Passaggio 2: Chiave protetta da software per la migrazione delle chiavi protette da HSM

Queste istruzioni fanno parte del percorso di migrazione da AD RMS ad Azure Information Protection e sono applicabili solo se la chiave AD RMS è protetta dal software e si vuole eseguire la migrazione ad Azure Information Protection con una chiave tenant protetta da HSM in Azure Key Vault.

Se non si tratta dello scenario di configurazione scelto, tornare al passaggio 4. Esportare i dati di configurazione da AD RMS e importarli in Azure RMS e scegliere una configurazione diversa.

Si tratta di una procedura in quattro parti per importare la configurazione di AD RMS in Azure Information Protection, in modo da ottenere la chiave del tenant di Azure Information Protection gestita dall'utente (BYOK) in Azure Key Vault.

È prima di tutto necessario estrarre la chiave del certificato del licenziante del server dai dati di configurazione di AD RMS e trasferire la chiave a un server HSM locale, il pacchetto successivo e trasferire la chiave HSM ad Azure Key Vault, quindi autorizzare il servizio Azure Rights Management da Azure Information Protection per accedere al vault delle chiavi e quindi importare i dati di configurazione.

Poiché la chiave tenant di Azure Information Protection verrà archiviata e gestita da Azure Key Vault, questa parte della migrazione richiede l'amministrazione in Azure Key Vault, oltre ad Azure Information Protection. Se Azure Key Vault è gestito da un amministratore diverso da quello dell'organizzazione, è necessario coordinare e collaborare con tale amministratore per completare queste procedure.

Prima di iniziare, verificare che l'organizzazione abbia un vault delle chiavi creato in Azure Key Vault e che supporti le chiavi protette da HSM. Anche se non è obbligatorio, è consigliabile avere un vault delle chiavi dedicato per Azure Information Protection. Questo vault delle chiavi sarà configurato in modo da consentire al servizio Azure Rights Management di Azure Information Protection di accedervi, quindi le chiavi archiviate in questo vault delle chiavi devono essere limitate solo alle chiavi di Azure Information Protection.

Mancia

Se si eseguono i passaggi di configurazione per Azure Key Vault e non si ha familiarità con il servizio Azure, può essere utile esaminare prima Attività iniziali con Azure Key Vault.

Parte 1: Estrarre la chiave SLC dai dati di configurazione e importarla in HSM locale

  1. Amministratore di Azure Key Vault: per ogni chiave SLC esportata che si vuole archiviare in Azure Key Vault, usare la procedura seguente nella sezione Implementazione bring your own key (BYOK) per Azure Key Vault della documentazione di Azure Key Vault:

    Non seguire la procedura per generare la chiave tenant, perché si ha già l'equivalente nel file di dati di configurazione esportati (.xml). Verrà invece eseguito uno strumento per estrarre questa chiave dal file e importarla in HSM locale.Instead, you will run a tool to extract this key from the file and import it to your on-premises HSM. Lo strumento crea due file durante l'esecuzione:

    • Un nuovo file di dati di configurazione senza la chiave, che è pronto per essere importato nel tenant di Azure Information Protection.

    • Un file PEM (contenitore di chiavi) con la chiave, che è quindi pronta per essere importata in HSM locale.

  2. Amministratore di Azure Information Protection o amministratore di Azure Key Vault: nella workstation disconnessa eseguire lo strumento TpdUtil dal toolkit di migrazione di Azure RMS. Ad esempio, se lo strumento è installato nell'unità E in cui si copia il file di dati di configurazione denominato ContosoTPD.xml:

    E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
    

    Se si hanno più file di dati di configurazione RMS, eseguire questo strumento per il resto di questi file.

    Per visualizzare la Guida di questo strumento, che include una descrizione, un utilizzo ed esempi, eseguire TpdUtil.exe senza parametri

    Altre informazioni per questo comando:

    • / tpd: specifica il percorso completo e il nome del file di dati di configurazione AD RMS esportato. Il nome completo del parametro è TpdFilePath.

    • / otpd: specifica il nome del file di output per il file di dati di configurazione senza la chiave. Il nome completo del parametro è OutPfxFile. Se non si specifica questo parametro, per impostazione predefinita il file di output viene visualizzato sul nome file originale con il suffisso _keyless e viene archiviato nella cartella corrente.

    • / opem: specifica il nome del file di output per il file PEM, che contiene la chiave estratta. Il nome completo del parametro è OutPemFile. Se non si specifica questo parametro, per impostazione predefinita il file di output viene visualizzato sul nome file originale con il suffisso _key e viene archiviato nella cartella corrente.

    • Se non si specifica la password quando si esegue questo comando (usando il nome completo del parametro TpdPassword o il nome del parametro pwd short), verrà richiesto di specificarla.

  3. Sulla stessa workstation disconnessa, allegare e configurare il sistema HSM nCipher, in base alla documentazione nCipher. È ora possibile importare la chiave nel server di gestione di HSM associato usando il comando seguente, in cui è necessario sostituire il proprio nome file con ContosoTPD.pem:

    generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
    

    Nota

    Se si hanno più file, scegliere il file che corrisponde alla chiave HSM che si vuole usare in Azure RMS per proteggere il contenuto dopo la migrazione.

    Viene generato uno schermo di output simile al seguente:

    parametri di generazione chiave:

    operazione Operazione per eseguire l'importazione

    applicazione Applicazione semplice

    verificare che la chiave di configurazione sia di sicurezza sì

    tipo Tipo di chiave RSA

    file pemreadfile PEM contenente chiave RSA e:\ContosoTPD.pem

    identificatore della chiave ident contosobyok

    nomechiave semplice Nome chiave ContosoBYOK

    Chiave importata correttamente.

    Percorso della chiave: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Questo output conferma che la chiave privata è stata spostata nel dispositivo NCipher HSM locale con una copia crittografata salvata in una chiave (nell'esempio "key_simple_contosobyok").

Ora che la chiave SLC è stata estratta e importata in HSM locale, è possibile creare il pacchetto della chiave protetta con HSM e trasferirla in Azure Key Vault.

Importante

Una volta completato questo passaggio, cancellare in modo sicuro i file PEM dalla workstation disconnessa per assicurarsi che non siano accessibili da utenti non autorizzati. Ad esempio, eseguire "cipher /w: E" per eliminare in modo sicuro tutti i file dall'unità E:.

Parte 2: creare un pacchetto e trasferire la chiave HSM in Azure Key Vault

Amministratore di Azure Key Vault: per ogni chiave SLC esportata che si vuole archiviare nel Vault delle chiavi di Azure, usare i passaggi seguenti della sezione Implementazione bring your own key (BYOK) per Azure Key Vault della documentazione di Azure Key Vault:

Non seguire la procedura per generare la coppia di chiavi, perché la chiave è già disponibile. Verrà invece eseguito un comando per trasferire questa chiave (nel nostro esempio il parametro KeyIdentifier usa "contosobyok") da HSM locale.

Prima di trasferire la chiave in Azure Key Vault, assicurarsi che l'utilità KeyTransferRemote.exe restituisca Result: SUCCESS quando si crea una copia della chiave con autorizzazioni ridotte (passaggio 4.1) e quando si crittografa la chiave (passaggio 4.3).

Quando la chiave viene caricata in Azure Key Vault, vengono visualizzate le proprietà della chiave, che include l'ID chiave. Avrà un aspetto simile a https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Prendere nota di questo URL perché l'amministratore di Azure Information Protection dovrà indicare al servizio Azure Rights Management di Azure Information Protection di usare questa chiave per la chiave tenant.

Usare quindi il cmdlet Set-AzKeyVaultAccessPolicy per autorizzare l'entità servizio Azure Rights Management ad accedere al vault delle chiavi. Le autorizzazioni necessarie sono decrittografa, crittografa, unwrapkey, wrapkey, verify e sign.

Ad esempio, se il vault delle chiavi creato per Azure Information Protection è denominato contosorms-byok-kv e il gruppo di risorse è denominato contosorms-byok-rg, eseguire il comando seguente:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Dopo aver trasferito la chiave HSM in Azure Key Vault, è possibile importare i dati di configurazione di AD RMS.

Parte 3: Importare i dati di configurazione in Azure Information Protection

  1. Amministratore di Azure Information Protection: nella workstation connessa a Internet e nella sessione di PowerShell copiare i nuovi file di dati di configurazione (.xml) che hanno rimosso il tasto SLC dopo l'esecuzione dello strumento TpdUtil.

  2. Upload ogni file .xml, usando il cmdlet Import-AipServiceTpd. Ad esempio, è necessario avere almeno un file aggiuntivo da importare se è stato aggiornato il cluster AD RMS per la modalità di crittografia 2.

    Per eseguire questo cmdlet, sono necessari la password specificata in precedenza per il file di dati di configurazione e l'URL della chiave identificata nel passaggio precedente.

    Ad esempio, usando un file di dati di configurazione di C:\contoso_keyless.xml e il valore dell'URL chiave del passaggio precedente, eseguire prima di tutto quanto segue per archiviare la password:

     $TPD_Password = Read-Host -AsSecureString
    

    Immettere la password specificata per esportare il file di dati di configurazione. Quindi, eseguire il comando seguente e confermare che si vuole eseguire questa azione:

    Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Nell'ambito di questa importazione, la chiave SLC viene importata e impostata automaticamente come archiviata.

  3. Dopo aver caricato ogni file, eseguire Set-AipServiceKeyProperties per specificare la chiave importata corrispondente alla chiave SLC attualmente attiva nel cluster AD RMS.

  4. Usare il cmdlet Disconnect-AipServiceService per disconnettersi dal servizio Azure Rights Management:

    Disconnect-AipServiceService
    

Se in seguito è necessario verificare quale chiave viene usata dalla chiave tenant di Azure Information Protection in Azure Key Vault, usare il cmdlet Get-AipServiceKeys di Azure RMS.

Ora sei pronto per andare al passaggio 5. Attivare il servizio Azure Rights Management.