Impor kunci yang dilindungi HSM untuk Vault Kunci (nCipher)
Peringatan
Metode impor kunci HSM yang dijelaskan dalam dokumen ini ditolak dan tidak akan didukung setelah 30 Juni 2021. Ini hanya berfungsi dengan keluarga HSM nCipher nShield dengan firmware 12.40.2 atau yang lebih baru. Menggunakan metode baru untuk mengimpor HSM-keys sangat disarankan.
Catatan
Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.
Untuk jaminan tambahan, ketika anda menggunakan Azure Key Vault, Anda dapat mengimpor atau menghasilkan kunci dari modul keamanan perangkat keras (HSM) yang tidak pernah meninggalkan batas HSM. Skenario ini sering disebut sebagai membawa kunci Anda sendiri, atau BYOK. Azure Key Vault menggunakan keluarga HSM nCipher nShield (divalidasi FIPS 140-2 Level 2) untuk melindungi kunci Anda.
Gunakan artikel ini untuk membantu Anda merencanakan, menghasilkan, lalu mentransfer kunci yang dilindungi HSM Anda sendiri untuk digunakan dengan Azure Key Vault.
Fungsionalitas ini tidak tersedia untuk Microsoft Azure yang dioperasikan oleh 21Vianet.
Catatan
Untuk informasi selengkapnya tentang Azure Key Vault, lihat Apa itu Azure Key Vault? Untuk tutorial memulai, termasuk pembuatan brankas kunci untuk kunci yang dilindungi HSM, lihat Apa itu Azure Key Vault?.
Informasi lebih lanjut tentang menghasilkan dan mentransfer kunci yang dilindungi HSM melalui Internet:
- Anda menghasilkan kunci dari stasiun kerja offline, yang mengurangi permukaan serangan.
- Kunci dienkripsi dengan Kunci Pertukaran Kunci (KEK), yang tetap dienkripsi hingga ditransfer ke HSM Azure Key Vault. Hanya versi terenkripsi kunci Anda yang meninggalkan stasiun kerja asli.
- Toolset menetapkan properti pada kunci penyewa Anda yang mengikat kunci Anda ke dunia keamanan Azure Key Vault. Jadi setelah HSM Azure Key Vault menerima dan mendekripsi kunci Anda, hanya HSM ini yang dapat menggunakannya. Kunci Anda tak bisa diekspor. Pengikatan ini diberlakukan oleh nCipher HSM.
- Kunci Exchange Utama (KEK) yang digunakan untuk mengenkripsi kunci Anda dihasilkan di dalam HSM Azure Key Vault dan tidak dapat diekspor. HSM memberlakukan bahwa tidak ada versi yang jelas dari KEK di luar HSM. Selain itu, toolset termasuk pengesahan dari nCipher bahwa KEK tidak dapat diekspor dan dihasilkan di dalam HSM asli yang diproduksi oleh nCipher.
- Toolset ini mencakup pengesahan dari nCipher bahwa dunia keamanan Azure Key Vault juga dihasilkan pada HSM asli yang diproduksi oleh nCipher. Pengesahan ini menunjukkan bahwa Microsoft menggunakan perangkat keras asli.
- Microsoft menggunakan KEK terpisah dan Dunia Keamanan terpisah di setiap wilayah geografis. Pemisahan ini memastikan bahwa kunci Anda hanya dapat digunakan di pusat data di wilayah tempat Anda mengenkripsinya. Misalnya, kunci dari pelanggan Eropa tidak dapat digunakan di pusat data di Amerika Utara atau Asia.
Informasi selengkapnya tentang HSM nCipher dan layanan Microsoft
nCipher Security, sebuah perusahaan Datacard Terpercaya, adalah pemimpin dalam tujuan umum pasar HSM, memberdayakan organisasi terkemuka di dunia dengan memberikan kepercayaan, integritas, dan kontrol kepada informasi dan aplikasi penting bisnis mereka. Solusi kriptografi nCipher mengamankan teknologi yang muncul - cloud, IoT, blockchain, pembayaran digital - dan membantu memenuhi mandat kepatuhan baru, menggunakan teknologi terbukti yang sama yang diandalkan organisasi global saat ini untuk melindungi dari ancaman terhadap data sensitif, komunikasi jaringan, dan infrastruktur perusahaan mereka. nCipher memberikan kepercayaan untuk aplikasi penting bisnis, memastikan integritas data dan menempatkan pelanggan dalam kontrol penuh - hari ini, besok, selalu.
Microsoft telah berkolaborasi dengan nCipher Security untuk meningkatkan status seni untuk HSM. Penyempurnaan ini memungkinkan Anda untuk mendapatkan manfaat khas dari layanan yang dihosting tanpa melepaskan kontrol atas kunci Anda. Secara khusus, penyempurnaan ini memungkinkan Microsoft mengelola HSM sehingga Anda tidak perlu melakukannya. Sebagai layanan cloud, Azure Key Vault meningkat dalam waktu singkat untuk memenuhi lonjakan penggunaan organisasi Anda. Pada saat yang sama, kunci Anda dilindungi di dalam HSM Microsoft: Anda mempertahankan kontrol atas siklus hidup utama karena Anda menghasilkan kunci dan mentransfernya ke HSM Microsoft.
Menerapkan membawa kunci Anda sendiri (Bring Your Own Key) untuk Azure Key Vault
Gunakan informasi dan prosedur berikut jika Anda akan membuat kunci yang dilindungi HSM Anda sendiri lalu mentransfernya ke Azure Key Vault. Ini dikenal sebagai skenario Bring Your Own Key (BYOK).
Prasyarat untuk BYOK
Lihat tabel berikut untuk daftar prasyarat untuk membawa kunci Anda sendiri (BYOK) untuk Azure Key Vault.
Persyaratan | Informasi selengkapnya |
---|---|
Langganan Ke Azure | Untuk membuat Azure Key Vault, Anda memerlukan langganan Azure: Mendaftar untuk uji coba gratis |
Tingkat layanan Azure Key Vault Premium untuk mendukung kunci yang dilindungi HSM | Untuk informasi selengkapnya tentang tingkat layanan dan kemampuan untuk Azure Key Vault, lihat situs web Harga Vault Kunci Azure. |
nCipher nShield, kartu pintar, dan perangkat lunak pendukung | Anda harus memiliki akses ke Modul Keamanan Perangkat Keras nCipher dan pengetahuan operasional dasar HSM nCipher nShield. Lihat Modul Keamanan Perangkat Keras nCipher nShield untuk daftar model yang kompatibel, atau untuk membeli HSM jika Anda tidak memilikinya. |
Perangkat keras dan perangkat lunak berikut ini:
|
Untuk alasan keamanan, kami menyarankan agar workstation pertama tidak terhubung ke jaringan. Namun, rekomendasi ini tidak diberlakukan secara terprogram. Dalam instruksi yang mengikuti, stasiun kerja ini disebut sebagai stasiun kerja yang terputus. Selain itu, jika kunci penyewa Anda adalah untuk jaringan produksi, kami sarankan Anda menggunakan workstation terpisah kedua untuk mengunduh toolset, dan mengunggah kunci penyewa. Tetapi untuk tujuan pengujian, Anda dapat menggunakan stasiun kerja yang sama dengan yang pertama. Dalam instruksi yang mengikuti, stasiun kerja kedua ini disebut sebagai stasiun kerja yang terhubung dengan Internet. |
Hasilkan dan transfer kunci Anda ke Azure Key Vault HSM
Anda akan menggunakan lima langkah berikut untuk membuat dan mentransfer kunci Anda ke HSM Azure Key Vault:
- Langkah 1: Siapkan stasiun kerja yang terhubung ke Internet
- Langkah 2: Siapkan stasiun kerja yang terhubung ke Internet
- Langkah 3: Hasilkan kunci Anda
- Langkah 4: Siapkan kunci Anda untuk transfer
- Langkah 5: Transfer kunci Anda ke Azure Key Vault
Menyiapkan stasiun kerja yang terhubung ke Internet
Untuk langkah pertama ini, lakukan prosedur berikut di workstation Anda yang terhubung ke Internet.
Menginstal Azure PowerShell
Dari workstation yang terhubung ke Internet, unduh dan pasang modul Azure PowerShell yang menyertakan cmdlet untuk mengelola Azure Key Vault. Untuk petunjuk penginstalan, lihat Cara memasang dan mengonfigurasi Azure PowerShell.
Dapatkan ID Langganan Azure Anda
Mulai sesi Azure PowerShell dan masuk ke akun Azure Anda dengan menggunakan perintah berikut ini:
Connect-AzAccount
Di jendela browser pop-up, masukkan nama pengguna dan kata sandi akun Azure Anda. Kemudian, gunakan perintah Get-AzSubscription:
Get-AzSubscription
Dari output, temukan ID untuk langganan yang akan Anda gunakan untuk Azure Key Vault. Anda akan memerlukan ID langganan ini nanti.
Jangan tutup jendela Azure PowerShell.
Mengunduh toolset BYOK untuk Azure Key Vault
Buka Pusat Unduhan Microsoft dan unduh toolset Azure Key Vault BYOK untuk wilayah geografis atau instans Azure Anda. Gunakan informasi berikut untuk mengidentifikasi nama paket yang akan diunduh dan hash paket SHA-256 yang sesuai:
Amerika Serikat:
KeyVault-BYOK-Tools-UnitedStates.zip
2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4
Eropa:
KeyVault-BYOK-Tools-UnitedStates.zip
9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A
Asia:
KeyVault-BYOK-Tools-AsiaPacific.zip
4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5
Amerika Latin:
KeyVault-BYOK-Tools-LatinAmerica.zip
E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922D1B01A4FACB619
Jepang:
KeyVault-BYOK-Tools-Japan.zip
3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF
Korea:
KeyVault-BYOK-Tools-Korea.zip
71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDA05344ED136F
Afrika Selatan:
KeyVault-BYOK-Tools-SouthAfrica.zip
C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A
UEA:
KeyVault-BYOK-Tools-SouthAfrica.zip
FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3
Australia:
KeyVault-BYOK-Tools-Australia.zip
CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A
KeyVault-BYOK-Tools-Australia.zip
F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A
DOD Pemerintah AS:
KeyVault-BYOK-Tools-Australia.zip
A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263
Kanada:
KeyVault-BYOK-Tools-Canada.zip
61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B
Jerman:
KeyVault-BYOK-Tools-Canada.zip
5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6
Publik Jerman:
KeyVault-BYOK-Tools-Canada.zip
54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29
India:
KeyVault-BYOK-Tools-India.zip
49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8
Prancis:
KeyVault-BYOK-Tools-France.zip
5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF
Inggris Raya:
KeyVault-BYOK-Tools-UnitedKingdom.zip
432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849
Swiss:
KeyVault-BYOK-Tools-Switzerland.zip
88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9
Untuk memvalidasi integritas toolset BYOK yang anda unduh, dari sesi Azure PowerShell, gunakan cmdlet Get-FileHash.
Get-FileHash KeyVault-BYOK-Tools-*.zip
Toolset meliputi:
- Paket Key Exchange Key (KEK) yang memiliki nama yang diawali dengan BYOK-KEK-pkg-.
- Paket Security World yang memiliki nama dimulai dengan BYOK-SecurityWorld-pkg-.
- Skrip python bernama verifykeypackage.py.
- File yang dapat dieksekusi baris perintah bernama KeyTransferRemote.exe dan DL terkait.
- Paket yang Dapat Didistribusikan Visual C++, bernama vcredist_x64.exe.
Salin paket ke drive USB atau penyimpanan portabel lainnya.
Menyiapkan stasiun kerja anda yang terputus
Untuk langkah kedua ini, lakukan prosedur berikut pada workstation yang tidak terhubung ke jaringan (baik Internet atau jaringan internal Anda).
Siapkan stasiun kerja yang terputus dengan nCipher nShield HSM
Pasang perangkat lunak dukungan nCipher di komputer Windows, lalu pasang HSM nCipher nShield ke komputer tersebut.
Pastikan bahwa alat nCipher berada di jalur Anda (%nfast_home%\bin). Misalnya, ketik :
set PATH=%PATH%;"%nfast_home%\bin"
Untuk informasi selengkapnya, lihat panduan pengguna yang disertakan dengan HSM nShield.
Menginstal toolset BYOK pada stasiun kerja yang terputus
Salin paket toolset BYOK dari drive USB atau penyimpanan portabel lainnya, lalu:
- Ekstrak file dari paket yang diunduh ke dalam map apapun.
- Dari folder itu, jalankan vcredist_x64.exe.
- Ikuti petunjuk untuk memasang komponen runtime Visual C++ untuk Visual Studio 2013.
Buat kunci Anda
Untuk langkah ketiga ini, lakukan prosedur berikut pada stasiun kerja yang terputus. Untuk menyelesaikan langkah ini, HSM Anda harus dalam mode inisialisasi.
Ubah mode HSM menjadi 'I'
Jika Anda menggunakan nCipher nShield Azure Stack Edge, untuk mengubah mode: 1. Gunakan tombol Mode untuk menyorot mode yang diperlukan. 2. Dalam beberapa detik, tekan dan tahan tombol Clear selama beberapa detik. Jika mode berubah, LED mode baru akan berhenti berkedip dan tetap menyala. LED Status mungkin berkedip tidak teratur selama beberapa detik lalu berkedip secara teratur saat perangkat siap. Jika tidak, perangkat tetap dalam mode saat ini, dengan LED mode yang sesuai menyala.
Membuat dunia keamanan
Mulai prompt perintah dan jalankan program new-world nCipher.
new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3
Program ini membuat file Dunia Keamanan pada %NFAST_KMDATA%\local\world, yang sesuai dengan folder lokal C:\ProgramData\nCipher\Key Management Data\local. Anda dapat menggunakan nilai yang berbeda untuk kuorum tetapi dalam contoh kami, Anda diminta untuk memasukkan tiga kartu dan pin kosong untuk masing-masing kartu kosong. Kemudian, setiap dua kartu memberikan akses penuh ke dunia keamanan. Kartu-kartu ini menjadi Kumpulan Kartu Administrator untuk dunia keamanan baru.
Catatan
Jika HSM Anda tidak mendukung rangkaian cypher DLf3072s256mRijndael yang lebih baru, Anda dapat mengganti --cipher-suite= DLf3072s256mRijndael
dengan --cipher-suite=DLf1024s160mRijndael
.
Dunia keamanan dibuat dengan new-world.exe bahwa kapal dengan perangkat lunak nCipher versi 12.50 tidak kompatibel dengan prosedur BYOK ini. Ada dua opsi yang tersedia:
- Turunkan versi perangkat lunak nCipher ke 12.40.2 untuk menciptakan dunia keamanan baru.
- Hubungi dukungan nCipher dan minta mereka untuk menyediakan hotfix untuk versi perangkat lunak 12.50, yang memungkinkan Anda untuk menggunakan versi 12.40.2 dari new-world.exe yang kompatibel dengan prosedur BYOK ini.
lalu:
- Cadangkan file dunia. Amankan dan lindungi file dunia, Kartu Administrator, dan pin mereka, dan pastikan tidak ada satu orang pun yang memiliki akses ke lebih dari satu kartu.
Ubah mode HSM menjadi 'O'
Jika Anda menggunakan nCipher nShield Azure Stack Edge, untuk mengubah mode: 1. Gunakan tombol Mode untuk menyorot mode yang diperlukan. 2. Dalam beberapa detik, tekan dan tahan tombol Clear selama beberapa detik. Jika mode berubah, LED mode baru akan berhenti berkedip dan tetap menyala. LED Status mungkin berkedip tidak teratur selama beberapa detik lalu berkedip secara teratur saat perangkat siap. Jika tidak, perangkat tetap dalam mode saat ini, dengan LED mode yang sesuai menyala.
Memvalidasi paket yang diunduh
Langkah ini bersifat opsional tetapi disarankan agar Anda bisa memvalidasi hal-hal berikut:
- Kunci Pertukaran Kunci yang disertakan dalam toolset telah dihasilkan dari HSM nCipher nShield asli.
- Kunci Pertukaran Kunci yang disertakan dalam toolset telah dihasilkan dari HSM nCipher nShield asli.
- Kunci Exchange Kunci tidak dapat diekspor.
Catatan
Untuk memvalidasi paket yang diunduh, HSM harus terhubung, menyala, dan harus memiliki dunia keamanan di atasnya (seperti yang baru saja Anda buat).
Langkah 3.4: Memvalidasi paket yang diunduh:
Jalankan verifykeypackage.py dengan mengetik salah satu hal berikut ini, bergantung pada wilayah geografis atau instans Azure Anda:
Untuk Amerika Utara:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1
Untuk Eropa:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1
Untuk Asia:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1
Untuk Amerika Latin:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1
Untuk Jepang:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1
Untuk Korea:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1
Untuk Afrika Selatan:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1
Untuk UEA:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1
Untuk Australia:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1
Untuk Azure Government, yang menggunakan instans Azure oleh pemerintah AS:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1
Untuk DOD Pemerintah AS:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1
Untuk Kanada:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1
Untuk Jerman:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
Untuk Publik Jerman:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
Untuk India:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1
Untuk Perancis:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1
Untuk Britania Raya:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1
Untuk Swiss:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1
Tip
Perangkat lunak nCipher nShield menyertakan Python di %NFAST_HOME%\python\bin
Konfirmasikan bahwa Anda melihat hal berikut, yang menunjukkan keberhasilan validasi: Hasil: SUKSES
Skrip ini memvalidasi rantai penanda hingga kunci akar nShield. Hash kunci root ini tertanam dalam skrip dan nilainya harus 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Anda juga dapat mengonfirmasi nilai ini secara terpisah dengan mengunjungi situs web nCipher.
Anda sekarang siap untuk membuat kunci baru.
Membuat kunci baru
Hasilkan kunci dengan menggunakan program generatekey nCipher nShield.
Jalankan perintah berikut untuk menghasilkan kunci:
generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=
Saat Anda menjalankan perintah ini, gunakan instruksi berikut:
- Perlindungan parameter harus diatur ke modul nilai , sepertiyang ditunjukkan. Ini membuat kunci yang dilindungi modul. Toolset BYOK tidak mendukung kunci yang dilindungi OCS.
- Ganti nilai contosokey untuk ident dan plainname dengan nilai string apa pun. Untuk meminimalkan overhead administratif dan mengurangi risiko kesalahan, kami sarankan Anda menggunakan nilai yang sama untuk keduanya. Nilai ident hanya boleh berisi angka, tanda hubung, dan huruf kecil.
- Pubexp dibiarkan kosong (default) dalam contoh ini, tetapi Anda dapat menentukan nilai tertentu.
Perintah ini membuat file Kunci Tokenized di dalam map %NFAST_KMDATA%\lokal dengan nama yang dimulai dengan key_simple_, diikuti dengan ident yang ditentukan dalam perintah. Misalnya: key_simple_contosokey. File ini memuat kunci terenkripsi.
Cadangkan file Kunci Tokenized ini di lokasi yang aman.
Penting
Ketika Nanti Anda mentransfer kunci Anda ke Azure Key Vault, Microsoft tidak dapat mengekspor kunci ini kembali kepada Anda sehingga menjadi sangat penting bagi Anda untuk mencadangkan dunia kunci dan keamanan Anda dengan aman. Hubungi nCipher untuk panduan dan praktik terbaik untuk mencadangkan kunci Anda.
Anda sekarang siap untuk mentransfer kunci Anda ke Azure Key Vault.
Siapkan kunci Anda untuk transfer
Untuk langkah ketiga ini, lakukan prosedur berikut pada stasiun kerja yang terputus.
Membuat salinan kunci Anda dengan izin yang dikurangi
Buka prompt perintah baru dan ubah direktori saat ini ke lokasi tempat Anda membuka ritsleting file zip BYOK. Untuk mengurangi izin pada kunci Anda, dari prompt perintah, jalankan salah satu hal berikut ini, bergantung pada wilayah geografis atau instans Azure Anda:
Untuk Amerika Utara:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-
Untuk Eropa:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1
Untuk Asia:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1
Untuk Amerika Latin:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1
Untuk Jepang:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1
Untuk Korea:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1
Untuk Afrika Selatan:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1
Untuk UEA:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1
Untuk Australia:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1
Untuk Azure Government, yang menggunakan instans Azure oleh pemerintah AS:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1
Untuk DOD Pemerintah AS:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1
Untuk Kanada:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1
Untuk Jerman:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
Untuk Publik Jerman:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
Untuk India:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1
Untuk Perancis:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1
Untuk Britania Raya:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1
Untuk Swiss:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1
Saat Anda menjalankan perintah ini, ganti contosokey dengan nilai yang sama dengan yang Anda tentukan di Langkah 3.5: Buat kunci baru dari langkah Buat kunci Anda.
Anda diminta untuk mencolokkan kartu admin dunia keamanan Anda.
Saat perintah selesai, Anda melihat Hasil: SUCCESS dan salinan kunci Anda dengan izin yang dikurangi ada di file bernama key_xferacId_<contosokey>.
Anda dapat memeriksa ACLS menggunakan perintah berikut menggunakan utilitas nCipher nShield:
aclprint.py:
"%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"
kmfile-dump.exe:
"%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"
Saat Anda menjalankan perintah ini, ganti contosokey dengan nilai yang sama dengan yang Anda tentukan di Langkah 3.5: Buat kunci baru dari langkah Buat kunci Anda.
Mengenkripsi kunci Anda dengan menggunakan Kunci Pertukaran Kunci Microsoft
Jalankan salah satu perintah berikut, bergantung pada wilayah geografis atau instans Azure Anda:
Untuk Amerika Utara:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Eropa:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Asia:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Amerika Latin:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Jepang:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Korea:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Afrika Selatan:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk UEA:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Australia:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Azure Government, yang menggunakan instans Azure oleh pemerintah AS:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk DOD Pemerintah AS:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Kanada:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Jerman:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Publik Jerman:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk India:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Perancis:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Britania Raya:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Untuk Swiss:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Saat Anda menjalankan perintah ini, gunakan instruksi berikut:
- Ganti contosokey dengan pengidentifikasi yang Anda gunakan untuk menghasilkan kunci di Langkah 3.5: Buat kunci baru dari langkah Buat kunci Anda.
- Ganti SUBSCRIPTIONID dengan ID langganan Azure yang berisi brankas kunci Anda. Anda mengambil nilai ini sebelumnya, di Langkah 1.2: Dapatkan ID langganan Azure Anda dari langkah Siapkan stasiun kerja yang terhubung ke Internet.
- Ganti ContosoFirstHSMKey dengan label yang digunakan untuk nama file output Anda.
Ketika ini berhasil diselesaikan, ini menampilkan Hasil: SUKSES dan ada file baru di folder saat ini yang memiliki nama berikut: KeyTransferPackage-ContosoFirstHSMkey.byok
Salin paket transfer kunci Anda ke stasiun kerja yang terhubung ke Internet
Gunakan drive USB atau penyimpanan portabel lainnya untuk menyalin file output dari langkah sebelumnya (KeyTransferPackage-ContosoFirstHSMkey.byok) ke stasiun kerja yang terhubung ke Internet Anda.
Mentransfer kunci Anda ke Azure Key Vault
Untuk langkah terakhir ini, di workstation yang terhubung ke Internet, gunakan cmdlet Add-AzKeyVaultKey untuk mengunggah paket transfer kunci yang Anda salin dari stasiun kerja yang terputus ke HSM Azure Key Vault:
Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'
Jika unggahan berhasil, Anda akan melihat properti kunci yang baru saja Anda tambahkan.
Langkah berikutnya
Anda sekarang dapat menggunakan kunci yang dilindungi HSM ini di brankas kunci Anda. Untuk informasi selengkapnya, lihat perbandingan harga dan fitur .