Impor kunci yang dilindungi HSM untuk Vault Kunci (nCipher)

Peringatan

Metode impor kunci HSM yang dijelaskan dalam dokumen ini ditolak dan tidak akan didukung setelah 30 Juni 2021. Ini hanya berfungsi dengan keluarga HSM nCipher nShield dengan firmware 12.40.2 atau yang lebih baru. Menggunakan metode baru untuk mengimpor HSM-keys sangat disarankan.

Catatan

Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Lihat Menginstal Azure PowerShell untuk memulai. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.

Untuk jaminan tambahan, ketika anda menggunakan Azure Key Vault, Anda dapat mengimpor atau menghasilkan kunci dari modul keamanan perangkat keras (HSM) yang tidak pernah meninggalkan batas HSM. Skenario ini sering disebut sebagai bring your own key (BYOK). Azure Key Vault menggunakan keluarga HSM nCipher nShield (divalidasi FIPS 140-2 Level 2) untuk melindungi kunci Anda.

Gunakan artikel ini untuk membantu Anda merencanakan, menghasilkan, lalu mentransfer kunci yang dilindungi HSM Anda sendiri untuk digunakan dengan Azure Key Vault.

Fungsionalitas ini tidak tersedia untuk Microsoft Azure yang dioperasikan oleh 21Vianet.

Catatan

Untuk informasi selengkapnya tentang Azure Key Vault, lihat Apa itu Azure Key Vault? Untuk tutorial memulai, termasuk pembuatan brankas kunci untuk kunci yang dilindungi HSM, lihat Apa itu Azure Key Vault?.

Informasi lebih lanjut tentang menghasilkan dan mentransfer kunci yang dilindungi HSM melalui Internet:

• Anda menghasilkan kunci dari stasiun kerja offline, yang mengurangi permukaan serangan.
• Kunci dienkripsi dengan Kunci Pertukaran Kunci (KEK), yang tetap dienkripsi hingga ditransfer ke Azure Key Vault HSM. Hanya versi terenkripsi kunci Anda yang meninggalkan stasiun kerja asli.
• Toolset menetapkan properti pada kunci penyewa Anda yang mengikat kunci Anda ke dunia keamanan Azure Key Vault. Jadi setelah HSM Azure Key Vault menerima dan mendekripsi kunci Anda, hanya HSM ini yang dapat menggunakannya. Kunci Anda tak bisa diekspor. Pengikatan ini diberlakukan oleh nCipher HSM.
• Kunci Exchange Utama (KEK) yang digunakan untuk mengenkripsi kunci Anda dihasilkan di dalam HSM Azure Key Vault dan tidak dapat diekspor. HSM memberlakukan bahwa tidak ada versi yang jelas dari KEK di luar HSM. Selain itu, toolset termasuk pengesahan dari nCipher bahwa KEK tidak dapat diekspor dan dihasilkan di dalam HSM asli yang diproduksi oleh nCipher.
• Toolset ini mencakup pengesahan dari nCipher bahwa dunia keamanan Azure Key Vault juga dihasilkan pada HSM asli yang diproduksi oleh nCipher. Pengesahan ini menunjukkan bahwa Microsoft menggunakan perangkat keras asli.
• Microsoft menggunakan KEK terpisah dan Dunia Keamanan terpisah di setiap wilayah geografis. Pemisahan ini memastikan bahwa kunci Anda hanya dapat digunakan di pusat data di wilayah tempat Anda mengenkripsinya. Misalnya, kunci dari pelanggan Eropa tidak dapat digunakan di pusat data di Amerika Utara atau Asia.

Informasi selengkapnya tentang HSM nCipher dan layanan Microsoft

nCipher Security, sebuah perusahaan Datacard Terpercaya, adalah pemimpin dalam tujuan umum pasar HSM, memberdayakan organisasi terkemuka di dunia dengan memberikan kepercayaan, integritas, dan kontrol kepada informasi dan aplikasi penting bisnis mereka. Solusi kriptografi nCipher mengamankan teknologi yang muncul - cloud, IoT, blockchain, pembayaran digital - dan membantu memenuhi mandat kepatuhan baru, menggunakan teknologi terbukti yang sama yang diandalkan organisasi global saat ini untuk melindungi dari ancaman terhadap data sensitif, komunikasi jaringan, dan infrastruktur perusahaan mereka. nCipher memberikan kepercayaan untuk aplikasi penting bisnis, memastikan integritas data dan menempatkan pelanggan dalam kontrol penuh - hari ini, besok, selalu.

Microsoft telah berkolaborasi dengan nCipher Security untuk meningkatkan status seni untuk HSM. Penyempurnaan ini memungkinkan Anda untuk mendapatkan manfaat khas dari layanan yang dihosting tanpa melepaskan kontrol atas kunci Anda. Secara khusus, penyempurnaan ini memungkinkan Microsoft mengelola HSM sehingga Anda tidak perlu melakukannya. Sebagai layanan cloud, Azure Key Vault meningkat dalam waktu singkat untuk memenuhi lonjakan penggunaan organisasi Anda. Pada saat yang sama, kunci Anda dilindungi di dalam HSM Microsoft: Anda mempertahankan kontrol atas siklus hidup utama karena Anda menghasilkan kunci dan mentransfernya ke HSM Microsoft.

Menerapkan membawa kunci Anda sendiri (Bring Your Own Key) untuk Azure Key Vault

Gunakan informasi dan prosedur berikut jika Anda akan menghasilkan kunci yang dilindungi HSM Anda sendiri lalu mentransfernya ke Azure Key Vault. Ini dikenal sebagai skenario Bring Your Own Key (BYOK).

Prasyarat untuk BYOK

Lihat tabel berikut untuk daftar prasyarat untuk membawa kunci Anda sendiri (BYOK) untuk Azure Key Vault.

Persyaratan	Informasi selengkapnya
Langganan Ke Azure	Untuk membuat Azure Key Vault, Anda memerlukan langganan Azure: Mendaftar untuk uji coba gratis
Tingkat layanan Azure Key Vault Premium untuk mendukung kunci yang dilindungi HSM	Untuk informasi selengkapnya tentang tingkat layanan dan kemampuan untuk Azure Key Vault, lihat situs web Harga Vault Kunci Azure.
nCipher nShield, kartu pintar, dan perangkat lunak pendukung	Anda harus memiliki akses ke Modul Keamanan Perangkat Keras nCipher dan pengetahuan operasional dasar HSM nCipher nShield. Lihat Modul Keamanan Perangkat Keras nCipher nShield untuk daftar model yang kompatibel, atau untuk membeli HSM jika Anda tidak memilikinya.
Perangkat keras dan perangkat lunak berikut ini: Stasiun kerja x64 offline dengan sistem operasi Windows minimum windows 7 dan perangkat lunak nCipher nShield yang setidaknya versi 11.50. Jika stasiun kerja ini menjalankan Windows 7, Anda harus memasang Microsoft .NET Framework 4.5. Stasiun kerja yang tersambung ke Internet dan memiliki sistem operasi Windows minimum Windows 7 dan Azure PowerShellversi minimum 1.1.0 yang terpasang. Drive USB atau perangkat penyimpanan portabel lainnya yang memiliki setidaknya ruang kosong 16 MB.	Untuk alasan keamanan, kami menyarankan agar workstation pertama tidak terhubung ke jaringan. Namun, rekomendasi ini tidak diberlakukan secara terprogram. Dalam instruksi yang mengikuti, stasiun kerja ini disebut sebagai stasiun kerja yang terputus. Selain itu, jika kunci penyewa Anda adalah untuk jaringan produksi, kami sarankan Anda menggunakan workstation terpisah kedua untuk mengunduh toolset, dan mengunggah kunci penyewa. Tetapi untuk tujuan pengujian, Anda dapat menggunakan stasiun kerja yang sama dengan yang pertama. Dalam instruksi yang mengikuti, stasiun kerja kedua ini disebut sebagai stasiun kerja yang terhubung dengan Internet.

Hasilkan dan transfer kunci Anda ke Azure Key Vault HSM

Anda akan menggunakan lima langkah berikut untuk membuat dan mentransfer kunci Anda ke Azure Key Vault HSM:

• Langkah 1: Siapkan stasiun kerja yang terhubung ke Internet
• Langkah 2: Siapkan stasiun kerja yang terhubung ke Internet
• Langkah 3: Hasilkan kunci Anda
• Langkah 4: Siapkan kunci Anda untuk transfer
• Langkah 5: Transfer kunci Anda ke Azure Key Vault

Menyiapkan stasiun kerja yang terhubung ke Internet

Untuk langkah pertama ini, lakukan prosedur berikut di workstation Anda yang terhubung ke Internet.

Memasang Azure PowerShell

Dari workstation yang terhubung ke Internet, unduh dan pasang modul Azure PowerShell yang menyertakan cmdlet untuk mengelola Azure Key Vault. Untuk petunjuk penginstalan, lihat Cara memasang dan mengonfigurasi Azure PowerShell.

Dapatkan ID Langganan Azure Anda

Mulai sesi Azure PowerShell dan masuk ke akun Azure Anda dengan menggunakan perintah berikut ini:

   Connect-AzAccount

Di jendela browser pop-up, masukkan nama pengguna dan kata sandi akun Azure Anda. Kemudian, gunakan perintah Get-AzSubscription:

   Get-AzSubscription

Dari output, temukan ID untuk langganan yang akan Anda gunakan untuk Azure Key Vault. Anda akan memerlukan ID langganan ini nanti.

Jangan tutup jendela Azure PowerShell.

Unduh toolset BYOK untuk Azure Key Vault

Buka Pusat Unduhan Microsoft dan unduh toolset Azure Key Vault BYOK untuk wilayah geografis atau instans Azure Anda. Gunakan informasi berikut untuk mengidentifikasi nama paket yang akan diunduh dan hash paket SHA-256 yang sesuai:

---

Amerika Serikat:

KeyVault-BYOK-Tools-UnitedStates.zip

2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4

---

Eropa:

KeyVault-BYOK-Tools-UnitedStates.zip

9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A

---

Asia:

KeyVault-BYOK-Tools-AsiaPacific.zip

4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5

---

Amerika Latin:

KeyVault-BYOK-Tools-LatinAmerica.zip

E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922D1B01A4FACB619

---

Jepang:

KeyVault-BYOK-Tools-Japan.zip

3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF

---

Korea:

KeyVault-BYOK-Tools-Korea.zip

71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDA05344ED136F

---

Afrika Selatan:

KeyVault-BYOK-Tools-SouthAfrica.zip

C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A

---

UEA:

KeyVault-BYOK-Tools-SouthAfrica.zip

FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3

---

Australia:

KeyVault-BYOK-Tools-Australia.zip

CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A

---

Azure Government:

KeyVault-BYOK-Tools-Australia.zip

F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A

---

DOD Pemerintah AS:

KeyVault-BYOK-Tools-Australia.zip

A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263

---

Kanada:

KeyVault-BYOK-Tools-Canada.zip

61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B

---

Jerman:

KeyVault-BYOK-Tools-Canada.zip

5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6

---

Publik Jerman:

KeyVault-BYOK-Tools-Canada.zip

54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29

---

India:

KeyVault-BYOK-Tools-India.zip

49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8

---

Prancis:

KeyVault-BYOK-Tools-France.zip

5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF

---

Inggris Raya:

KeyVault-BYOK-Tools-UnitedKingdom.zip

432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849

---

Swiss:

KeyVault-BYOK-Tools-Switzerland.zip

88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9

---

Untuk memvalidasi integritas toolset BYOK yang anda unduh, dari sesi Azure PowerShell, gunakan cmdlet Get-FileHash.

Get-FileHash KeyVault-BYOK-Tools-*.zip

Toolset meliputi:

• Paket Key Exchange Key (KEK) yang memiliki nama yang diawali dengan BYOK-KEK-pkg-.
• Paket Security World yang memiliki nama dimulai dengan BYOK-SecurityWorld-pkg-.
• Skrip python bernama verifykeypackage.py.
• File yang dapat dieksekusi baris perintah bernama KeyTransferRemote.exe dan DL terkait.
• Paket yang Dapat Didistribusikan Visual C++, bernama vcredist_x64.exe.

Salin paket ke drive USB atau penyimpanan portabel lainnya.

Siapkan stasiun kerja Anda yang terputus

Untuk langkah kedua ini, lakukan prosedur berikut pada workstation yang tidak terhubung ke jaringan (baik Internet atau jaringan internal Anda).

Menyiapkan stasiun kerja yang terputus dengan HSM nCipher nShield

Pasang perangkat lunak dukungan nCipher di komputer Windows, lalu pasang HSM nCipher nShield ke komputer tersebut.

Pastikan bahwa alat nCipher berada di jalur Anda ( %nfast_home%\bin). Misalnya, ketik :

set PATH=%PATH%;"%nfast_home%\bin"

Untuk informasi selengkapnya, lihat panduan pengguna yang disertakan dengan HSM nShield.

Instal toolset BYOK pada stasiun kerja yang terputus

Salin paket toolset BYOK dari drive USB atau penyimpanan portabel lainnya, lalu:

1. Ekstrak file dari paket yang diunduh ke dalam map apapun.
2. Dari folder itu, jalankan vcredist_x64.exe.
3. Ikuti petunjuk untuk memasang komponen runtime Visual C++ untuk Visual Studio 2013.

Buat kunci Anda

Untuk langkah ketiga ini, lakukan prosedur berikut pada stasiun kerja yang terputus. Untuk menyelesaikan langkah ini, HSM Anda harus dalam mode inisialisasi.

Ubah mode HSM menjadi 'I'

Jika Anda menggunakan nCipher nShield Azure Stack Edge, untuk mengubah mode: 1. Gunakan tombol Mode untuk menyorot mode yang diperlukan. 2. Dalam beberapa detik, tekan dan tahan tombol Clear selama beberapa detik. Jika mode berubah, LED mode baru akan berhenti berkedip dan tetap menyala. LED Status mungkin berkedip tidak teratur selama beberapa detik lalu berkedip secara teratur saat perangkat siap. Jika tidak, perangkat tetap dalam mode saat ini, dengan LED mode yang sesuai menyala.

Membuat dunia keamanan

Mulai prompt perintah dan jalankan program new-world nCipher.

 new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3

Program ini membuat file Dunia Keamanan pada %NFAST_KMDATA%\local\world, yang sesuai dengan folder lokal C:\ProgramData\nCipher\Key Management Data\local. Anda dapat menggunakan nilai yang berbeda untuk kuorum tetapi dalam contoh kami, Anda diminta untuk memasukkan tiga kartu dan pin kosong untuk masing-masing kartu kosong. Kemudian, setiap dua kartu memberikan akses penuh ke dunia keamanan. Kartu-kartu ini menjadi Kumpulan Kartu Administrator untuk dunia keamanan baru.

Catatan

Jika HSM Anda tidak mendukung rangkaian cypher yang lebih baru DLf3072s256mRijndael, Anda dapat mengganti --cipher-suite= DLf3072s256mRijndael dengan --cipher-suite=DLf1024s160mRijndael.

Dunia keamanan dibuat dengan new-world.exe bahwa kapal dengan perangkat lunak nCipher versi 12.50 tidak kompatibel dengan prosedur BYOK ini. Ada dua opsi yang tersedia:

1. Turunkan versi perangkat lunak nCipher ke 12.40.2 untuk menciptakan dunia keamanan baru.
2. Hubungi dukungan nCipher dan minta mereka untuk menyediakan hotfix untuk versi perangkat lunak 12.50, yang memungkinkan Anda untuk menggunakan versi 12.40.2 dari new-world.exe yang kompatibel dengan prosedur BYOK ini.

Kemudian:

• Cadangkan file dunia. Amankan dan lindungi file dunia, Kartu Administrator, dan pin mereka, dan pastikan tidak ada satu orang pun yang memiliki akses ke lebih dari satu kartu.

Ubah mode HSM menjadi 'O'

Jika Anda menggunakan nCipher nShield Azure Stack Edge, untuk mengubah mode: 1. Gunakan tombol Mode untuk menyorot mode yang diperlukan. 2. Dalam beberapa detik, tekan dan tahan tombol Clear selama beberapa detik. Jika mode berubah, LED mode baru akan berhenti berkedip dan tetap menyala. LED Status mungkin berkedip tidak teratur selama beberapa detik lalu berkedip secara teratur saat perangkat siap. Jika tidak, perangkat tetap dalam mode saat ini, dengan LED mode yang sesuai menyala.

Memvalidasi paket yang diunduh

Langkah ini bersifat opsional tetapi disarankan agar Anda bisa memvalidasi hal-hal berikut:

• Kunci Pertukaran Kunci yang disertakan dalam toolset telah dihasilkan dari HSM nCipher nShield asli.
• Kunci Pertukaran Kunci yang disertakan dalam toolset telah dihasilkan dari HSM nCipher nShield asli.
• Kunci Exchange Kunci tidak dapat diekspor.

Catatan

Untuk memvalidasi paket yang diunduh, HSM harus terhubung, menyala, dan harus memiliki dunia keamanan di atasnya (seperti yang baru saja Anda buat).

Langkah 3.4: Memvalidasi paket yang diunduh:

1. Jalankan verifykeypackage.py dengan mengetik salah satu hal berikut ini, bergantung pada wilayah geografis atau instans Azure Anda:

   • Untuk Amerika Utara:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1
     

   • Untuk Eropa:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1
     

   • Untuk Asia:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1
     

   • Untuk Amerika Latin:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1
     

   • Untuk Jepang:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1
     

   • Untuk Korea:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1
     

   • Untuk Afrika Selatan:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1
     

   • Untuk UEA:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1
     

   • Untuk Australia:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1
     

   • Untuk Azure Government, yang menggunakan instans Azure oleh pemerintah AS:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1
     

   • Untuk DOD Pemerintah AS:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1
     

   • Untuk Kanada:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1
     

   • Untuk Jerman:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
     

   • Untuk Publik Jerman:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
     

   • Untuk India:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1
     

   • Untuk Perancis:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1
     

   • Untuk Britania Raya:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1
     

   • Untuk Swiss:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1
     

     Tip

     Perangkat lunak nCipher nShield menyertakan Python di %NFAST_HOME%\python\bin

2. Konfirmasikan bahwa Anda melihat hal berikut, yang menunjukkan keberhasilan validasi: Hasil: SUKSES

Skrip ini memvalidasi rantai penanda hingga kunci akar nShield. Hash kunci root ini tertanam dalam skrip dan nilainya harus 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Anda juga dapat mengonfirmasi nilai ini secara terpisah dengan mengunjungi situs web nCipher.

Anda sekarang siap untuk membuat kunci baru.

Membuat kunci baru

Hasilkan kunci dengan menggunakan program generatekey nCipher nShield.

Jalankan perintah berikut untuk menghasilkan kunci:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

Saat Anda menjalankan perintah ini, gunakan instruksi berikut:

• Perlindungan parameter harus diatur ke modul nilai , sepertiyang ditunjukkan. Ini membuat kunci yang dilindungi modul. Toolset BYOK tidak mendukung kunci yang dilindungi OCS.
• Ganti nilai contosokey untuk ident dan plainname dengan nilai string apa pun. Untuk meminimalkan overhead administratif dan mengurangi risiko kesalahan, kami sarankan Anda menggunakan nilai yang sama untuk keduanya. Nilai ident hanya boleh berisi angka, tanda hubung, dan huruf kecil.
• Pubexp dibiarkan kosong (default) dalam contoh ini, tetapi Anda dapat menentukan nilai tertentu.

Perintah ini membuat file Kunci Tokenized di dalam map %NFAST_KMDATA%\lokal dengan nama yang dimulai dengan key_simple_ , diikuti dengan ident yang ditentukan dalam perintah. Misalnya: key_simple_contosokey. File ini memuat kunci terenkripsi.

Cadangkan file Kunci Tokenized ini di lokasi yang aman.

Penting

Ketika Nanti Anda mentransfer kunci Anda ke Azure Key Vault, Microsoft tidak dapat mengekspor kunci ini kembali kepada Anda sehingga menjadi sangat penting bagi Anda untuk mencadangkan dunia kunci dan keamanan Anda dengan aman. Hubungi nCipher untuk panduan dan praktik terbaik untuk mencadangkan kunci Anda.

Anda sekarang siap untuk mentransfer kunci Anda ke Azure Key Vault.

Siapkan kunci Anda untuk transfer

Untuk langkah ketiga ini, lakukan prosedur berikut pada stasiun kerja yang terputus.

Membuat salinan kunci Anda dengan izin yang dikurangi

Buka prompt perintah baru dan ubah direktori saat ini ke lokasi tempat Anda membuka ritsleting file zip BYOK. Untuk mengurangi izin pada kunci Anda, dari prompt perintah, jalankan salah satu hal berikut ini, bergantung pada wilayah geografis atau instans Azure Anda:

• Untuk Amerika Utara:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-
  

• Untuk Eropa:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1
  

• Untuk Asia:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1
  

• Untuk Amerika Latin:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1
  

• Untuk Jepang:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1
  

• Untuk Korea:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1
  

• Untuk Afrika Selatan:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1
  

• Untuk UEA:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1
  

• Untuk Australia:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1
  

• Untuk Azure Government, yang menggunakan instans Azure oleh pemerintah AS:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1
  

• Untuk DOD Pemerintah AS:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1
  

• Untuk Kanada:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1
  

• Untuk Jerman:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
  

• Untuk Publik Jerman:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
  

• Untuk India:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1
  

• Untuk Perancis:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1
  

• Untuk Britania Raya:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1
  

• Untuk Swiss:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1
  

Saat Anda menjalankan perintah ini, ganti contosokey dengan nilai yang sama dengan yang Anda tentukan di Langkah 3.5: Buat kunci baru dari langkah Buat kunci Anda.

Anda diminta untuk mencolokkan kartu admin dunia keamanan Anda.

Saat perintah selesai, Anda melihat Hasil: SUCCESS dan salinan kunci Anda dengan izin yang dikurangi ada di file bernama key_xferacId_<contosokey>.

Anda dapat memeriksa ACLS menggunakan perintah berikut menggunakan utilitas nCipher nShield:

• aclprint.py:

  "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"
  

• kmfile-dump.exe:

  "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"
  

  Saat Anda menjalankan perintah ini, ganti contosokey dengan nilai yang sama dengan yang Anda tentukan di Langkah 3.5: Buat kunci baru dari langkah Buat kunci Anda.

Mengenkripsi kunci Anda dengan menggunakan Kunci Pertukaran Kunci Microsoft

Jalankan salah satu perintah berikut, bergantung pada wilayah geografis atau instans Azure Anda:

• Untuk Amerika Utara:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Eropa:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Asia:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Amerika Latin:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Jepang:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Korea:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Afrika Selatan:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk UEA:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Australia:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Azure Government, yang menggunakan instans Azure oleh pemerintah AS:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk DOD Pemerintah AS:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Kanada:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Jerman:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Publik Jerman:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk India:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Perancis:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Britania Raya:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Untuk Swiss:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

Saat Anda menjalankan perintah ini, gunakan instruksi berikut:

• Ganti contosokey dengan pengidentifikasi yang Anda gunakan untuk menghasilkan kunci di Langkah 3.5: Buat kunci baru dari langkah Buat kunci Anda.
• Ganti SUBSCRIPTIONID dengan ID langganan Azure yang berisi brankas kunci Anda. Anda mengambil nilai ini sebelumnya, di Langkah 1.2: Dapatkan ID langganan Azure Anda dari langkah Siapkan stasiun kerja yang terhubung ke Internet.
• Ganti ContosoFirstHSMKey dengan label yang digunakan untuk nama file output Anda.

Ketika ini berhasil diselesaikan, ini menampilkan Hasil: SUKSES dan ada file baru di folder saat ini yang memiliki nama berikut: KeyTransferPackage-ContosoFirstHSMkey.byok

Salin paket transfer kunci Anda ke stasiun kerja yang terhubung ke Internet

Gunakan drive USB atau penyimpanan portabel lainnya untuk menyalin file output dari langkah sebelumnya (KeyTransferPackage-ContosoFirstHSMkey.byok) ke stasiun kerja yang terhubung ke Internet Anda.

Mentransfer kunci Anda ke Azure Key Vault

Untuk langkah terakhir ini, di workstation yang terhubung ke Internet, gunakan cmdlet Add-AzKeyVaultKey untuk mengunggah paket transfer kunci yang Anda salin dari stasiun kerja yang terputus ke HSM Azure Key Vault:

     Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'

Jika unggahan berhasil, Anda akan melihat properti kunci yang baru saja Anda tambahkan.

Langkah berikutnya

Anda sekarang dapat menggunakan kunci yang dilindungi HSM ini di brankas kunci Anda. Untuk informasi selengkapnya, lihat perbandingan harga dan fitur ini.