Paso 2: Migración de claves protegidas por software a claves protegidas por HSM

  • Artículo

Estas instrucciones forman parte de la ruta de migración de AD RMS a Azure Information Protection y solo son aplicables si la clave de AD RMS está protegida por software y quiere migrar a Azure Information Protection con una clave de inquilino protegida por HSM en Azure Key Vault.

Si no es el escenario de configuración elegido, vuelva al Paso 4. Exportación de los datos de configuración de AD RMS e importación en Azure RMS y elija otra configuración.

Se trata de un procedimiento de cuatro partes para importar la configuración de AD RMS a Azure Information Protection, para dar lugar a la clave de inquilino de Azure Information Protection administrada personalmente (BYOK) en Azure Key Vault.

Primero debe extraer la clave del certificado de licencia de servidor (SLC) de los datos de configuración de AD RMS y transferir la clave a un HSM nCipher local, posteriormente empaquetar y transferir la clave HSM a Azure Key Vault y, a continuación, autorizar el servicio Azure Rights Management desde Azure Information Protection para acceder al almacén de claves y, a continuación, importar los datos de configuración.

Dado que la clave de inquilino de Azure Information Protection se almacenará y administrará mediante Azure Key Vault, esta parte de la migración requiere administración en Azure Key Vault, además de Azure Information Protection. Si Azure Key Vault está administrado por un administrador diferente al de su organización, debe coordinar y trabajar con ese administrador para completar estos procedimientos.

Antes de empezar, asegúrese de que la organización tiene un almacén de claves que se ha creado en Azure Key Vault y que admite claves protegidas con HSM. Aunque no es necesario, se recomienda tener un almacén de claves dedicado para Azure Information Protection. Este almacén de claves se configurará para permitir que el servicio Azure Rights Management de Azure Information Protection acceda a él, por lo que las claves que almacena este almacén de claves deben limitarse solo a las claves de Azure Information Protection.

Sugerencia

Si va a realizar los pasos de configuración de Azure Key Vault y no está familiarizado con este servicio de Azure, es posible que le resulte útil revisar primero la Introducción a Azure Key Vault.

Parte 1: Extracción de la clave SLC de los datos de configuración e importación de la clave en el HSM local

  1. Administrador de Azure Key Vault: para cada clave SLC exportada que quiera almacenar en Azure Key Vault, siga estos pasos en la sección Implementación de "Bring Your Own Key" (BYOK) para Azure Key Vault de la documentación de Azure Key Vault:

    No siga los pasos para generar la clave de inquilino, ya que ya tiene el equivalente en el archivo de datos de configuración exportado (.xml). Alternativamente, ejecutará una herramienta para extraer esta clave del archivo e importarla al HSM local. La herramienta crea dos archivos al ejecutarlo:

    • Un nuevo archivo de datos de configuración sin la clave, que está listo para importarse al inquilino de Azure Information Protection.

    • Un archivo PEM (contenedor de claves) con la clave, que está listo para importarse al HSM local.

  2. Administrador de Azure Information Protection o administrador de Azure Key Vault: en la estación de trabajo desconectada, ejecute la herramienta TpdUtil desde el kit de herramientas de migración de Azure RMS. Por ejemplo, si la herramienta está instalada en la unidad E donde copia el archivo de datos de configuración denominado ContosoTPD.xml:

    E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem

    Si tiene más de un archivo de datos de configuración de RMS, ejecute esta herramienta para el resto de estos archivos.

    Para ver la Ayuda de esta herramienta, que incluye una descripción, uso y ejemplos, ejecute TpdUtil.exe sin parámetros.

    Información de ayuda para este comando:

    • /tpd: especifica la ruta de acceso completa y el nombre del archivo de datos de configuración de AD RMS exportado. El nombre completo del parámetro es TpdFilePath.

    • /otpd: especifica el nombre del archivo de salida para el archivo de datos de configuración sin la clave. El nombre completo del parámetro es OutPfxFile. Si no especifica este parámetro, el archivo de salida tiene como valor predeterminado el nombre de archivo original con el sufijo _keyless y se almacena en la carpeta actual.

    • /opem: especifica el nombre del archivo de salida para el archivo PEM, que contiene la clave extraída. El nombre completo del parámetro es OutPemFile. Si no especifica este parámetro, el archivo de salida tiene como valor predeterminado el nombre de archivo original con el sufijo _key y se almacena en la carpeta actual.

    • Si no especifica la contraseña al ejecutar este comando (mediante el nombre completo del parámetro TpdPassword o el nombre del parámetro corto pwd), se le pedirá que lo especifique.

  3. En la misma estación de trabajo desconectada, adjunte y configure NCipher HSM, según la documentación de nCipher. Ahora puede importar la clave en el HSM nCipher adjunto mediante el siguiente comando en el que necesita sustituir su propio nombre de archivo por ContosoTPD.pem:

    generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA

    Nota:

    Si tiene más de un archivo, elija el archivo correspondiente a la clave HSM que desea usar en Azure RMS para proteger el contenido después de la migración.

    Esto genera una visualización de resultado similar a la siguiente:

    key generation parameters:

    operation Operation to perform import

    application Application simple

    verify Verify security of configuration key yes

    type Key type RSA

    pemreadfile PEM file containing RSA key e:\ContosoTPD.pem

    ident Key identifier contosobyok

    plainname Key name ContosoBYOK

    Key successfully imported.

    Path to key: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Esta salida confirma que la clave privada ahora se migra al dispositivo HSM nCipher local con una copia cifrada que se guarda en una clave (en nuestro ejemplo, "key_simple_contosobyok").

Ahora que la clave SLC se ha extraído e importado en el HSM local, está listo para empaquetar la clave protegida por HSM y transferirla a Azure Key Vault.

Importante

Cuando haya completado este paso, borre de forma segura estos archivos PEM de la estación de trabajo desconectada para asegurarse de que no pueden acceder a ellos personas no autorizadas. Por ejemplo, ejecute "cipher /w: E" para eliminar de forma segura todos los archivos de la unidad E:.

Parte 2: Empaquetado y transferencia de una clave HSM a Azure Key Vault

Administrador de Azure Key Vault: para cada clave SLC exportada que quiera almacenar en Azure Key Vault, siga estos pasos de la sección Implementación de "Bring Your Own Key" (BYOK) para Azure Key Vault de la documentación de Azure Key Vault:

No siga los pasos para generar el par de claves, puesto que ya tiene la clave. Alternativamente, ejecutará un comando para transferir esta clave (en nuestro ejemplo, el parámetro KeyIdentifier usa "contosobyok") desde el HSM local.

Antes de transferir la clave a Azure Key Vault, asegúrese de que la utilidad KeyTransferRemote.exe devuelve Result: SUCCESS al crear una copia de la clave con permisos reducidos (paso 4.1) y al cifrar la clave (paso 4.3).

Cuando la clave se carga en Azure Key Vault, verá las propiedades de la clave mostradas, lo cual incluye el identificador de clave. Será similar a https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Tome nota de esta dirección URL, porque el administrador de Azure Information Protection la necesitará para indicar al servicio Azure Rights Management de Azure Information Protection que use esta clave para su clave de inquilino.

A continuación, use el cmdlet Set-AzKeyVaultAccessPolicy para autorizar a la entidad de servicio de Azure Rights Management a acceder al almacén de claves. Los permisos necesarios son descifrar, cifrar, unwrapkey, wrapkey, comprobar y firmar.

Por ejemplo, si el almacén de claves que ha creado para Azure Information Protection se denomina contosorms-byok-kv y el grupo de recursos se denomina contosorms-byok-rg, ejecute el siguiente comando:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Ahora que ha transferido la clave HSM a Azure Key Vault, está listo para importar los datos de configuración de AD RMS.

Parte 3: Importación de los datos de configuración en Azure Information Protection

  1. Administrador de Azure Information Protection: en la estación de trabajo conectada a internet y en la sesión de PowerShell, copie los nuevos archivos de datos de configuración (.xml) que tengan la clave SLC quitada después de ejecutar la herramienta TpdUtil.

  2. Cargue cada archivo .xml mediante el cmdlet Import-AipServiceTpd. Por ejemplo, debe tener al menos un archivo adicional para importar si actualizó el clúster de AD RMS para el modo criptográfico 2.

    Para ejecutar este cmdlet, necesita la contraseña que especificó anteriormente para el archivo de datos de configuración y la dirección URL de la clave que se identificó en el paso anterior.

    Por ejemplo, con un archivo de datos de configuración de C:\contoso_keyless.xml y nuestro valor de dirección URL de clave del paso anterior, ejecute primero lo siguiente para almacenar la contraseña:

     $TPD_Password = Read-Host -AsSecureString

    Introduzca la contraseña que especificó para exportar el archivo de datos de configuración. A continuación, ejecute el siguiente comando y confirme que desea realizar esta acción:

    Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose

    Como parte de esta importación, la clave SLC se importa y se establece automáticamente como archivada.

  3. Cuando haya cargado cada archivo, ejecute Set-AipServiceKeyProperties para especificar qué clave importada coincide con la clave SLC activa actualmente en el clúster de AD RMS.

  4. Use el cmdlet Disconnect-AipServiceService para desconectarse del servicio Azure Rights Management:

    Disconnect-AipServiceService

Si más adelante necesita confirmar qué clave usa la clave de inquilino de Azure Information Protection en Azure Key Vault, use el cmdlet Get-AipServiceKeys de Azure RMS.

Ya está listo para ir al Paso 5. Activación del servicio Azure Rights Management.