Import klíčů chráněných modulem HSM pro Key Vault (nCipher)

Upozorňující

Metoda importu klíče HSM popsaná v tomto dokumentu je zastaralá a nebude podporována po 30. červnu 2021. Funguje jenom s nCipher nShield řady HSM s firmwarem 12.40.2 nebo novějším. K importu klíčů HSM se důrazně doporučuje použít novou metodu.

Poznámka:

Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Pokud používáte Azure Key Vault, můžete při použití služby Azure Key Vault importovat nebo generovat klíče v modulech hardwarového zabezpečení (HSM), které nikdy neopustí hranice HSM. Tento scénář se často označuje jako bring your own key (použití vlastního klíče) nebo BYOK. Azure Key Vault používá k ochraně vašich klíčů nCipher nShield řady HSM (ověření FIPS 140–2 Level 2).

Tento článek vám pomůže s plánováním, generováním a přenosem vlastních klíčů chráněných HSM pro použití se službou Azure Key Vault.

Tato funkce není dostupná pro Microsoft Azure provozovanou společností 21Vianet.

Poznámka:

Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault? Úvodní kurz, který zahrnuje vytvoření trezoru klíčů pro klíče chráněné HSM, najdete v tématu Co je Azure Key Vault?

Další informace o generování a přenosu klíče chráněného HSM přes internet:

• Klíč vygenerujete z offline pracovní stanice, což snižuje prostor pro útoky.
• Klíč se zašifruje klíčem KEK (Key Exchange Key Exchange), který zůstane zašifrovaný, dokud se nepřenese do modulů HSM služby Azure Key Vault. Původní pracovní stanici opustí jenom zašifrovaná verze klíče.
• Sada nástrojů nastaví vlastnosti klíče tenanta, který sváže váš klíč se světem zabezpečení služby Azure Key Vault. Po přijetí a dešifrování klíče ve službě Azure Key Vault ho tedy můžou používat jenom tyto moduly HSM. Váš klíč nelze exportovat. Tuto vazbu vynucuje moduly hardwarového zabezpečení nCipher.
• Klíč výměny klíčů (KEK), který se používá k šifrování vašeho klíče, se vygeneruje v modulech HSM služby Azure Key Vault a není možné ho exportovat. Moduly hardwarového zabezpečení vynucují, že neexistuje žádná jasná verze klíče KEK mimo moduly hardwarového zabezpečení. Sada nástrojů navíc obsahuje ověření identity z nCipheru, že klíč KEK nelze exportovat a byl generován uvnitř originálního HSM, který byl vyroben pomocí nCipher.
• Sada nástrojů zahrnuje ověření identity z nCipheru, že svět zabezpečení služby Azure Key Vault byl také generován na originálním HSM vyrobeném pomocí nCipher. Toto ověření identity ukazuje, že Microsoft používá originální hardware.
• Microsoft používá samostatné sady KEK a samostatné světy zabezpečení v každé geografické oblasti. Toto oddělení zajišťuje, že klíč můžete použít jenom v datových centrech v oblasti, ve které jste ho zašifrovali. Klíč od evropského zákazníka například nelze použít v datových centrech v Severní Amerika n nebo Asii.

Další informace o nCipher HSM a služby Microsoft

nCipher Security, pověřená společnost Datacard, je vedoucí společností na trhu hsM pro obecné účely, což pomáhá špičkovým organizacím tím, že poskytuje důvěru, integritu a kontrolu pro důležité obchodní informace a aplikace. Kryptografická řešení nCipher zajišťují nově vznikající technologie – cloud, IoT, blockchain, digitální platby – a pomáhají splňovat nová pověření dodržování předpisů pomocí stejné osvědčené technologie, na které dnes globální organizace závisejí, aby se chránily před hrozbami pro jejich citlivá data, síťovou komunikaci a podnikovou infrastrukturu. nCipher poskytuje důvěru pro důležité obchodní aplikace, zajišťuje integritu dat a poskytuje zákazníkům úplnou kontrolu – dnes, zítra, vždy.

Společnost Microsoft spolupracovala s nCipher Security a vylepšila tak stav modulů hardwarového zabezpečení (HSM). Tato vylepšení vám umožňují získat typické výhody hostovaných služeb bez nutnosti relinquishing nad vašimi klíči. Konkrétně tato vylepšení umožňují Microsoftu spravovat moduly hardwarového zabezpečení, abyste je nemuseli spravovat. Azure Key Vault se jako cloudová služba rychle škáluje, aby splňovala špičky využití vaší organizace. Zároveň je klíč chráněný v modulech HSM Microsoftu: Zachováte kontrolu nad životním cyklem klíče, protože klíč vygenerujete a přenesete ho do modulů HSM Microsoftu.

Implementace vlastních klíčů pro Azure Key Vault

Pokud vygenerujete vlastní klíč chráněný modulem HSM a pak ho přenesete do služby Azure Key Vault, použijte následující informace a postupy. To se označuje jako scénář ByOK (Bring Your Own Key).

Požadavky pro BYOK

Seznam požadavků pro používání vlastního klíče (BYOK) pro Azure Key Vault najdete v následující tabulce.

Požadavek	Více informací
Předplatné Azure	K vytvoření služby Azure Key Vault potřebujete předplatné Azure: Registrace bezplatné zkušební verze
Úroveň služby Azure Key Vault Premium pro podporu klíčů chráněných HSM	Další informace o úrovních služeb a možnostech služby Azure Key Vault najdete na webu s cenami služby Azure Key Vault.
nCipher nShield HSMs, čipové karty a podpůrný software	Musíte mít přístup k modulu zabezpečení hardwaru nCipher a základní provozní znalosti nCipher nShield HSM. Seznam kompatibilních modelů nebo nákup HSM, pokud ho nemáte, najdete v tématu nCipher nShield Hardware Security Module .
Následující hardware a software: Offline pracovní stanice x64 s minimálním operačním systémem Windows systému Windows 7 a nCipher nShield software, který je alespoň verze 11.50. Pokud tato pracovní stanice používá Systém Windows 7, musíte nainstalovat rozhraní Microsoft .NET Framework 4.5. Pracovní stanice připojená k internetu a má nainstalovaný minimální operační systém Windows 7 a Minimální verze Azure PowerShellu 1.1.0 . USB disk nebo jiné přenosné úložné zařízení, které má alespoň 16 MB volného místa.	Zbezpečnostních Toto doporučení se ale nevynucuje prostřednictvím kódu programu. V následujících pokynech se tato pracovní stanice označuje jako odpojená pracovní stanice. Kromě toho, pokud je klíč tenanta pro produkční síť, doporučujeme použít druhou, samostatnou pracovní stanici ke stažení sady nástrojů a nahrát klíč tenanta. Pro účely testování ale můžete použít stejnou pracovní stanici jako první. V následujících pokynech se tato druhá pracovní stanice označuje jako pracovní stanice připojená k internetu.

Generování a přenos klíče do HSM služby Azure Key Vault

Pomocí následujících pěti kroků vygenerujete a přenesete svůj klíč do modulu HSM služby Azure Key Vault:

• Krok 1: Příprava pracovní stanice připojené k internetu
• Krok 2: Příprava odpojené pracovní stanice
• Krok 3: Vygenerování klíče
• Krok 4: Příprava klíče na přenos
• Krok 5: Přenos klíče do služby Azure Key Vault

Příprava pracovní stanice připojené k internetu

V tomto prvním kroku proveďte na pracovní stanici, která je připojená k internetu, následující postupy.

Instalace prostředí Azure PowerShell

Z pracovní stanice připojené k internetu stáhněte a nainstalujte modul Azure PowerShellu, který obsahuje rutiny pro správu služby Azure Key Vault. Pokyny k instalaci najdete v tématu Postup instalace a konfigurace Azure PowerShellu.

Získání ID předplatného Azure

Spusťte relaci Azure PowerShellu a přihlaste se ke svému účtu Azure pomocí následujícího příkazu:

   Connect-AzAccount

V automaticky otevřeném okně prohlížeče zadejte svoje uživatelské jméno a heslo k účtu Azure. Pak použijte příkaz Get-AzSubscription :

   Get-AzSubscription

Ve výstupu vyhledejte ID předplatného, které použijete pro Azure Key Vault. Toto ID předplatného budete potřebovat později.

Nezavírejte okno Azure PowerShellu.

Stažení sady nástrojů BYOK pro Azure Key Vault

Přejděte do webu Microsoft Download Center a stáhněte sadu nástrojů Azure Key Vault BYOK pro vaši geografickou oblast nebo instanci Azure. Pomocí následujících informací identifikujte název balíčku ke stažení a odpovídající hodnotu hash balíčku SHA-256:

---

Spojené státy:

KeyVault-BYOK-Tools-United States.zip

2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4

---

Evropa:

KeyVault-BYOK-Tools-Europe.zip

9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A

---

Asie:

KeyVault-BYOK-Tools-AsiaPacific.zip

4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5

---

Latinská Amerika:

KeyVault-BYOK-Tools-LatinAmerica.zip

E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619

---

Japonsko:

KeyVault-BYOK-Tools-Japan.zip

3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF

---

Korea:

KeyVault-BYOK-Tools-Korea.zip

71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA053444ED136F

---

Jihoafrická republika:

KeyVault-BYOK-Tools-SouthAfrica.zip

C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A

---

SAE:

KeyVault-BYOK-Tools-UAE.zip

FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3

---

Austrálie:

KeyVault-BYOK-Tools-Australia.zip

CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A

---

Azure Government:

KeyVault-BYOK-Tools-USGovCloud.zip

F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A

---

US Government DOD:

KeyVault-BYOK-Tools-USGovernmentDoD.zip

A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263

---

Kanada:

KeyVault-BYOK-Tools-Canada.zip

61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B

---

Německo:

KeyVault-BYOK-Tools-Germany.zip

5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6

---

Německo Public:

KeyVault-BYOK-Tools-Germany-Public.zip

54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29

---

Indie:

KeyVault-BYOK-Tools-India.zip

49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA7764134F61B0E0940121C436C8

---

Francie:

KeyVault-BYOK-Tools-France.zip

5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8F8FE7DF

---

Spojené království:

KeyVault-BYOK-Tools-UnitedKingdom.zip

432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849

---

Švýcarsko:

KeyVault-BYOK-Tools-Switzerland.zip

88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9

---

Pokud chcete ověřit integritu stažené sady nástrojů BYOK, použijte v relaci Azure PowerShellu rutinu Get-FileHash .

Get-FileHash KeyVault-BYOK-Tools-*.zip

Sada nástrojů zahrnuje:

• Balíček klíče výměny klíčů (KEK), který má název začínající BYOK-KEK-pkg -.
• Balíček Security World, který má název začínající BYOK-SecurityWorld-pkg-.
• Skript Pythonu s názvem verifykeypackage.py.
• Spustitelný soubor příkazového řádku s názvem KeyTransferRemote.exe a přidruženými knihovny DLL.
• Distribuovatelný balíček visual C++ s názvem vcredist_x64.exe.

Zkopírujte balíček na USB disk nebo jiné přenosné úložiště.

Příprava odpojené pracovní stanice

V tomto druhém kroku proveďte následující postupy na pracovní stanici, která není připojená k síti (internet nebo interní síť).

Příprava odpojené pracovní stanice pomocí nCipher nShield HSM

Nainstalujte na počítač s Windows software podpory nCipher a pak k němu připojte nCipher nShield HSM.

Ujistěte se, že jsou v cestě nástroje nCipher (%nfast_home%\bin). Zadejte například:

set PATH=%PATH%;"%nfast_home%\bin"

Další informace najdete v uživatelské příručce, která je součástí nShield HSM.

Instalace sady nástrojů BYOK na odpojenou pracovní stanici

Zkopírujte balíček sady nástrojů BYOK z usb disku nebo jiného přenosného úložiště a pak:

1. Extrahujte soubory ze staženého balíčku do libovolné složky.
2. Z této složky spusťte vcredist_x64.exe.
3. Postupujte podle pokynů k instalaci komponent modulu runtime Visual C++ pro Visual Studio 2013.

Vygenerování klíče

V tomto třetím kroku proveďte na odpojené pracovní stanici následující postupy. K dokončení tohoto kroku musí být hsM v režimu inicializace.

Změna režimu HSM na I

Pokud používáte nCipher nShield Edge, změňte režim: 1. Pomocí tlačítka Režim zvýrazněte požadovaný režim. 2. Během několika sekund stiskněte a podržte tlačítko Vymazat několik sekund. Pokud se režim změní, indikátor LED nového režimu přestane blikat a zůstane svítící. Stavová dioda LED může nepravidelně blikat několik sekund a pak pravidelně bliká, když je zařízení připravené. V opačném případě zařízení zůstane v aktuálním režimu s odpovídajícím indikátorem LED režimu.

Vytvoření světa zabezpečení

Spusťte příkazový řádek a spusťte nCipher new-world program.

 new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3

Tento program vytvoří soubor Security World v umístění %NFAST_KMDATA%\local\world, který odpovídá složce C:\ProgramData\nCipher\Key Management Data\local. Pro kvorum můžete použít různé hodnoty, ale v našem příkladu se zobrazí výzva k zadání tří prázdných karet a špendlíků pro každý z nich. Všechny dvě karty pak poskytují plný přístup ke světu zabezpečení. Z těchto karet se stane sada karet správce pro nový svět zabezpečení.

Poznámka:

Pokud váš HSM nepodporuje novější cypher suite DLf3072s256mRijndael, můžete nahradit --cipher-suite= DLf3072s256mRijndael --cipher-suite=DLf1024s160mRijndael.

Svět zabezpečení vytvořený s new-world.exe, který je dodáván s nCipher software verze 12.50 není kompatibilní s tímto postupem BYOK. Máte dvě možnosti:

1. Downgrade nCipher verze softwaru na 12.40.2 pro vytvoření nového světa zabezpečení.
2. Obraťte se na podporu nCipher a požádejte je o poskytnutí opravy hotfix pro verzi softwaru 12.50, která umožňuje používat verzi 12.40.2 new-world.exe, která je kompatibilní s tímto postupem BYOK.

Potom:

• Zálohujte soubor světa. Zabezpečte a chraňte světový soubor, karty správce a jejich špendlíky a ujistěte se, že nikdo nemá přístup k více než jedné kartě.

Změna režimu HSM na O

Pokud používáte nCipher nShield Edge, změňte režim: 1. Pomocí tlačítka Režim zvýrazněte požadovaný režim. 2. Během několika sekund stiskněte a podržte tlačítko Vymazat několik sekund. Pokud se režim změní, indikátor LED nového režimu přestane blikat a zůstane svítící. Stavová dioda LED může nepravidelně blikat několik sekund a pak pravidelně bliká, když je zařízení připravené. V opačném případě zařízení zůstane v aktuálním režimu s odpovídajícím indikátorem LED režimu.

Ověření staženého balíčku

Tento krok je volitelný, ale doporučuje se, abyste mohli ověřit následující:

• Klíč výměny klíčů, který je součástí sady nástrojů, byl generován z originálního nCipher nShield HSM.
• Hodnota hash security world, která je součástí sady nástrojů, byla generována v originální nCipher nShield HSM.
• Klíč výměny klíčů je neexportovatelný.

Poznámka:

Pokud chcete ověřit stažený balíček, musí být HSM připojený, zapnutý a musí mít na něm bezpečnostní svět (například ten, který jste právě vytvořili).

Ověření staženého balíčku:

1. Spuštěním skriptu verifykeypackage.py zadejte jednu z následujících možností v závislosti na vaší geografické oblasti nebo instanci Azure:

   • Pro Severní Amerika:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1
     

   • Pro Evropu:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1
     

   • Pro Asii:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1
     

   • Pro Latinskou Ameriku:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1
     

   • Pro Japonsko:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1
     

   • Pro Koreu:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1
     

   • Pro Jihoafrickou republika:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1
     

   • Pro Spojené arabské emiráty:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1
     

   • Pro Austrálii:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1
     

   • Pro Azure Government, která používá instanci Azure pro státní správu USA:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1
     

   • Pro US Government DOD:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1
     

   • Pro Kanadu:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1
     

   • Pro Německo:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
     

   • Pro německou veřejnost:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
     

   • Pro Indii:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1
     

   • Pro Francii:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1
     

   • Pro Spojené království:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1
     

   • Pro Švýcarsko:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1
     

     Tip

     Software nCipher nShield zahrnuje Python na %NFAST_HOME%\python\bin.

2. Ověřte, že se zobrazí následující kód, který označuje úspěšné ověření: Výsledek: ÚSPĚCH

Tento skript ověří řetěz podepisující osoby až po kořenový klíč nShield. Hodnota hash tohoto kořenového klíče je vložena do skriptu a její hodnota by měla být 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Tuto hodnotu můžete také potvrdit samostatně na webu nCipher.

Teď jste připraveni vytvořit nový klíč.

Vytvoření nového klíče

Vygenerujte klíč pomocí programu nCipher nShield generatekey .

Spuštěním následujícího příkazu vygenerujte klíč:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

Při spuštění tohoto příkazu postupujte podle těchto pokynů:

• Ochrana parametru musí být nastavena na modul hodnot, jak je znázorněno. Tím se vytvoří klíč chráněný modulem. Sada nástrojů BYOK nepodporuje klíče chráněné ocs.
• Nahraďte hodnotu contosokey pro identifikátor ident a plainname libovolnou řetězcovou hodnotou. Pokud chcete minimalizovat režijní náklady na správu a snížit riziko chyb, doporučujeme použít stejnou hodnotu pro oba. Hodnota identifikátoru musí obsahovat pouze čísla, pomlčky a malá písmena.
• Parametr pubexp je v tomto příkladu prázdný (výchozí), ale můžete zadat konkrétní hodnoty.

Tento příkaz vytvoří soubor tokenizovaného klíče ve složce %NFAST_KMDATA%\local s názvem začínajícím key_simple_, za kterým následuje identifikátor zadaný v příkazu. Příklad: key_simple_contosokey. Tento soubor obsahuje šifrovaný klíč.

Zálohujte tento soubor tokenizovaného klíče v bezpečném umístění.

Důležité

Při pozdějším přenosu klíče do služby Azure Key Vault nemůže Microsoft tento klíč exportovat zpět, takže je velmi důležité, abyste klíč a bezpečnostní svět bezpečně zálohovali. Pokud chcete získat pokyny a osvědčené postupy pro zálohování klíče, obraťte se na nCipher .

Teď jste připraveni přenést svůj klíč do služby Azure Key Vault.

Příprava klíče na přenos

V tomto čtvrtém kroku proveďte na odpojené pracovní stanici následující postupy.

Vytvoření kopie klíče s omezenými oprávněními

Otevřete nový příkazový řádek a změňte aktuální adresář na umístění, kam jste rozbalili soubor ZIP BYOK. Pokud chcete snížit oprávnění ke klíči, spusťte z příkazového řádku jednu z následujících akcí v závislosti na vaší geografické oblasti nebo instanci Azure:

• Pro Severní Amerika:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-
  

• Pro Evropu:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1
  

• Pro Asii:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1
  

• Pro Latinskou Ameriku:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1
  

• Pro Japonsko:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1
  

• Pro Koreu:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1
  

• Pro Jihoafrickou republika:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1
  

• Pro Spojené arabské emiráty:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1
  

• Pro Austrálii:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1
  

• Pro Azure Government, která používá instanci Azure pro státní správu USA:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1
  

• Pro US Government DOD:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1
  

• Pro Kanadu:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1
  

• Pro Německo:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
  

• Pro německou veřejnost:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
  

• Pro Indii:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1
  

• Pro Francii:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1
  

• Pro Spojené království:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1
  

• Pro Švýcarsko:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1
  

Když spustíte tento příkaz, nahraďte contosokey stejnou hodnotou, kterou jste zadali v kroku 3.5: Vytvořte nový klíč z kroku Vygenerování klíče .

Zobrazí se výzva, abyste připojili karty správce security world.

Po dokončení příkazu se zobrazí výsledek: SUCCESS a kopie klíče s omezenými oprávněními jsou v souboru s názvem key_xferacId_<contosokey>.

Seznam ACLS můžete zkontrolovat pomocí následujících příkazů pomocí nástrojů nCipher nShield:

• aclprint.py:

  "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"
  

• kmfile-dump.exe:

  "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"
  

  Při spuštění těchto příkazů nahraďte contosokey stejnou hodnotou, kterou jste zadali v kroku 3.5: Vytvořte nový klíč z kroku Vygenerování klíče .

Šifrování klíče pomocí klíče Exchange od Microsoftu

V závislosti na vaší geografické oblasti nebo instanci Azure spusťte jeden z následujících příkazů:

• Pro Severní Amerika:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Evropu:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Asii:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Latinskou Ameriku:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Japonsko:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Koreu:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Jihoafrickou republika:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Spojené arabské emiráty:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Austrálii:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Azure Government, která používá instanci Azure pro státní správu USA:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro US Government DOD:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Kanadu:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Německo:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro německou veřejnost:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Indii:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Francii:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Spojené království:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Pro Švýcarsko:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

Při spuštění tohoto příkazu postupujte podle těchto pokynů:

• Nahraďte contosokey identifikátorem, který jste použili k vygenerování klíče v kroku 3.5: Vytvořte nový klíč z kroku Vygenerování klíče .
• Id předplatného Azure, které obsahuje váš trezor klíčů, nahraďte ID předplatného Azure. Tuto hodnotu jste získali dříve v kroku 1.2: Získání ID předplatného Azure z kroku Příprava pracovní stanice připojené k internetu.
• Nahraďte ContosoFirstHSMKey popiskem, který se používá pro název výstupního souboru.

Po úspěšném dokončení se zobrazí výsledek: ÚSPĚCH a v aktuální složce je nový soubor, který má následující název: KeyTransferPackage-ContosoFirstHSMkey.byok

Zkopírujte balíček pro přenos klíčů do pracovní stanice připojené k internetu.

Pomocí usb disku nebo jiného přenosného úložiště zkopírujte výstupní soubor z předchozího kroku (KeyTransferPackage-ContosoFirstHSMkey.byok) do pracovní stanice připojené k internetu.

Přenos klíče do služby Azure Key Vault

V tomto posledním kroku na pracovní stanici připojené k internetu pomocí rutiny Add-AzKeyVaultKey nahrajte balíček pro přenos klíčů, který jste zkopírovali z odpojené pracovní stanice do modulu HSM služby Azure Key Vault:

     Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'

Pokud je nahrávání úspěšné, zobrazí se vlastnosti klíče, který jste právě přidali.

Další kroky

Teď můžete v trezoru klíčů použít tento klíč chráněný modulem HSM. Další informace najdete v tomto porovnání cen a funkcí.