Stap 2: Migratie van met software beveiligde sleutel naar met HSM beveiligde sleutel

Deze instructies maken deel uit van het migratiepad van AD RMS naar Azure Information Protection en zijn alleen van toepassing als uw AD RMS-sleutel is beveiligd met software en u wilt migreren naar Azure Information Protection met een tenantsleutel die met HSM is beveiligd in Azure Key Vault.

Als dit niet het gekozen configuratiescenario is, gaat u terug naar stap 4. Exporteer configuratiegegevens uit AD RMS en importeer deze in Azure RMS en kies een andere configuratie.

Het is een vierdelige procedure voor het importeren van de AD RMS-configuratie in Azure Information Protection, zodat uw Azure Information Protection-tenantsleutel wordt beheerd door u (BYOK) in Azure Key Vault.

U moet eerst uw SLC-sleutel (serverlicentiecertificaat) uit de AD RMS-configuratiegegevens extraheren en de sleutel overdragen naar een on-premises nCipher HSM, vervolgens uw HSM-sleutel verpakken en overdragen naar Azure Key Vault, vervolgens de Azure Rights Management-service van Azure Information Protection autoriseren voor toegang tot uw sleutelkluis en vervolgens de configuratiegegevens importeren.

Omdat uw Azure Information Protection-tenantsleutel wordt opgeslagen en beheerd door Azure Key Vault, vereist dit deel van de migratie beheer in Azure Key Vault, naast Azure Information Protection. Als Azure Key Vault wordt beheerd door een andere beheerder dan u voor uw organisatie, moet u deze procedures coördineren en samenwerken met die beheerder.

Voordat u begint, moet u ervoor zorgen dat uw organisatie een sleutelkluis heeft die is gemaakt in Azure Key Vault en dat deze ondersteuning biedt voor met HSM beveiligde sleutels. Hoewel dit niet vereist is, raden we u aan een toegewezen sleutelkluis voor Azure Information Protection te hebben. Deze sleutelkluis wordt geconfigureerd om de Azure Rights Management-service van Azure Information Protection toegang te geven tot deze kluis, zodat de sleutels die door deze sleutelkluis worden opgeslagen, alleen moeten worden beperkt tot Azure Information Protection-sleutels.

Fooi

Als u de configuratiestappen voor Azure Key Vault uitvoert en u niet bekend bent met deze Azure-service, is het wellicht handig om eerst Aan de slag te gaan met Azure Key Vault.

Deel 1: Pak uw SLC-sleutel uit de configuratiegegevens en importeer de sleutel in uw on-premises HSM

1. Azure Key Vault-beheerder: Voor elke geëxporteerde SLC-sleutel die u wilt opslaan in Azure Key Vault, gebruikt u de volgende stappen in de sectie Bring Your Own Key Key (BYOK) implementeren voor Azure Key Vault in de Azure Key Vault-documentatie:

   • Uw sleutel genereren en overdragen naar Azure Key Vault HSM: Stap 1: Uw met internet verbonden werkstation voorbereiden

   • Uw tenantsleutel genereren en overdragen via internet: Stap 2: Uw niet-verbonden werkstation voorbereiden

   Volg de stappen voor het genereren van uw tenantsleutel niet, omdat u al het equivalent hebt in het geëxporteerde bestand met configuratiegegevens (.xml). In plaats daarvan voert u een hulpprogramma uit om deze sleutel uit het bestand te extraheren en te importeren in uw on-premises HSM. Het hulpprogramma maakt twee bestanden wanneer u het uitvoert:

   • Een nieuw configuratiegegevensbestand zonder de sleutel, die vervolgens klaar is om te worden geïmporteerd in uw Azure Information Protection-tenant.

   • Een PEM-bestand (sleutelcontainer) met de sleutel, die vervolgens klaar is om te worden geïmporteerd in uw on-premises HSM.

2. Azure Information Protection-beheerder of Azure Key Vault-beheerder: voer op het niet-verbonden werkstation het hulpprogramma TpdUtil uit vanuit de Azure RMS-migratie-toolkit. Als het hulpprogramma bijvoorbeeld is geïnstalleerd op uw E-station waar u het configuratiegegevensbestand met de naam ContosoTPD.xml kopieert:

   E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
   

   Als u meer dan één RMS-configuratiegegevensbestanden hebt, voert u dit hulpprogramma uit voor de rest van deze bestanden.

   Als u Help voor dit hulpprogramma wilt zien, dat een beschrijving, gebruik en voorbeelden bevat, voert u TpdUtil.exe uit zonder parameters

   Aanvullende informatie voor deze opdracht:

   • De /tpd: geeft het volledige pad en de naam van het geëxporteerde AD RMS-configuratiegegevensbestand. De volledige parameternaam is TpdFilePath.

   • De /otpd: hiermee geeft u de naam van het uitvoerbestand voor het configuratiegegevensbestand zonder de sleutel. De volledige parameternaam is OutPfxFile. Als u deze parameter niet opgeeft, wordt het uitvoerbestand standaard ingesteld op de oorspronkelijke bestandsnaam met het achtervoegsel _keyless en wordt het opgeslagen in de huidige map.

   • De /opem: hiermee geeft u de naam van het uitvoerbestand voor het PEM-bestand op, dat de uitgepakte sleutel bevat. De volledige parameternaam is OutPemFile. Als u deze parameter niet opgeeft, wordt het uitvoerbestand standaard ingesteld op de oorspronkelijke bestandsnaam met het achtervoegsel _key en wordt het opgeslagen in de huidige map.

   • Als u het wachtwoord niet opgeeft wanneer u deze opdracht uitvoert (met behulp van de volledige parameternaam TpdPassword of de korte parameternaam van pwd ), wordt u gevraagd deze op te geven.

3. Koppel en configureer uw nCipher HSM op hetzelfde niet-verbonden werkstation volgens uw nCipher-documentatie. U kunt uw sleutel nu importeren in uw bijgevoegde nCipher HSM met behulp van de volgende opdracht waar u uw eigen bestandsnaam moet vervangen door ContosoTPD.pem:

   generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
   

   Notitie

   Als u meer dan één bestand hebt, kiest u het bestand dat overeenkomt met de HSM-sleutel die u in Azure RMS wilt gebruiken om inhoud na de migratie te beveiligen.

   Hiermee wordt een uitvoerweergave gegenereerd die er ongeveer als volgt uitziet:

   parameters voor het genereren van sleutels:

   bewerking voor het uitvoeren van importeren

   toepassingstoepassing eenvoudig

   controleren of de beveiliging van de configuratiesleutel ja is

   type sleuteltype RSA

   pemreadfile PEM-bestand met RSA-sleutel e:\ContosoTPD.pem

   ident-sleutel-id contosobyok

   plainname-sleutelnaam ContosoBYOK

   De sleutel is geïmporteerd.

   Pad naar sleutel: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Deze uitvoer bevestigt dat de persoonlijke sleutel nu wordt gemigreerd naar uw on-premises nCipher HSM-apparaat met een versleutelde kopie die is opgeslagen in een sleutel (in ons voorbeeld 'key_simple_contosobyok').

Nu uw SLC-sleutel is geëxtraheerd en geïmporteerd in uw on-premises HSM, kunt u de met HSM beveiligde sleutel verpakken en overdragen naar Azure Key Vault.

Belangrijk

Wanneer u deze stap hebt voltooid, wist u deze PEM-bestanden veilig van het niet-verbonden werkstation om ervoor te zorgen dat ze niet kunnen worden geopend door onbevoegde personen. Voer bijvoorbeeld 'cipher /w: E' uit om alle bestanden van het E-station veilig te verwijderen.

Deel 2: uw HSM-sleutel verpakken en overdragen naar Azure Key Vault

Azure Key Vault-beheerder: Voor elke geëxporteerde SLC-sleutel die u wilt opslaan in Azure Key Vault, gebruikt u de volgende stappen in de sectie Bring Your Own Key (BYOK) implementeren voor Azure Key Vault in de Documentatie voor Azure Key Vault:

• Stap 4: Uw sleutel voorbereiden voor overdracht

• Stap 5: Uw sleutel overdragen naar Azure Key Vault

Volg de stappen voor het genereren van uw sleutelpaar niet, omdat u de sleutel al hebt. In plaats daarvan voert u een opdracht uit om deze sleutel over te dragen (in ons voorbeeld gebruikt de parameter KeyIdentifier contosobyok) vanuit uw on-premises HSM.

Voordat u uw sleutel overdraagt naar Azure Key Vault, moet u ervoor zorgen dat het hulpprogramma KeyTransferRemote.exe resultaat retourneert: GESLAAGD wanneer u een kopie van uw sleutel maakt met beperkte machtigingen (stap 4.1) en wanneer u uw sleutel versleutelt (stap 4.3).

Wanneer de sleutel wordt geüpload naar Azure Key Vault, ziet u de eigenschappen van de sleutel die wordt weergegeven, inclusief de sleutel-id. Het ziet er ongeveer als volgt uit https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Noteer deze URL omdat de Azure Information Protection-beheerder deze nodig heeft om de Azure Rights Management-service van Azure Information Protection te laten weten dat deze sleutel moet worden gebruikt voor de tenantsleutel.

Gebruik vervolgens de cmdlet Set-AzKeyVaultAccessPolicy om de Azure Rights Management-service-principal toegang te geven tot de sleutelkluis. De vereiste machtigingen zijn ontsleutelen, versleutelen, uitpakken, verpakken, verifiëren en ondertekenen.

Als de sleutelkluis die u hebt gemaakt voor Azure Information Protection bijvoorbeeld contosorms-byok-kv heet en uw resourcegroep contosorms-byok-rg heet, voert u de volgende opdracht uit:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Nu u uw HSM-sleutel hebt overgedragen naar Azure Key Vault, kunt u uw AD RMS-configuratiegegevens importeren.

Deel 3: de configuratiegegevens importeren in Azure Information Protection

1. Azure Information Protection-beheerder: kopieer op het met internet verbonden werkstation en in de PowerShell-sessie de nieuwe configuratiegegevensbestanden (.xml) waarop de SLC-sleutel is verwijderd nadat het hulpprogramma TpdUtil is uitgevoerd.

2. Upload elk XML-bestand met behulp van de cmdlet Import-AipServiceTpd . U moet bijvoorbeeld ten minste één extra bestand hebben om te importeren als u uw AD RMS-cluster hebt bijgewerkt voor cryptografische modus 2.

   Als u deze cmdlet wilt uitvoeren, hebt u het wachtwoord nodig dat u eerder hebt opgegeven voor het configuratiegegevensbestand en de URL voor de sleutel die in de vorige stap is geïdentificeerd.

   Als u bijvoorbeeld een configuratiegegevensbestand van C:\contoso_keyless.xml en de sleutel-URL-waarde uit de vorige stap gebruikt, voert u eerst het volgende uit om het wachtwoord op te slaan:

    $TPD_Password = Read-Host -AsSecureString
   

   Voer het wachtwoord in dat u hebt opgegeven om het configuratiegegevensbestand te exporteren. Voer vervolgens de volgende opdracht uit en bevestig dat u deze actie wilt uitvoeren:

   Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   Als onderdeel van deze import wordt de SLC-sleutel geïmporteerd en automatisch ingesteld als gearchiveerd.

3. Wanneer u elk bestand hebt geüpload, voert u Set-AipServiceKeyProperties uit om op te geven welke geïmporteerde sleutel overeenkomt met de momenteel actieve SLC-sleutel in uw AD RMS-cluster.

4. Gebruik de cmdlet Disconnect-AipServiceService om de verbinding met de Azure Rights Management-service te verbreken:

   Disconnect-AipServiceService
   

Als u later moet controleren welke sleutel uw Azure Information Protection-tenantsleutel in Azure Key Vault gebruikt, gebruikt u de Azure RMS-cmdlet Get-AipServiceKeys .

U bent nu klaar om naar stap 5 te gaan. Activeer de Azure Rights Management-service.