مشاركة عبر

استيراد مفاتيح محمية من HSM لـ Key Vault (nCipher)

  • مقالة

تحذير

أسلوب استيراد المفتاح من HSM الموصوف في هذا المستند مهمل ولن يتم دعمه بعد 30 يونيو 2021. يعمل فقط مع عائلة nCipher nShield من HSMs مع البرامج الثابتة 12.40.2 أو الأحدث. ينصح بشدة باستخدام أسلوب جديد لاستيراد المفاتيح من HSM.

إشعار

نوصي باستخدام الوحدة النمطية Azure Az PowerShell للتفاعل مع Azure. للبدء، راجع تثبيت Azure PowerShell. لمعرفة كيفية الترحيل إلى الوحدة النمطية Az PowerShell، راجع ترحيل Azure PowerShell من AzureRM إلى Az.

لمزيد من التأكيد، عند استخدام Azure Key Vault، يمكنك استيراد أو إنشاء مفاتيح في وحدات أمان الأجهزة (HSM) التي لا تترك حدود HSM مطلقًا. وغالباً ما يشار إلى هذا السيناريو بمصطلح إنشاء مفتاحكأو BYOK. يستخدم Azure Key Vault عائلة nCipher nShield من HSM (تم التحقق من صحة FIPS 140-2 المستوى 2) لحماية مفاتيحك.

استخدم هذه المقالة لمساعدتك في التخطيط لإنشاء ثم نقل المفاتيح المحمية من HSM لاستخدامها مع Azure Key Vault.

هذه الوظيفة غير متوفرة ل Microsoft Azure المشغل بواسطة 21Vianet.

إشعار

لمزيد من المعلومات حول Azure Key Vault، راجع ما هو Azure Key Vault؟ للحصول على برنامج تعليمي للبدء، والذي يتضمن إنشاء مخزن مفتاح للمفاتيح المحمية من HSM، راجع ما هو Azure Key Vault؟.

مزيد من المعلومات حول إنشاء مفتاح محمي من HSM ونقله عبر الإنترنت:

  • إنشاء المفتاح من محطة عمل بدون اتصال بالإنترنت، مما يقلل الأجزاء المعرضة للهجوم.
  • يتم تشفير المفتاح باستخدام مفتاح Exchange (KEK)، والذي يبقى مشفرا حتى يتم نقله إلى Azure Key Vault HSMs. فقط النسخة المشفرة من المفتاح تترك محطة العمل الأصلية.
  • تعمل مجموعة الأدوات على تعيين خصائص على مفتاح المستأجر الذي يربط المفتاح إلى عالم أمان Azure Key Vault. حتى بعدما يتلقى HSMs Azure Key Vault ويفك تشفير المفتاح، فيمكن فقط لتلك HSMs استخدامه. لا يمكن تصدير المفتاح. يتم فرض هذا الربط من خلال nCipher HSMs.
  • يتم إنشاء Key Exchange Key (KEK) المستخدم لتشفير المفتاح داخل HSMs Azure Key Vault وهو غير قابل للتصدير. تفرض HSMs أنه لا يمكن أن يكون هناك إصدار واضح من KEK خارج HSMs. بالإضافة إلى ذلك، تتضمن مجموعة الأدوات تصديقًا من nCipher بأن KEK غير قابل للتصدير وتم إنشاؤه داخل HSM أصلي تم تصنيعه بواسطة nCipher.
  • تتضمن مجموعة الأدوات تصديقًا من nCipher بأن عالم أمان Azure Key Vault تم إنشاؤه أيضًا على HSM أصلي تم تصنيعه بواسطة nCipher. يوضح هذا التصديق أن Microsoft تستخدم الأجهزة الأصلية.
  • تستخدم Microsoft KEKs منفصلة وعوالم أمان منفصلة في كل منطقة جغرافية. يضمن هذا الفصل إمكانية استخدام المفتاح فقط في مراكز البيانات في المنطقة التي قمت بتشفيره فيها. على سبيل المثال، لا يمكن استخدام مفتاح من عميل أوروبي في مراكز البيانات في أمريكا الشمالية أو آسيا.

مزيد من المعلومات حول nCipher HSMs وخدمات Microsoft

nCipher Security، وهي شركة تابعة لـ Entrust Datacard، هي شركة رائدة في سوق HSM للأغراض العامة، حيث تعزز المؤسسات الرائدة عالميًا من خلال تقديم الثقة والنزاهة والتحكم في المعلومات والتطبيقات الحيوية لأعمالها. تعمل حلول التشفير من nCipher على تأمين التكنولوجيات الناشئة، مثل السحابة وIoT وblockchain وعمليات الدفع الرقمية، وتساعد على تلبية متطلبات الامتثال الجديدة، باستخدام التكنولوجيا المثبتة ذاتها التي تعتمد عليها المؤسسات العالمية اليوم للحماية من التهديدات لبياناتها الحساسة واتصالاتها الشبكية والبنية الأساسية للمؤسسات. يوفر nCipher الثقة للتطبيقات الهامة للأعمال، ما يضمن سلامة البيانات ويضع العملاء في تحكم كامل - اليوم، غدا، دائما.

تعاونت Microsoft مع nCipher Security لتحسين أحدث HSMs. تمكنك هذه التحسينات من الحصول على المزايا النموذجية للخدمات المستضافة دون التخلي عن التحكم في المفاتيح. وبوجه خاص، تسمح هذه التحسينات لـ Microsoft بإدارة HSMs بحيث لا تُضطر أنت لذلك. كخدمة سحابة، يتدرج Azure Key Vault في غضون مهلة قصيرة لتلبية طفرات استخدام مؤسستك. في الوقت ذاته، تتم حماية المفتاح داخل HSMs في Microsoft: يمكنك الاحتفاظ بالتحكم في دورة حياة المفتاح لأنك تقوم بإنشاء المفتاح ونقله إلى HSMs في Microsoft.

تنفيذ إنشاء مفتاحك (BYOK) لخدمة Azure Key Vault

استخدم المعلومات والإجراءات التالية إذا كنت ستنشئ مفتاحا محميا ب HSM ثم تنقله إلى Azure Key Vault. يعرف هذا باسم سيناريو إحضار المفتاح الخاص بك (BYOK).

المتطلبات الأساسية لـ BYOK

راجع الجدول التالي للحصول على قائمة من المتطلبات الأساسية لجلب المفتاح الخاص (BYOK) لـ Azure Key Vault.

المتطلبات مزيد من المعلومات
اشتراك في Azure لإنشاء Azure Key Vault، ستحتاج إلى اشتراك Azure: تسجيل الاشتراك في التجربة المجانية
مستوى الخدمة Premium من Azure Key Vault لدعم المفاتيح المحمية من HSM لمزيد من المعلومات حول مستويات الخدمة والإمكانيات في Azure Key Vault، راجع موقع الويب Azure Key Vault Pricing.
HSMs nCipher nShield والبطاقات الذكية وبرامج الدعم يجب أن يكون لديك حق الوصول إلى وحدة أمان أجهزة nCipher والمعرفة التشغيلية الأساسية لـ HSMs nCipher nShield. راجع وحدة أمان أجهزة nCipher nShield لقائمة النماذج المتوافقة، أو لشراء HSM إذا لم يكن لديك واحد.
الأجهزة والبرامج التالية:
  1. محطة عمل x64 بدون اتصال بالإنترنت مع الحد الأدنى من نظام التشغيل Windows أي Windows 7 وبرنامج nCipher nShield بالإصدار 11.50 على الأقل.

    إذا كانت محطة العمل هذه تعمل بنظام التشغيل Windows 7، فيجب تثبيت Microsoft .NET Framework 4.5.
  2. محطة عمل متصلة بالإنترنت مع الحد الأدنى من نظام التشغيل Windows أي Windows 7 وتثبيت الإصدار 1.1.0 على الأقل من Azure PowerShell.
  3. محرك أقراص USB أو جهاز تخزين محمول آخر يحتوي على مساحة خالية تبلغ 16 ميغابايت على الأقل.
 لأسباب أمنية، نوصي بعدم توصيل محطة العمل الأولى بشبكة. ومع ذلك، لا يتم تنفيذ هذه التوصية برمجيًا.

في الإرشادات التالية، يُشار إلى محطة العمل هذه بمحطة العمل المفصولة.


بالإضافة إلى ذلك، إذا كان مفتاح المستأجر لشبكة إنتاج، فنوصي باستخدام محطة عمل منفصلة ثانية لتنزيل مجموعة الأدوات، وتحميل مفتاح المستأجر. ولكن لأغراض الاختبار، يمكنك استخدام محطة العمل ذاتها مثل محطة العمل الأولى.

في الإرشادات التالية، تتم الإشارة إلى محطة العمل الثانية هذه على أنها محطة العمل المتصلة بالإنترنت.

إنشاء المفتاح ونقله إلى HSM Azure Key Vault

ستستخدم الخطوات الخمس التالية لإنشاء المفتاح ونقله إلى Azure Key Vault HSM:

إعداد محطة العمل المتصلة بالإنترنت

لهذه الخطوة الأولى، قم بالإجراءات التالية على محطة العمل المتصلة بالإنترنت.

تثبيت برنامج Azure PowerShell

من محطة العمل المتصلة بالإنترنت، قم بتنزيل وتثبيت وحدة Azure PowerShell التي تتضمن cmdlets لإدارة Azure Key Vault. اتبع إرشادات التثبيت، راجع كيفية تثبيت وتكوين Azure PowerShell.

الحصول على معرف اشتراك Azure

ابدأ جلسة عمل Azure PowerShell ثم قم بتسجيل الدخول إلى حساب Azure باستخدام الأمر التالي:

   Connect-AzAccount

في نافذة المستعرض المنبثقة، أدخل اسم مستخدم وكلمة مرور حساب Azure. ثم استخدم الأمر Get-AzSubscription:

   Get-AzSubscription

من الإخراج، حدد موقع معرف الاشتراك الذي ستستخدمه في Azure Key Vault. ستحتاج إلى معرف الاشتراك هذا لاحقا.

لا تقم بإغلاق نافذة Azure PowerShell.

تنزيل مجموعة أدوات BYOK ل Azure Key Vault

انتقل إلى Microsoft Download Center وقم بتنزيل مجموعة أدوات Azure Key Vault BYOK لمنطقتك الجغرافية أو مثيل Azure. استخدم المعلومات التالية لتعريف اسم الحزمة لتحميلها وتجزئة حزمة SHA-256 المطابقة لها:

الولايات المتحدة الأمريكية:

KeyVault-BYOK-Tools-UnitedStates.zip

2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4

أوروبا:

KeyVault-BYOK-Tools-Europe.zip

9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A

آسيا:

KeyVault-BYOK-Tools-AsiaPacific.zip

4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5

أمريكا اللاتينية:

KeyVault-BYOK-Tools-LatinAmerica.zip

E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619

اليابان:

KeyVault-BYOK-Tools-Japan.zip

3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF

كوريا:

KeyVault-BYOK-Tools-Korea.zip

71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F

جنوب إفريقيا:

KeyVault-BYOK-Tools-SouthAfrica.zip

C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A

الإمارات العربية المتحدة:

KeyVault-BYOK-Tools-UAE.zip

FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3

أستراليا:

KeyVault-BYOK-Tools-Australia.zip

CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A

Azure Government:

KeyVault-BYOK-Tools-USGovCloud.zip

F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A

حكومة الولايات المتحدة الأمريكية DOD:

KeyVault-BYOK-Tools-USGovernmentDoD.zip

A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263

كندا:

KeyVault-BYOK-Tools-Canada.zip

61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B

ألمانيا:

KeyVault-BYOK-Tools-Germany.zip

5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6

ألمانيا العامة:

KeyVault-BYOK-Tools-Germany-Public.zip

54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29

الهند:

KeyVault-BYOK-Tools-India.zip

49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8

فرنسا:

KeyVault-BYOK-Tools-France.zip

5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF

المملكة المتحدة:

KeyVault-BYOK-Tools-UnitedKingdom.zip

432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849

سويسرا:

KeyVault-BYOK-Tools-Switzerland.zip

88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9

للتحقق من سلامة مجموعة أدوات BYOK التي تم تنزيلها، من جلسة عمل Azure PowerShell، استخدم cmdlet Get-FileHash.

Get-FileHash KeyVault-BYOK-Tools-*.zip

تتضمن مجموعة الأدوات ما يلي:

  • حزمة Key Exchange Key (KEK) التي لها اسم يبدأ بـ BYOK-KEK-pkg-.
  • حزمة Security World التي لها اسم يبدأ بـ BYOK-SecurityWorld-pkg-.
  • برنامج Python النصي باسم verifykeypackage.py.
  • ملف قابل لتنفيذ سطر الأوامر باسم KeyTransferRemote.exe وملفات DLLs المرتبطة.
  • Visual C++ Redistributable Package باسم vcredist_x64.exe.

انسخ الحزمة إلى محرك أقراص USB أو مساحة تخزين محمول أخرى.

إعداد محطة العمل غير المتصلة

لهذه الخطوة الثانية، قم بالإجراءات التالية على محطة العمل غير المتصلة بشبكة (إما بالإنترنت أو الشبكة الداخلية).

إعداد محطة العمل غير المتصلة مع nCipher nShield HSM

قم بتثبيت برنامج دعم nCipher على كمبيوتر يعمل بنظام التشغيل Windows ثم قم بإرفاق HSM nCipher nShield إلى ذلك الكمبيوتر.

تأكد من أن أدوات nCipher في المسار (%nfast_home%\bin). على سبيل المثال، اكتب :

set PATH=%PATH%;"%nfast_home%\bin"

لمزيد من المعلومات، راجع دليل المستخدم المضمن في HSM nShield.

تثبيت مجموعة أدوات BYOK على محطة العمل غير المتصلة

انسخ حزمة مجموعة أدوات BYOK من محرك أقراص USB أو تخزين محمول آخر، ثم:

  1. استخراج الملفات من الحزمة التي تم تنزيلها في أي مجلد.
  2. من هذا المجلد، قم بتشغيل vcredist_x64.exe.
  3. اتبع الإرشادات لتثبيت مكونات وقت التشغيل Visual C++ لـ Visual Studio 2013.

إنشاء مفتاحك

لهذه الخطوة الثالثة، قم بالإجراءات التالية على محطة العمل المفصولة. لإكمال هذه الخطوة يجب أن يكون HSM في وضع التهيئة.

تغيير وضع HSM إلى "I"

إذا كنت تستخدم nCipher nShield Edge، لتغيير الوضع: 1. استخدم الزر "Mode" لتمييز الوضع المطلوب. 2. في غضون ثوانٍ قليلة، اضغط مع الاستمرار على الزر "Clear" لبضع ثوانٍ. إذا تغير الوضع، يتوقف مصباح LED الخاص بالوضع الجديد عن الوميض ويظل مضاءً. قد يومض مصباح LED الحالة بشكل غير منتظم لبضع ثوانٍ ثم يومض بانتظام عندما يكون الجهاز جاهزًا. وإلا، يبقى الجهاز في الوضع الحالي، مع إضاءة وضع LED المناسب.

إنشاء عالم أمان

قم بتشغيل موجه الأوامر وتشغيل برنامج nCipher new-world.

 new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3

ينشئ هذا البرنامج ملف Security World في %NFAST_KMDATA%\local\world، والذي يتوافق مع C:\ProgramData\nCipher\Key Management Data\local folder. يمكنك استخدام قيم مختلفة للحصص ولكن في مثالنا، تتم مطالبتك بإدخال ثلاث بطاقات فارغة ودبابيس لكل واحدة. ثم، تعطي أي بطاقتين الوصول الكامل إلى عالم الأمان. تصبح هذه البطاقات Administrator Card Set لعالم الأمان الجديد.

إشعار

إذا كان HSM الخاص بك لا يدعم مجموعة cypher الأحدث DLf3072s256mRijndael، يمكنك استبدال --cipher-suite= DLf3072s256mRijndael ب --cipher-suite=DLf1024s160mRijndael.

عالم الأمان الذي تم إنشاؤه باستخدام new-world.exe الذي يتم شحنه مع إصدار برنامج nCipher 12.50 غير متوافق مع إجراء BYOK هذا. يتوفر الخياران التاليان:

  1. إرجاع إصدار برنامج nCipher إلى 12.40.2 لإنشاء عالم أمان جديد.
  2. اتصل بدعم nCipher واطلب منهم توفير إصلاح عاجل لإصدار برنامج 12.50 والذي يسمح لك باستخدام إصدار 12.40.2 من new-world.exe المتوافق مع إجراء BYOK هذا.

ثم:

  • نسخ ملف العالم نسخًا احتياطيًا. تأمين وحماية ملف العالم وAdministrator Cards ودبابيسها، وتأكد من عدم وصول أي شخص إلى أكثر من بطاقة واحدة.

تغيير وضع HSM إلى "O"

إذا كنت تستخدم nCipher nShield Edge، لتغيير الوضع: 1. استخدم الزر "Mode" لتمييز الوضع المطلوب. 2. في غضون ثوانٍ قليلة، اضغط مع الاستمرار على الزر "Clear" لبضع ثوانٍ. إذا تغير الوضع، يتوقف مصباح LED الخاص بالوضع الجديد عن الوميض ويظل مضاءً. قد يومض مصباح LED الحالة بشكل غير منتظم لبضع ثوانٍ ثم يومض بانتظام عندما يكون الجهاز جاهزًا. وإلا، يبقى الجهاز في الوضع الحالي، مع إضاءة وضع LED المناسب.

التحقق من صحة الحزمة التي تم تنزيلها

هذه الخطوة اختيارية ولكن يوصى بها بحيث يمكنك التحقق مما يلي:

  • Key Exchange Key الذي يتم تضمينه في مجموعة الأدوات التي تم إنشاؤها من HSM nCipher nShield أصلي.
  • تم إنشاء تجزئة Security World المضمنة في مجموعة الأدوات في HSM nCipher nShield أصلي.
  • Key Exchange Key غير قابل للتصدير.

إشعار

للتحقق من صحة الحزمة التي تم تنزيلها، يجب أن يكون HSM متصلًا ومشغلًا، ويجب أن يكون عليه عالم أمان (مثل العالم الذي أنشأته للتو).

للتحقق من صحة الحزمة التي تم تنزيلها:

  1. قم بتشغيل البرنامج النصي verifykeypackage.py من خلال كتابة أحد ما يلي، استنادًا إلى المنطقة الجغرافية أو مثيل Azure:

    • بالنسبة لأمريكا الشمالية:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1

    • بالنسبة لأوروبا:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1

    • بالنسبة لآسيا:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1

    • بالنسبة لأمريكا اللاتينية:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1

    • بالنسبة لليابان:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1

    • بالنسبة لكوريا:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1

    • بالنسبة لجنوب إفريقيا:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1

    • بالنسبة للإمارات العربية المتحدة:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1

    • بالنسبة لأستراليا:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1

    • بالنسبة لـ Azure Government، والذي يستخدم مثيل الحكومة الأمريكية لـ Azure:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1

    • بالنسبة إلى حكومة الولايات المتحدة DOD:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1

    • بالنسبة لكندا:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1

    • بالنسبة لألمانيا:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1

    • بالنسبة إلى ألمانيا العامة:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1

    • بالنسبة للهند:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1

    • بالنسبة لفرنسا:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1

    • بالنسبة للمملكة المتحدة:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1

    • بالنسبة لسويسرا:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1

      تلميح

      يتضمن برنامج nCipher nShield Python في ٪NFAST_HOME٪\python\bin

  2. تأكد من أن تطلع على ما يلي، مما يشير إلى التحقق من صحة Result: SUCCESS

يعمل هذا البرنامج النصي على التحقق من صحة سلسلة الموقع حتى مفتاح جذر nShield. يتم تضمين تجزئة مفتاح الجذر هذا في البرنامج النصي ويجب أن تكون قيمته 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. يمكنك أيضًا تأكيد هذه القيمة بشكل منفصل عن طريق زيارة موقع ويب nCipher.

أنت الآن مستعد لإنشاء مفتاح جديد.

إنشاء مفتاح جديد

قم بإنشاء مفتاح باستخدام برنامج generatekey من nCipher nShield.

استخدم الأمر التالي لتشغيل التطبيق:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

عند تشغيل هذا الأمر، استخدم هذه الإرشادات:

  • يجب تعيين المعلمة protect إلى القيمة module، كما هو موضح. يؤدي هذا إلى إنشاء مفتاح محمي من الوحدة النمطية. لا تدعم مجموعة أدوات BYOK المفاتيح المحمية من OCS.
  • استبدل قيمة contosokey لـ ident وplainname بأي قيمة سلسلة. لتقليل المصاريف الإدارية الإضافية وتقليل مخاطر الأخطاء، نوصي باستخدام القيمة ذاتها لكليهما. يجب ألا تحتوي القيمة ident إلا على أرقام أو شرطات أو أحرف صغيرة.
  • يتم ترك pubexp فارغة (افتراضيًا) في هذا المثال، ولكن يمكنك تحديد قيم معينة.

ينشئ هذا الأمر ملف Tokenized Key في %NFAST_KMDATA%\local folder مع اسم يبدأ بـ key_simple_، متبوعًا بـ ident المحددة في الأمر. على سبيل المثال: key_simple_contosokey. يحتوي هذا الملف على مفتاح مشفر.

قم بنسخ نسخة احتياطية من Tokenized Key File في موقع آمن.

هام

عند نقل المفتاح إلى Azure Key Vault لاحقًا، لا يمكن لـ Microsoft تصدير هذا المفتاح إليك مرة أخرى، لذا يصبح من المهم للغاية نسخ النسخة احتياطية من المفتاح وعالم الأمان بشكل آمن. اتصل بـ nCipher للحصول على إرشادات وأفضل الممارسات لنسخ نسخ احتياطية من المفتاح.

أنت الآن على استعداد لنقل المفتاح إلى Azure Key Vault.

إعداد مفتاحك للنقل

لهذه الخطوة الرابعة، قم بالإجراءات التالية على محطة العمل المفصولة.

إنشاء نسخة من المفتاح الخاص بك بأذونات مخفضة

افتح موجه أوامر جديد ثم قم بتغيير الدليل الحالي إلى الموقع حيث قمت بفك الملف المضغوط BYOK. لتقليل الأذونات على المفتاح، من موجه الأوامر، قم بتشغيل أحد ما يلي، استنادًا إلى منطقتك الجغرافية أو مثيل Azure:

  • بالنسبة لأمريكا الشمالية:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-

  • بالنسبة لأوروبا:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1

  • بالنسبة لآسيا:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1

  • بالنسبة لأمريكا اللاتينية:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1

  • بالنسبة لليابان:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1

  • بالنسبة لكوريا:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1

  • بالنسبة لجنوب إفريقيا:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1

  • بالنسبة للإمارات العربية المتحدة:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1

  • بالنسبة لأستراليا:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1

  • بالنسبة لـ Azure Government، والذي يستخدم مثيل الحكومة الأمريكية لـ Azure:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1

  • بالنسبة إلى حكومة الولايات المتحدة DOD:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1

  • بالنسبة لكندا:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1

  • بالنسبة لألمانيا:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1

  • بالنسبة إلى ألمانيا العامة:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1

  • بالنسبة للهند:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1

  • بالنسبة لفرنسا:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1

  • بالنسبة للمملكة المتحدة:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1

  • بالنسبة لسويسرا:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1

عند تشغيل هذا الأمر، استبدل contosokey بالقيمة ذاتها المحددة في الخطوة 3.5: إنشاء مفتاح جديد من الخطوة إنشاء المفتاح.

يُطلب منك توصيل بطاقات إدارة عالم الأمان.

عند اكتمال الأمر، ستظهر Result: SUCCESS وستوجد نسخة المفتاح بالأذونات المخفضة في الملف المسمى key_xferacId_<contosokey>.

يمكنك فحص ACLS باستخدام الأوامر التالية باستخدام الأدوات المساعدة nCipher nShield:

  • aclprint.py:

    "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"

  • kmfile-dump.exe:

    "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"

    عند تشغيل هذه الأوامر، استبدل contosokey بالقيمة ذاتها المحددة في الخطوة 3.5: إنشاء مفتاح جديد من الخطوة إنشاء المفتاح.

تشفير المفتاح الخاص بك باستخدام مفتاح Exchange Key من Microsoft

قم بتشغيل أحد الأوامر التالية، استنادًا إلى منطقتك الجغرافية أو مثيل Azure:

  • بالنسبة لأمريكا الشمالية:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة لأوروبا:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة لآسيا:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة لأمريكا اللاتينية:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة لليابان:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة لكوريا:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة لجنوب إفريقيا:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة للإمارات العربية المتحدة:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة لأستراليا:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة لـ Azure Government، والذي يستخدم مثيل الحكومة الأمريكية لـ Azure:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة إلى حكومة الولايات المتحدة DOD:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة لكندا:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة لألمانيا:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة إلى ألمانيا العامة:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة للهند:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة لفرنسا:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة للمملكة المتحدة:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • بالنسبة لسويسرا:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

عند تشغيل هذا الأمر، استخدم هذه الإرشادات:

  • استبدل contosokey بالمعرف الذي استخدمته لإنشاء المفتاح في الخطوة 3.5: إنشاء مفتاح جديد من الخطوة إنشاء المفتاح.
  • استبدل SubscriptionID بمعرف اشتراك Azure الذي يحتوي على key vault. استردت هذه القيمة مسبقًا في الخطوة 1.2: الحصول على معرف اشتراك Azure من الخطوة إعداد محطة العمل المتصلة بالإنترنت.
  • استبدل ContosoFirstHSMKey بتسمية مستخدمة لاسم ملف الإخراج.

عند إكمال هذا بنجاح، فإنه يعرض Result: SUCCESS وهناك ملف جديد في المجلد الحالي الذي يحتوي على الاسم التالي: KeyTransferPackage-ContosoFirstHSMkey.byok

نسخ حزمة نقل المفاتيح إلى محطة العمل المتصلة بالإنترنت

استخدم محرك أقراص USB أو مساحة تخزين محمولة أخرى لنسخ ملف الإخراج من الخطوة السابقة (KeyTransferPackage-ContosoFirstHSMkey.byok) إلى محطة العمل المتصلة بالإنترنت.

نقل مفتاحك إلى Azure Key Vault

لهذه الخطوة الأخيرة، على محطة العمل المتصلة بالإنترنت، استخدم cmdlet Add-AzKeyVaultKey لتحميل حزمة نقل المفاتيح التي نسختها من محطة العمل المفصولة إلى HSM Azure Key Vault:

     Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'

إذا كان التحميل ناجحًا، فستلاحظ خصائص المفتاح الذي أضفته للتو.

الخطوات التالية

يمكنك الآن استخدام هذا المفتاح المحمي بواسطة HSM في خزنة المفاتيح الخاصة بك. لمزيد من المعلومات، راجع مقارنة الأسعار والميزات هذه.