Vault’u yapılandırma adımlarını kendiniz gerçekleştiriyorsanız ve bu Azure hizmetiyle ilgili bilginiz yoksa önce Azure Key Vault’u kullanmaya başlama konusunu incelemeniz yararlı olabilir.If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

1. Bölüm: SLC anahtarınızı yapılandırma verilerinden ayıklamanız ve anahtarı şirket içi HSM'NİZDE içeri aktarmaPart 1: Extract your SLC key from the configuration data and import the key to your on-premises HSM

  1. Azure anahtar kasası Yöneticisi: Azure Key Vault'ta depolamak istediğiniz her dışa aktarılmış SLC anahtarı için aşağıdaki adımları kullanın uygulama kendi anahtarını getir (BYOK) için Azure anahtar kasası Azure Key Vault belgeleri, bölüm:Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key Vault, use the following steps in the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

    Dışarı aktarılmış yapılandırma verileri (.xml) dosyasında eşdeğer seçeneğe zaten sahip olduğunuz için kiracı anahtarı oluşturmaya yönelik adımları izlemeyin.Do not follow the steps to generate your tenant key, because you already have the equivalent in the exported configuration data (.xml) file. Bunun yerine, bu anahtarı dosyadan ayıklamak ve şirket içi HSM’nizde içeri aktarmak için bir araç çalıştırın.Instead, you will run a tool to extract this key from the file and import it to your on-premises HSM. Aracı çalıştırdığınızda araç tarafından iki dosya oluşturulur:The tool creates two files when you run it:

    • Anahtarı içermeyen ve Azure Information Protection kiracınıza içeri aktarılmaya hazır olan yeni bir yapılandırma verileri dosyası.A new configuration data file without the key, which is then ready to be imported to your Azure Information Protection tenant.

    • Anahtarı içeren ve şirket içi HSM’nizde içeri aktarılmaya hazır olan bir PEM dosyası (anahtar kapsayıcısı).A PEM file (key container) with the key, which is then ready to be imported to your on-premises HSM.

  2. Azure Information Protection Yöneticisi veya Azure anahtar kasası Yöneticisi: Bağlantısı kesilmiş iş istasyonunda, TpdUtil aracını çalıştırın Azure RMS geçiş araç setinden.Azure Information Protection administrator or Azure Key Vault administrator: On the disconnected workstation, run the TpdUtil tool from the Azure RMS migration toolkit. Örneğin, araç ContosoTPD.xml adlı yapılandırma verileri dosyasını kopyaladığınız E sürücüsüne yüklüyse:For example, if the tool is installed on your E drive where you copy your configuration data file named ContosoTPD.xml:

        E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
    

    Birden fazla RMS yapılandırma veri dosyanız varsa bu dosyaların geri kalanı için bu aracı çalıştırın.If you have more than one RMS configuration data files, run this tool for the remainder of these files.

    Bu araca yönelik olan ve bir açıklama, kullanım ve örnekler içeren Yardım bölümünü görmek için TpdUtil.exe aracını hiçbir parametre olmadan çalıştırınTo see Help for this tool, which includes a description, usage, and examples, run TpdUtil.exe with no parameters

    Bu komutla ilgili ek bilgiler:Additional information for this command:

    • /tpd: ifadesi, dışarı aktarılan AD RMS yapılandırma verileri dosyasının tam yolunu ve adını belirtir.The /tpd: specifies the full path and name of the exported AD RMS configuration data file. Tam parametre adı TpdFilePath şeklindedir.The full parameter name is TpdFilePath.

    • /otpd: ifadesi, anahtar içermeyen yapılandırma verileri dosyası için çıkış dosyasının adını belirtir.The /otpd: specifies the output file name for the configuration data file without the key. Tam parametre adı OutPfxFile şeklindedir.The full parameter name is OutPfxFile. Bu parametreyi belirtmezseniz çıkış dosyası varsayılan olarak _keyless uzantılı özgün dosya adını alır ve geçerli klasörde depolanır.If you do not specify this parameter, the output file defaults to the original file name with the suffix _keyless, and it is stored in the current folder.

    • /opem: ifadesi, ayıklanan anahtarı içeren PEM dosyasının çıkış dosyası adını belirtir.The /opem: specifies the output file name for the PEM file, which contains the extracted key. Tam parametre adı OutPemFile şeklindedir.The full parameter name is OutPemFile. Bu parametreyi belirtmezseniz çıkış dosyası varsayılan olarak _key uzantılı özgün dosya adını alır ve geçerli klasörde depolanır.If you do not specify this parameter, the output file defaults to the original file name with the suffix _key, and it is stored in the current folder.

    • Bu komutu çalıştırdığınızda (TpdPassword tam parametre adını veya pwd kısa parametre adını kullanarak) parolayı belirtmezseniz parolayı belirtmeniz istenir.If you don't specify the password when you run this command (by using the TpdPassword full parameter name or pwd short parameter name), you are prompted to specify it.

  3. Aynı bağlantısı kesilen iş istasyonunda Thales HSM’nizi Thales belgelerinize göre bağlayın ve yapılandırın.On the same disconnected workstation, attach and configure your Thales HSM, according to your Thales documentation. Artık aşağıdaki komutu kullanarak (komuttaki ContosoTPD.pem ifadesi yerine kendi dosya adınızı kullanmanız gerekir), ekli Thales HSM’nizde anahtarınızı içeri aktarabilirsiniz:You can now import your key into your attached Thales HSM by using the following command where you need to substitute your own file name for ContosoTPD.pem:

     generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
    

    Not

    Birden çok dosyanız varsa, geçişten sonra içerikleri korumak için Azure RMS’de kullanmak istediğiniz HSM anahtarına karşılık gelen dosyayı seçin.If you have more than one file, choose the file that corresponds to the HSM key you want to use in Azure RMS to protect content after the migration.

    Bunu yaptığınızda, aşağıdakine benzer bir çıkış ekranı oluşturulur:This generates an output display similar to the following:

    anahtar oluşturma parametreleri:key generation parameters:

    operation       Gerçekleştirilecek işlem                içeri aktaroperation       Operation to perform                import

    application     Uygulama                                basitapplication     Application                                simple

    verify               Yapılandırma anahtarının güvenliğini doğrula                 evetverify               Verify security of configuration key                 yes

    type                 Anahtar türü                                     RSAtype                 Key type                                     RSA

    pemreadfile    RSA anahtarını içeren PEM dosyası    e:\ContosoTPD.pempemreadfile    PEM file containing RSA key    e:\ContosoTPD.pem

    ident                Anahtar tanımlayıcı                             contosobyokident                Key identifier                             contosobyok

    plainname       Anahtar adı                                   ContosoBYOKplainname       Key name                                   ContosoBYOK

    Anahtar başarıyla içeri aktarıldı.Key successfully imported.

    Anahtarın yolu: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyokPath to key: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Bu çıkış, özel anahtarın bir anahtara (bizim örneğimizde "key_simple_contosobyok") kaydedilen şifreli bir kopyayla birlikte şirket içi Thales HSM cihazınıza aktarıldığını doğrular.This output confirms that the private key is now migrated to your on-premises Thales HSM device with an encrypted copy that is saved to a key (in our example, "key_simple_contosobyok").

SLC anahtarınız ayıklandığına ve şirket içi HSM’nizde içeri aktarıldığına göre, HSM korumalı anahtarı paketlemeye ve Azure Anahtar Kasası’na aktarmaya hazırsınız demektir.Now that your SLC key has been extracted and imported to your on-premises HSM, you’re ready to package the HSM-protected key and transfer it to Azure Key Vault.

Önemli

Bu adımı tamamladıktan sonra, PEM dosyalarına yetkisiz kişilerin erişemeyeceğinden emin olmak için dosyaları bağlantısı kesilen iş istasyonundan güvenli bir şekilde silin.When you have completed this step, securely erase these PEM files from the disconnected workstation to ensure that they cannot be accessed by unauthorized people. Örneğin, "cipher/w: çalıştırın. E"E: sürücüsündeki tüm dosyaları güvenli bir şekilde silinemedi.For example, run "cipher /w: E" to securely delete all files from the E: drive.

2. Bölüm: Paketleme ve HSM anahtarınızı Azure anahtar Kasası'na aktarmaPart 2: Package and transfer your HSM key to Azure Key Vault

Azure anahtar kasası Yöneticisi: Azure Key vault'ta depolamak istediğiniz her dışa aktarılmış SLC anahtarı için aşağıdaki adımları uygulayın uygulama kendi anahtarını getir (BYOK) için Azure anahtar kasası Azure Key Vault belgeleri, bölüm:Azure Key Vault administrator: For each exported SLC key that you want to store in Azure Key vault, use the following steps from the Implementing bring your own key (BYOK) for Azure Key Vault section of the Azure Key Vault documentation:

Anahtara zaten sahip olduğunuzdan, kendi anahtar çiftinizi oluşturmak için bu adımları izlemeyin.Do not follow the steps to generate your key pair, because you already have the key. Bunun yerine, bu anahtarı (bizim örneğimizde KeyIdentifier parametresi "contosobyok" değerini kullanır) şirket içi HSM’nizden aktarmak için bir komut çalıştırmanız gerekir.Instead, you will run a command to transfer this key (in our example, our KeyIdentifier parameter uses "contosobyok") from your on-premises HSM.

Anahtarınızı Azure anahtar Kasası'na aktarmadan önce KeyTransferRemote.exe yardımcı programı döndürdüğünden emin olun sonucu: Başarı oluşturduğunuzda, anahtarınızın bir kopyasını ve (adım 4.3) anahtarınızı şifrelediğinizde (adım 4.1) sınırlı izinlere sahip.Before you transfer your key to Azure Key Vault, make sure that the KeyTransferRemote.exe utility returns Result: SUCCESS when you create a copy of your key with reduced permissions (step 4.1) and when you encrypt your key (step 4.3).

Anahtar Azure Anahtar Kasası’na yüklendikten sonra, anahtar kimliği de dahil olmak üzere anahtar özelliklerinin görüntülendiğini görürsünüz.When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. Benzer şekilde görünmelidir https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Azure Information Protection yöneticisinin Azure Information Protection’dan Azure Rights Management hizmetine kiracı anahtarı için bu anahtarı kullanmasını söylemesi gerekeceğinden bu URL’yi not edin.Make a note of this URL because the Azure Information Protection administrator will need it to tell the Azure Rights Management service from Azure Information Protection to use this key for its tenant key.

Ardından Azure Rights Management hizmet sorumlusuna anahtar kasasına erişim yetkisi vermek için Set-AzureRmKeyVaultAccessPolicy cmdlet'ini kullanın.Then use the Set-AzureRmKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault. Gereken izinler decrypt, encrypt, unwrapkey, wrapkey, verify ve sign izinleridir.The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

Örneğin, Azure Information Protection için oluşturduğunuz anahtar kasasının adı contosorms-byok-kv ve kaynak grubunuzun adı contosorms-byok-rg ise aşağıdaki komutu çalıştırın:For example, if the key vault that you have created for Azure Information Protection is named contosorms-byok-kv, and your resource group is named contosorms-byok-rg, run the following command:

Set-AzureRmKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

HSM anahtarınızı Azure Anahtar Kasası’na aktardığınıza göre, AD RMS yapılandırma verilerinizi içeri aktarmaya hazırsınız demektir.Now that you’ve transferred your HSM key to Azure Key Vault, you’re ready to import your AD RMS configuration data.

3. Bölüm: Yapılandırma verilerini Azure Information Protection’a aktarmaPart 3: Import the configuration data to Azure Information Protection

  1. Azure Information Protection Yöneticisi: İnternet'e bağlı iş istasyonunda ve PowerShell oturumunda, TpdUtil aracı çalıştırıldıktan sonra kaldırılan SLC anahtarını içeren yeni yapılandırma verileri dosyalarınızı (.xml) kopyalayabilirsiniz.Azure Information Protection administrator: On the Internet-connected workstation and in the PowerShell session, copy over your new configuration data files (.xml) that have the SLC key removed after running the TpdUtil tool.

  2. Import-AadrmTpd cmdlet'ini kullanarak her bir .xml dosyasını yükleyin.Upload each .xml file, by using the Import-AadrmTpd cmdlet. Örneğin, AD RMS kümenizi Şifreleme Modu 2 için yükselttiyseniz, içeri aktarılacak en az bir dosyanız kalmış olmalıdır.For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    Bu cmdlet’i çalıştırmak için yapılandırma veri dosyası için önceden belirttiğiniz parolaya ve önceki adımda tanımlanan anahtarın URL’sine ihtiyacınız vardır.To run this cmdlet, you need the password that you specified earlier for the configuration data file, and the URL for the key that was identified in the previous step.

    Örneğin, C:\contoso_keyless.xml yapılandırma verileri dosyasını ve önceki adımda belirlediğimiz anahtar URL'si değerini kullandığınızı kabul edersek önce parolayı depolamak için şu komutu çalıştırmanız gerekir:For example, using a configuration data file of C:\contoso_keyless.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    Yapılandırma verileri dosyasını dışarı aktarmak için belirlediğiniz parolayı yazın.Enter the password that you specified to export the configuration data file. Ardından aşağıdaki komutu çalıştırın ve bu eylemi gerçekleştirmek istediğinizi onaylayın:Then, run the following command and confirm that you want to perform this action:

    Import-AadrmTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Bu içeri aktarma işleminin bir parçası olarak SLC anahtarı içeri aktarılır ve otomatik olarak arşivlenmiş şekilde belirlenir.As part of this import, the SLC key is imported and automatically set as archived.

  3. Her bir dosyayı yükledikten sonra içeri aktarılan anahtarların hangisinin AD RMS kümenizdeki etkin SLC anahtarıyla eşleştiğini belirtmek için Set-AadrmKeyProperties cmdlet'ini çalıştırın.When you have uploaded each file, run Set-AadrmKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster.

  4. Azure Rights Management hizmetinin bağlantısını kesmek için Disconnect-AadrmService cmdlet’ini kullanın:Use the Disconnect-AadrmService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AadrmService
    

Daha sonra Azure Information Protection kiracı anahtarınızın Azure Anahtar Kasası’nda hangi anahtarı kullandığını doğrulamanız gerekirse, Get-AadrmKeys Azure RMS cmdlet'ini kullanın.If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AadrmKeys Azure RMS cmdlet.

5. Adıma geçmeye hazırsınız. Azure Rights Management hizmetini etkinleştirme.You’re now ready to go to Step 5. Activate the Azure Rights Management service.