步骤 2:HSM 保护的密钥到 HSM 保护的密钥迁移

适用于:Active Directory Rights Management Services、Azure信息保护

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一的标签客户端。 在迁移博客 中了解更多信息

这些说明是 从 AD RMS迁移到 Azure 信息保护的迁移路径的一部分,仅适用于 AD RMS 密钥受 HSM 保护且想要迁移到 Azure Key Vault 中受 HSM 保护的租户密钥的 Azure 信息保护。

如果这不是所选的配置方案,请返回到步骤 4。从 AD RMS 导出配置数据,将其导入 Azure RMS 并选择其他配置。

注意

这些说明假定 AD RMS 密钥受模块保护。 这是最典型的情况。

将 HSM 密钥和 AD RMS 配置导入 Azure 信息保护的过程由两部分完成,以得到由 (BYOK) 管理的 Azure 信息保护租户密钥。

由于 Azure 信息保护租户密钥由 Azure Key Vault 存储和管理,因此,除了 Azure 信息保护,此部分迁移还需要在 Azure Key Vault 中进行管理。 如果 Azure Key Vault 由与组织不同的管理员管理,则必须与该管理员协作完成这些过程。

开始之前,请确保组织具有已在 Azure Key Vault 中创建的密钥保管库,并且支持受 HSM 保护的密钥。 尽管这不是必需的,但我们建议为 Azure 信息保护创建一个专用的密钥保管库。 此密钥保管库将配置为允许 Azure Rights Management 服务访问它,因此,此密钥保管库存储的密钥应仅限 Azure 信息保护密钥。

提示

如果对 Azure Key Vault 执行配置步骤,但不熟悉此 Azure 服务,则首先查看 Azure Key Vault 入门会很有用

第 1 部分:将 HSM 密钥转移到 Azure Key Vault

这些过程由 Azure Key Vault 的管理员完成。

  1. 对于要存储在 Azure Key Vault 中的每个导出 SLC 密钥,请按照 Azure Key Vault 文档中的说明操作,使用 Azure Key Vault 的自带密钥 (BYOK) , 但以下例外:

    • 请勿执行 生成租户密钥的步骤,因为 AD RMS 部署中已有等效项。 请从 nCipher 安装中标识 AD RMS 服务器使用的密钥,并准备这些密钥进行传输,然后将它们转移到 Azure Key Vault。

      nCipher 的加密密钥文件在服务器上key_ keyAppName _ <<>命名。 例如 C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54 ,。 运行 KeyTransferRemote 命令以创建权限减少的密钥副本时,需要 mscapi 值作为 keyAppName,以及你自己的密钥标识符值。

      将密钥上传到 Azure Key Vault 时,会看到显示的密钥属性,包括密钥 ID。 它类似于 https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. 请记下此 URL,因为 Azure 信息保护管理员需要它来告知 Azure Rights Management 服务使用此密钥作为租户密钥。

  2. 在连接到 Internet 的工作站上的 PowerShell 会话中,使用 Set-AzKeyVaultAccessPolicy cmdlet 授权 Azure Rights Management 服务主体访问将存储 Azure 信息保护租户密钥的密钥保管库。 所需的权限包括解密、加密、解包密钥、包装密钥、验证和签名。

    例如,如果为 Azure 信息保护创建的密钥保管库名为 contoso-byok-ky,资源组名为 contoso-byok-rg,请运行以下命令:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

从 Azure 信息保护为 Azure Rights Management 服务准备 Azure Key Vault 中的 HSM 密钥后,即可导入 AD RMS 配置数据。

第 2 部分:将配置数据导入 Azure 信息保护

这些过程由 Azure 信息保护管理员完成。

  1. 在 Internet 连接工作站和 PowerShell 会话中,使用连接-AipService cmdlet 连接到 Azure Rights Management 服务。

    然后使用 Import-AipServiceTpd cmdlet 上传每个受信任的发布域 (.xml) 文件。 例如,如果为加密模式 2 升级了 AD RMS 群集,应至少有一个要导入的文件。

    若要运行此 cmdlet,需要之前为每个配置文件指定的密码,以及上一步中标识的密钥的 URL。

    例如,使用上一步骤C:\contoso-tpd1.xml密钥 URL 值的配置数据文件,首先运行以下代码来存储密码:

     $TPD_Password = Read-Host -AsSecureString
    

    输入指定用于导出配置文件的密码。 然后,运行以下命令并确认要执行此操作:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    作为此导入的一部分,将导入 SLC 密钥并自动设置为存档。

  2. 上传每个文件时,请运行 Set-AipServiceKeyProperties 以指定导入的密钥与 AD RMS 群集中当前处于活动状态的 SLC 密钥匹配。 此密钥将成为 Azure Rights Management 服务的活动租户密钥。

  3. 使用 Disconnect-AipServiceService cmdlet 从 Azure Rights Management 服务断开连接:

    Disconnect-AipServiceService
    

如果以后需要确认 Azure 信息保护租户密钥在 Azure Key Vault 中使用的是哪个密钥,请使用 Get-AipServiceKeys Azure RMS cmdlet。

现在,可以转到步骤 5。激活 Azure Rights Management 服务