Schnellstart: Bereitstellen und Aktivieren eines verwalteten HSM mithilfe der Azure-Befehlszeilenschnittstelle
In dieser Schnellstartanleitung erstellen und aktivieren Sie ein verwaltetes Azure Key Vault-HSM (Hardware Security Module, Hardwaresicherheitsmodul) mit Azure CLI. Verwaltetes HSM ist ein vollständig verwalteter, hochverfügbarer, standardkonformer Einzelinstanz-Clouddienst, der es Ihnen ermöglicht, kryptografische Schlüssel für Ihre Cloudanwendungen über HSMs zu schützen, die mit FIPS 140-2 Level 3 validiert sind. Weitere Informationen zu verwalteten HSMs finden Sie in der Übersicht.
Voraussetzungen
Zur Durchführung der in diesem Artikel aufgeführten Schritte ist Folgendes erforderlich:
- Ein Abonnement für Microsoft Azure. Wenn Sie keine Version besitzen, können Sie sich für eine kostenlose Testversion registrieren.
- Azure-Befehlszeilenschnittstelle ab Version 2.25.0 Führen Sie
az --versionaus, um die Version zu ermitteln. Installations- und Upgradeinformationen finden Sie bei Bedarf unter Installieren von Azure CLI.
Azure Cloud Shell
Azure hostet Azure Cloud Shell, eine interaktive Shell-Umgebung, die Sie über Ihren Browser nutzen können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure-Diensten zu arbeiten. Sie können die vorinstallierten Befehle von Cloud Shell verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.
Starten von Azure Cloud Shell:
| Option | Beispiel/Link |
|---|---|
| Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Durch die Auswahl von Ausprobieren wird der Code oder Befehl nicht automatisch in Cloud Shell kopiert. |  |
| Rufen Sie https://shell.azure.com auf, oder klicken Sie auf die Schaltfläche Cloud Shell starten, um Cloud Shell im Browser zu öffnen. |  |
| Wählen Sie im Azure-Portal rechts oben im Menü die Schaltfläche Cloud Shell aus. |  |
So verwenden Sie Azure Cloud Shell:
Starten Sie Cloud Shell.
Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.
Fügen Sie den Code oder Befehl mit STRG+UMSCHALT+V unter Windows und Linux oder CMD+UMSCHALT+V unter macOS in die Cloud Shell-Sitzung ein.
Drücken Sie die EINGABETASTE, um den Code oder Befehl auszuführen.
Anmelden bei Azure
Geben Sie Folgendes ein, um sich über die CLI bei Azure anzumelden:
az login
Erstellen einer Ressourcengruppe
Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Im folgenden Beispiel wird eine Ressourcengruppe mit dem Namen ContosoResourceGroup am Standort eastus2 erstellt.
az group create --name "ContosoResourceGroup" --location eastus2
Erstellen eines verwalteten HSM
Die Erstellung einer Ressource vom Typ „Verwaltetes HSM“ umfasst zwei Schritte:
- Bereitstellen einer verwalteten HSM-Ressource
- Aktivieren des verwalteten HSM durch Herunterladen eines Artefakts, das als Sicherheitsdomäne bezeichnet wird.
Bereitstellen eines verwalteten HSM
Verwenden Sie den Befehl az keyvault create, um ein verwaltetes HSM zu erstellen. Dieses Skript enthält drei erforderliche Parameter: einen Ressourcengruppennamen, einen HSM-Namen und den geografischen Standort.
Für die Erstellung einer Ressource vom Typ „Verwaltetes HSM“ sind folgende Angaben erforderlich:
- Eine Ressourcengruppe, in die es unter Ihrem Abonnement eingefügt wird.
- Azure-Standort.
- Eine Liste mit den anfänglichen Administratoren.
Im folgenden Beispiel wird ein HSM mit dem Namen ContosoMHSM in der Ressourcengruppe ContosoResourceGroup am Standort USA, Osten 2 erstellt. Der derzeit angemeldete Benutzer ist der einzige Administrator und für das vorläufige Löschen gilt ein Aufbewahrungszeitraum von 7 Tagen. Das verwaltete HSM wird weiterhin berechnet, bis es in einem Zeitraum für vorläufiges Löschen endgültig gelöscht wird. Weitere Informationen finden Sie unter Vorläufiges Löschen und Löschschutz des verwalteten HSM sowie bei Hinweisen zum vorläufigen Löschen von verwaltetem HSM.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "ContosoMHSM" --resource-group "ContosoResourceGroup" --location "eastus2" --administrators $oid --retention-days 7
Hinweis
Wenn Sie Verwaltete Identitäten als erste Administratoren Ihres Verwalteten HSM verwenden, sollten Sie nach "--administrators" die OID/PrincipalID der Verwalteten Identitäten eingeben und nicht die ClientID.
Hinweis
Die Ausführung des Befehls „Erstellen“ kann einige Minuten dauern. Nach erfolgreichem Abschluss können Sie Ihr HSM aktivieren.
Warnung
Verwaltete HSM-Instanzen werden als immer in Verwendung betrachtet. Wenn Sie den Bereinigungsschutz mithilfe des Flags --enable-purge-protection aktivieren, wird Ihnen der gesamte Aufbewahrungszeitraum in Rechnung gestellt.
In der Ausgabe dieses Befehls werden die Eigenschaften des verwalteten HSM angezeigt, das Sie erstellt haben. Die zwei wichtigsten Eigenschaften sind diese:
- name: Im Beispiel lautet der Name „ContosoMHSM“. Sie verwenden diesen Namen für andere Befehle.
- hsmUri: In diesem Beispiel lautet der URI „https://contosohsm.managedhsm.azure.net.“. Von Anwendungen, die Ihr HSM über die zugehörige REST-API nutzen, muss dieser URI verwendet werden.
Ihr Azure-Konto verfügt nun über die Berechtigung zum Durchführen von Vorgängen für dieses verwaltete HSM. Derzeit ist noch keine andere Person autorisiert.
Aktivieren Ihres verwalteten HSM
Bis zur Aktivierung des HSM sind alle Datenebenenbefehle deaktiviert. Beispielsweise können Sie keine Schlüssel erstellen oder Rollen zuweisen. Nur die designierten Administratoren, die im Rahmen des Erstellungsbefehls zugewiesen wurden, können das HSM aktivieren. Zum Aktivieren des HSM muss die Sicherheitsdomäne heruntergeladen werden.
Für die HSM-Aktivierung ist Folgendes erforderlich:
- Bereitstellen von mindestens drei RSA-Schlüsselpaaren (bis zu maximal 10)
- Angeben der Mindestanzahl von Schlüsseln, die zum Entschlüsseln der Sicherheitsdomäne erforderlich sind (als Quorum bezeichnet)
Für die HSM-Aktivierung müssen zwischen drei und zehn öffentliche RSA-Schlüssel an das HSM gesendet werden. Das HSM verschlüsselt die Sicherheitsdomäne mit diesen Schlüsseln und sendet sie zurück. Nach erfolgreichem Herunterladen der Sicherheitsdomäne ist Ihr HSM verwendungsbereit. Darüber hinaus müssen Sie ein Quorum angeben. Hierbei handelt es sich um die Mindestanzahl privater Schlüssel, die zum Entschlüsseln der Sicherheitsdomäne erforderlich sind.
Im folgenden Beispiel wird gezeigt, wie Sie mithilfe von openssl drei selbstsignierte Zertifikate generieren.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Hinweis
Selbst wenn das Zertifikat „abgelaufen“ ist, kann es trotzdem verwendet werden, um die Sicherheitsdomäne wiederherzustellen.
Wichtig
Erstellen und speichern Sie die in diesem Schritt generierten RSA-Schlüsselpaare und die generierte Sicherheitsdomänendatei an einem sicheren Ort.
Verwenden Sie den Befehl az keyvault security-domain download, um die Sicherheitsdomäne herunterzuladen und Ihr verwaltetes HSM zu aktivieren. Im folgenden Beispiel werden drei RSA-Schlüsselpaare verwendet. (Für diesen Befehl werden nur öffentliche Schlüssel benötigt.) Das Quorum wird auf „2“ festgelegt:
az keyvault security-domain download --hsm-name ContosoMHSM --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file ContosoMHSM-SD.json
Speichern Sie die Sicherheitsdomänendatei und die RSA-Schlüsselpaare an einem sicheren Ort. Sie werden für die Notfallwiederherstellung sowie für die Erstellung eines weiteren verwalteten HSM mit der gleichen Sicherheitsdomäne benötigt, um die gemeinsame Nutzung von Schlüsseln zu ermöglichen.
Nach erfolgreichem Herunterladen der Sicherheitsdomäne befindet sich Ihr HSM im aktiven Zustand und ist verwendungsbereit.
Bereinigen von Ressourcen
Andere Schnellstartanleitungen und Tutorials in dieser Sammlung bauen auf dieser Schnellstartanleitung auf. Falls Sie mit weiteren Schnellstartanleitungen und Tutorials fortfahren möchten, sollten Sie die Ressourcen nicht bereinigen.
Wenn Sie die Ressourcen nicht mehr benötigen, führen Sie den Befehl az group delete aus, um die Ressourcengruppe und alle dazugehörigen Ressourcen zu löschen. Die Ressourcen können wie folgt gelöscht werden:
az group delete --name ContosoResourceGroup
Warnung
Durch das Löschen der Ressourcengruppe wird das verwaltete HSM in einen vorläufig gelöschten Zustand versetzt. Das verwaltete HSM wird weiterhin abgerechnet, bis es endgültig gelöscht wird. Siehe Vorläufiges Löschen und Löschschutz des verwalteten HSM.
Nächste Schritte
In dieser Schnellstartanleitung haben Sie ein verwaltetes HSM bereitgestellt und aktiviert. Weitere Informationen zum verwalteten HSM und zur Integration in Ihre Anwendungen finden Sie in den folgenden Artikeln.
- Verschaffen Sie sich einen Überblick über verwaltetes HSM.
- Erfahren Sie mehr über das Verwalten von Schlüsseln in einem verwalteten HSM.
- Erfahren Sie mehr über die Rollenverwaltung für ein verwaltetes HSM.
- Sehen Sie sich die bewährten Methoden für verwaltetes HSM an.