Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze quickstart maakt en activeert u een door Azure Key Vault beheerde HSM (Hardware Security Module) met PowerShell. Beheerde HSM is een volledig beheerde, maximaal beschikbare cloudservice die compatibel is met één tenant, waarmee u cryptografische sleutels voor uw cloudtoepassingen kunt beveiligen met behulp van met FIPS 140-3 niveau 3 gevalideerde HSM's. Raadpleeg het overzicht voor meer informatie over beheerde HSM.
Vereisten
Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
- Als u ervoor kiest om Azure PowerShell lokaal te gebruiken:
- Installeer de nieuwste versie van de Az PowerShell-module.
- Maak verbinding met uw Azure-account met de cmdlet Connect-AzAccount.
- Als u ervoor kiest om Azure Cloud Shell te gebruiken:
- Raadpleeg Overzicht van Azure Cloud Shell voor meer informatie.
Een brongroep maken
Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Gebruik de Cmdlet New-AzResourceGroup van Azure PowerShell om een resourcegroep met de naam myResourceGroup te maken op de locatie noorwegeneast.
New-AzResourceGroup -Name "myResourceGroup" -Location "norwayeast"
Uw principal-id ophalen
Als u een beheerde HSM wilt maken, hebt u uw Microsoft Entra-principal-id nodig. Als u uw id wilt ophalen, gebruikt u de Cmdlet Azure PowerShell Get-AzADUser , waarbij u uw e-mailadres doorgeeft aan de parameter UserPrincipalName:
Get-AzADUser -UserPrincipalName "<your@email.address>"
Uw principal-id wordt geretourneerd in de indeling xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxx.
Een beheerde HSM maken
Het maken van een beheerde HSM is een proces in twee stappen:
- Richt een beheerde HSM-resource in.
- Activeer uw beheerde HSM door een artefact te downloaden dat het beveiligingsdomein wordt genoemd.
Een beheerde Hardware Security Module (HSM) configureren
Gebruik de cmdlet New-AzKeyVaultManagedHsm van Azure PowerShell om een nieuwe beheerde HSM te maken. U moet enkele gegevens opgeven:
Beheerde HSM-naam: een tekenreeks van 3 tot 24 tekens die alleen cijfers (0-9), letters (a-z, A-Z) en afbreekstreepjes (-) mogen bevatten
Belangrijk
Elke beheerde HSM moet een unieke naam hebben. Vervang <uw unieke beheerde hsm-naam> door de naam van uw beheerde HSM in de volgende voorbeelden.
Naam van resourcegroep: myResourceGroup.
De locatie: Noorwegen - oost.
Uw Principal-id: Geef de Microsoft Entra-principal-id, die u in de laatste sectie hebt verkregen, door aan de parameter Administrator.
New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "norwayeast" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"
Notitie
Het kan enkele minuten duren voor de maakopdracht is uitgevoerd. Zodra het met succes terugkeert, bent u klaar om uw HSM te activeren.
In de uitvoer van deze cmdlet ziet u eigenschappen van de pas aangemaakte beheerde HSM. Noteer deze twee eigenschappen:
- Naam: de naam die u hebt opgegeven voor de beheerde HSM.
- HsmUri: In het voorbeeld is de HsmUri https://<your-unique-managed-hsm-name.managedhsm.azure.net/>. Toepassingen die via de REST API gebruikmaken van uw kluis, moeten deze URI gebruiken.
Op dit moment is uw Azure-account de enige die gemachtigd is om bewerkingen uit te voeren op deze nieuwe HSM.
Uw beheerde HSM activeren
Alle datavlakcommando's zijn uitgeschakeld totdat de HSM wordt geactiveerd. U kunt geen sleutels maken of rollen toewijzen. Alleen de aangewezen beheerders, die zijn toegewezen tijdens het maken van de opdracht, kunnen de HSM activeren. Als u de HSM wilt activeren, moet u het beveiligingsdomein downloaden.
Als u uw HSM wilt activeren, hebt u het volgende nodig:
- Minimaal drie RSA-sleutelparen (maximaal 10)
- Het minimale aantal sleutels dat is vereist voor het ontsleutelen van het beveiligingsdomein (een quorum genoemd)
U verzendt ten minste drie (maximaal 10) openbare RSA-sleutels naar de HSM. De HSM versleutelt het beveiligingsdomein met deze sleutels en stuurt het terug. Zodra het downloaden van het beveiligingsdomein is voltooid, kunt u uw HSM gebruiken. U moet ook het quorum opgeven. Dit is het minimale aantal persoonlijke sleutels dat nodig is om het beveiligingsdomein te ontsleutelen.
In het volgende voorbeeld ziet u hoe openssl u drie zelfondertekende certificaten genereert:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
De vervaldatum van het certificaat heeft geen invloed op bewerkingen van het beveiligingsdomein. Zelfs een verlopen certificaat kan nog steeds worden gebruikt om het beveiligingsdomein te herstellen.
Belangrijk
Deze persoonlijke RSA-sleutels vormen de basis van vertrouwen voor uw beheerde HSM. Genereer deze sleutels voor productieomgevingen door gebruik te maken van een air-gapped systeem of een on-premises HSM, en sla deze veilig op. Zie aanbevolen procedures voor beveiligingsdomeinen voor gedetailleerde richtlijnen.
Aanbeveling
OpenSSL voor Windows is beschikbaar via de OpenSSL-website.
Gebruik de cmdlet Azure PowerShell Export-AzKeyVaultSecurityDomain om het beveiligingsdomein te downloaden en uw beheerde HSM te activeren. In het volgende voorbeeld worden drie RSA-sleutelparen gebruikt (alleen openbare sleutels zijn nodig voor deze opdracht) en wordt het quorum ingesteld op twee.
Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2
Sla het beveiligingsdomeinbestand en de RSA-sleutelparen veilig op. U hebt ze nodig voor herstel na noodgevallen of voor het maken van een andere beheerde HSM die hetzelfde beveiligingsdomein deelt, zodat de twee sleutels kunnen delen.
Nadat het beveiligingsdomein is gedownload, heeft uw HSM een actieve status en kunt u deze gebruiken.
Middelen opschonen
Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om verder te gaan met andere snelstarts en zelfstudies, kunt u deze resources intact laten.
Wanneer u de cmdlet Azure PowerShell Remove-AzResourceGroup niet meer nodig hebt, kunt u de resourcegroep en alle gerelateerde resources verwijderen.
Remove-AzResourceGroup -Name "myResourceGroup"
Waarschuwing
Als u de resourcegroep verwijdert, wordt de beheerde HSM in een voorlopig verwijderde status gebracht. De beheerde HSM wordt nog steeds gefactureerd totdat deze wordt verwijderd. Zie Voorlopige verwijdering van HSM en beveiliging tegen opschonen
Volgende stappen
In deze quickstart hebt u een beheerde HSM gemaakt en geactiveerd. Voor meer informatie over beheerde HSM en hoe u deze integreert met uw toepassingen, gaat u verder met deze artikelen:
- Lees een Overzicht van Azure Key Vault
- Zie de referentie voor de Azure PowerShell Key Vault-cmdlets
- Raadpleeg het Overzicht voor Key Vault-beveiliging