2. Adım: Yazılım korumalı anahtardan HSM korumalı anahtara geçiş

Bu yönergeler AD RMS'den Azure Information Protection'a geçiş yolunun bir parçasıdır ve yalnızca AD RMS anahtarınız yazılım korumalıysa ve Azure Key Vault'ta HSM korumalı bir kiracı anahtarıyla Azure Information Protection'a geçiş yapmak istiyorsanız geçerlidir.

Seçtiğiniz yapılandırma senaryosu bu değilse 4. Adıma geri dönün. Yapılandırma verilerini AD RMS'den dışarı aktarın ve Azure RMS'ye aktarın ve farklı bir yapılandırma seçin.

AD RMS yapılandırmasını Azure Information Protection'a aktarmak, Azure Key Vault'ta sizin tarafınızdan yönetilen Azure Information Protection kiracı anahtarınıza (BYOK) neden olan dört bölümden oluşan bir yordamdır.

Önce AD RMS yapılandırma verilerinden sunucu lisans sertifikası (SLC) anahtarınızı ayıklamanız ve anahtarı şirket içi bir nCipher HSM'ye aktarmanız, ardından HSM anahtarınızı Azure Key Vault'a paketleyip aktarmanız, ardından Azure Information Protection'dan Azure Rights Management hizmetini anahtar kasanıza erişmesi için yetkilendirmeniz ve ardından yapılandırma verilerini içeri aktarmanız gerekir.

Azure Information Protection kiracı anahtarınız Azure Key Vault tarafından depolanıp yönetileceğinden, geçişin bu bölümü Azure Information Protection'a ek olarak Azure Key Vault'ta yönetim gerektirir. Azure Key Vault kuruluşunuzda sizden farklı bir yönetici tarafından yönetiliyorsa, bu yordamları tamamlamak için bu yöneticiyle birlikte çalışmanız ve koordine etmeniz gerekir.

Başlamadan önce, kuruluşunuzun Azure Key Vault'ta oluşturulmuş bir anahtar kasası olduğundan ve HSM korumalı anahtarları desteklediğine emin olun. Gerekli olmasa da Azure Information Protection için ayrılmış bir anahtar kasanız olmasını öneririz. Bu anahtar kasası, Azure Information Protection'dan Azure Rights Management hizmetinin bu hizmete erişmesine izin verecek şekilde yapılandırılır, bu nedenle bu anahtar kasasının depoacağı anahtarlar yalnızca Azure Information Protection anahtarlarıyla sınırlandırılmalıdır.

Bahşiş

Azure Key Vault için yapılandırma adımlarını gerçekleştiriyorsanız ve bu Azure hizmetini bilmiyorsanız, önce Azure Key Vault'u kullanmaya başlama'yı gözden geçirmeniz yararlı olabilir.

1. Bölüm: Yapılandırma verilerinden SLC anahtarınızı ayıklama ve anahtarı şirket içi HSM'nize aktarma

1. Azure Key Vault yöneticisi: Azure Key Vault'ta depolamak istediğiniz dışarı aktarılan her SLC anahtarı için, Azure Key Vault belgelerinin Azure Key Vault için kendi anahtarını getir (KAG) uygulama bölümündeki aşağıdaki adımları kullanın:

   • Anahtarınızı oluşturma ve Azure Key Vault HSM'ye aktarma: 1. Adım: İnternet'e bağlı iş istasyonunuzu hazırlama

   • Kiracı anahtarınızı oluşturma ve aktarma – İnternet üzerinden: 2. Adım: Bağlantısı kesilmiş iş istasyonunuzu hazırlama

   Dışarı aktarılan yapılandırma verileri (.xml) dosyasında eşdeğeri zaten olduğundan kiracı anahtarınızı oluşturma adımlarını izlemeyin. Bunun yerine, bu anahtarı dosyadan ayıklamak ve şirket içi HSM'nize aktarmak için bir araç çalıştıracaksınız. Araç, çalıştırdığınızda iki dosya oluşturur:

   • Anahtarı olmayan ve ardından Azure Information Protection kiracınıza içeri aktarılmaya hazır olan yeni bir yapılandırma veri dosyası.

   • Anahtarı içeren ve ardından şirket içi HSM'nize içeri aktarılmaya hazır bir PEM dosyası (anahtar kapsayıcısı).

2. Azure Information Protection yöneticisi veya Azure Key Vault yöneticisi: Bağlantısı kesilmiş iş istasyonunda Azure RMS geçiş araç setinden TpdUtil aracını çalıştırın. Örneğin, araç ContosoTPD.xml adlı yapılandırma veri dosyanızı kopyaladığınız E sürücünüzde yüklüyse:

   E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
   

   Birden fazla RMS yapılandırma veri dosyanız varsa, bu dosyaların geri kalanı için bu aracı çalıştırın.

   Açıklama, kullanım ve örnekler içeren bu araçla ilgili Yardım'ı görmek için parametre olmadan TpdUtil.exe dosyasını çalıştırın

   Bu komut için ek bilgiler:

   • /tpd: dışarı aktarılan AD RMS yapılandırma veri dosyasının tam yolunu ve adını belirtir. Tam parametre adı TpdFilePath'tir.

   • /otpd: anahtarı olmayan yapılandırma veri dosyası için çıkış dosyası adını belirtir. Tam parametre adı OutPfxFile'dır. Bu parametreyi belirtmezseniz, çıkış dosyası varsayılan olarak sonek _keyless özgün dosya adına ayarlanır ve geçerli klasörde depolanır.

   • /opem: ayıklanan anahtarı içeren PEM dosyasının çıkış dosyası adını belirtir. Tam parametre adı OutPemFile'dır. Bu parametreyi belirtmezseniz, çıkış dosyası varsayılan olarak sonek _key özgün dosya adına ayarlanır ve geçerli klasörde depolanır.

   • Bu komutu çalıştırdığınızda parolayı belirtmezseniz (TpdPassword tam parametre adını veya pwd kısa parametre adını kullanarak) belirtmeniz istenir.

3. Aynı bağlantısı kesilmiş iş istasyonunda nCipher HSM'nizi nCipher belgelerinize göre takın ve yapılandırın. Artık contosoTPD.pem için kendi dosya adınızı değiştirmeniz gereken aşağıdaki komutu kullanarak anahtarınızı ekli nCipher HSM'nize aktarabilirsiniz:

   generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
   

   Dekont

   Birden fazla dosyanız varsa, geçişten sonra içeriği korumak için Azure RMS'de kullanmak istediğiniz HSM anahtarına karşılık gelen dosyayı seçin.

   Bu, aşağıdakine benzer bir çıkış görüntüsü oluşturur:

   anahtar oluşturma parametreleri:

   operation operation Operation to perform import

   uygulama uygulaması basit

   doğrulama Yapılandırma anahtarının güvenliğini doğrulama evet

   tür Anahtar türü RSA

   RSA anahtarı e:\ContosoTPD.pem içeren pemreadfile PEM dosyası

   contosobyok kimlik anahtarı tanımlayıcısı

   plainname Anahtar adı ContosoBYOK

   Anahtar başarıyla içeri aktarıldı.

   Anahtarın yolu: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Bu çıkış, özel anahtarın artık şirket içi nCipher HSM cihazınıza bir anahtara kaydedilmiş şifrelenmiş bir kopyayla (örneğimizde "key_simple_contosobyok") geçirildiğini onaylar.

SLC anahtarınız ayıklanıp şirket içi HSM'nize aktarıldığına göre, HSM korumalı anahtarı paketlemeye ve Azure Key Vault'a aktarmaya hazırsınız.

Önemli

Bu adımı tamamladığınızda, yetkisiz kişiler tarafından erişilemeyeceklerinden emin olmak için bu PEM dosyalarını bağlantısı kesilmiş iş istasyonundan güvenli bir şekilde silin. Örneğin, tüm dosyaları E: sürücüsünden güvenli bir şekilde silmek için "cipher /w: E" komutunu çalıştırın.

2. Bölüm: HSM anahtarınızı paketleme ve Azure Key Vault'a aktarma

Azure Key Vault yöneticisi: Azure Key Vault'ta depolamak istediğiniz dışarı aktarılan her SLC anahtarı için, Azure Key Vault belgelerinin Azure Key Vault için kendi anahtarını getir (KAG) uygulama bölümündeki aşağıdaki adımları kullanın:

• 4. Adım: Anahtarınızı aktarım için hazırlama

• 5. Adım: Anahtarınızı Azure Key Vault'a aktarma

Anahtarınız zaten olduğundan, anahtar çiftinizi oluşturma adımlarını izlemeyin. Bunun yerine, bu anahtarı (örneğimizde KeyIdentifier parametremiz şirket içi HSM'nizden "contosobyok" kullanır) aktarmak için bir komut çalıştıracaksınız.

Anahtarınızı Azure Key Vault'a aktarmadan önce KeyTransferRemote.exe yardımcı programının, anahtarınızın azaltılmış izinlere sahip bir kopyasını oluşturduğunuzda (adım 4.1) ve anahtarınızı şifrelerken (adım 4.3) Sonuç: BAŞARI değerini döndürdüğünden emin olun.

Anahtar Azure Key Vault'a yüklendiğinde, anahtar kimliğini içeren anahtarın özelliklerini görürsünüz. şuna benzer https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333olacaktır. Azure Information Protection yöneticisinin Azure Information Protection'dan Azure Rights Management hizmetine kiracı anahtarı için bu anahtarı kullanmasını söylemesi gerekeceği için bu URL'yi not alın.

Ardından Set-AzKeyVaultAccessPolicy cmdlet'ini kullanarak Azure Rights Management hizmet sorumlusuna anahtar kasasına erişme yetkisi verin. Gereken izinler şifre çözme, şifreleme, anahtar açma, sarmalama anahtarı, doğrulama ve imzalama işlemleridir.

Örneğin, Azure Information Protection için oluşturduğunuz anahtar kasası contosorms-byok-kv olarak adlandırılıyorsa ve kaynak grubunuz contosorms-byok-rg olarak adlandırılıyorsa aşağıdaki komutu çalıştırın:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

HSM anahtarınızı Azure Key Vault'a aktardığınıza göre, AD RMS yapılandırma verilerinizi içeri aktarmaya hazırsınız demektir.

Bölüm 3: Yapılandırma verilerini Azure Information Protection'a aktarma

1. Azure Information Protection yöneticisi: İnternet'e bağlı iş istasyonunda ve PowerShell oturumunda, TpdUtil aracını çalıştırdıktan sonra SLC anahtarının kaldırıldığı yeni yapılandırma veri dosyalarınızın (.xml) üzerine kopyalayın.

2. Import-AipServiceTpd cmdlet'ini kullanarak her .xml dosyasını karşıya yükleyin. Örneğin, AD RMS kümenizi Şifreleme Modu 2 için yükselttiyseniz içeri aktarabileceğiniz en az bir ek dosyanız olmalıdır.

   Bu cmdlet'i çalıştırmak için, yapılandırma veri dosyası için daha önce belirttiğiniz parolaya ve önceki adımda tanımlanan anahtarın URL'sine ihtiyacınız vardır.

   Örneğin, önceki adımdaki C:\contoso_keyless.xml yapılandırma veri dosyasını ve anahtar URL değerimizi kullanarak, önce parolayı depolamak için aşağıdakileri çalıştırın:

    $TPD_Password = Read-Host -AsSecureString
   

   Yapılandırma veri dosyasını dışarı aktarmak için belirttiğiniz parolayı girin. Ardından aşağıdaki komutu çalıştırın ve bu eylemi gerçekleştirmek istediğinizi onaylayın:

   Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   Bu içeri aktarma işleminin bir parçası olarak SLC anahtarı içeri aktarılır ve otomatik olarak arşivlenmiş olarak ayarlanır.

3. Her dosyayı karşıya yüklediğinizde, içeri aktarılan anahtarın AD RMS kümenizdeki şu anda etkin olan SLC anahtarıyla eşleşeceğini belirtmek için Set-AipServiceKeyProperties komutunu çalıştırın.

4. Azure Rights Management hizmeti bağlantısını kesmek için Disconnect-AipServiceService cmdlet'ini kullanın:

   Disconnect-AipServiceService
   

Daha sonra Azure Information Protection kiracı anahtarınızın Azure Key Vault'ta hangi anahtarı kullandığını onaylamanız gerekiyorsa Get-AipServiceKeys Azure RMS cmdlet'ini kullanın.

Artık 5. Adım'a gitmeye hazırsınız. Azure Rights Management hizmetini etkinleştirin.