Zie Wat is beheerde HSM? voor een overzicht van beheerde HSM.
Vereiste voorwaarden
Er is een Azure-abonnement vereist. Als u nog geen account hebt, maakt u een gratis account voordat u begint.
U hebt ook het volgende nodig:
Notitie
Alle volgende opdrachten bevatten twee gebruiksmethoden voor CLI. Eén methode maakt gebruik van de --hsm-name parameters en --name (voor sleutelnaam). De andere methode maakt gebruik van de --id parameter, waar u de volledige URL kunt opgeven, inclusief de sleutelnaam, indien van toepassing. De laatste methode is handig wanneer de oproepende functie (een gebruiker of een toepassing) geen leestoegang heeft tot het besturingsvlak en alleen beperkte toegang tot het gegevensvlak.
Voor sommige interacties met sleutelmateriaal zijn specifieke lokale RBAC-machtigingen voor beheerde HSM vereist. Zie Ingebouwde RBAC-rollen voor beheerde HSM voor een volledige lijst met ingebouwde RBAC-rollen en -machtigingen voor beheerde HSM. Als u deze machtigingen aan een gebruiker wilt toewijzen, raadpleegt u Beveiligde toegang tot uw beheerde HSM's.
HSM-sleutel maken
Notitie
U kunt geen sleutel exporteren die is gegenereerd of geïmporteerd in een beheerde HSM. De enige uitzondering op de regel voor geen export is wanneer u een sleutel maakt met een specifiek beleid voor sleutelrelease. Met dit beleid kan de sleutel alleen worden geëxporteerd naar vertrouwde vertrouwelijke computingomgevingen (beveiligde enclaves) die u expliciet definieert. Deze beperkte exportmogelijkheid is ontworpen voor specifieke scenario's voor veilige computing en is niet hetzelfde als een algemene sleutelexport. Zie het gekoppelde artikel voor aanbevolen praktijken voor sleutelportabiliteit en duurzaamheid.
Navigeer in de Azure-portal naar uw beheerde HSM-resource.
Selecteer Sleutels in het linkermenu onder Instellingen.
Selecteer Genereren/importeren in de vervolgkeuzelijst Back-up genereren/importeren/herstellen .
Kies het sleuteltype (RSA-HSM, EC-HSM of oct-HSM), stel de sleutelgrootte of curve, naam en toegestane bewerkingen in en selecteer Vervolgens Maken.
Gebruik de az keyvault key create opdracht om een sleutel te maken.
Een RSA-sleutel maken
In dit voorbeeld ziet u hoe u een 3072-bits RSA-sleutel maakt die alleen wordt gebruikt voor wrapKey - en unwrapKey-bewerkingen (--ops).
az keyvault key create --hsm-name <hsm-name> --name myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
## OR
# Note the key name (myrsakey) in the URI
az keyvault key create --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
De get bewerking retourneert alleen de openbare sleutel en sleutelkenmerken. Het retourneert de privésleutel niet (als het een asymmetrische sleutel is) of het sleutelmateriaal (als het een symmetrische sleutel is).
EC-sleutel maken
In het volgende voorbeeld ziet u hoe u een EC-sleutel maakt met de P-256-curve. De sleutel is alleen bedoeld voor aanmeldings- en verificatiebewerkingen (--ops) en heeft twee tags, gebruik en app-naam. Gebruik tags om extra metagegevens toe te voegen aan de sleutel voor het bijhouden en beheren.
az keyvault key create --hsm-name <hsm-name> --name myec256key --ops sign verify --tags 'usage=signing' 'appname=myapp' --kty EC-HSM --curve P-256
## OR
# Note the key name (myec256key) in the URI
az keyvault key create --id https://<hsm-name>.managedhsm.azure.net/keys/myec256key --ops sign verify --tags 'usage=signing' 'appname=myapp' --kty EC-HSM --curve P-256
Een 256-bits symmetrische sleutel maken
In dit voorbeeld ziet u hoe u een 256-bits symmetrische sleutel maakt die alleen geschikt is voor versleutelings- en ontsleutelingsbewerkingen (--ops).
az keyvault key create --hsm-name <hsm-name> --name myaeskey --ops encrypt decrypt --tags 'usage=encryption' 'appname=myapp' --kty oct-HSM --size 256
## OR
# Note the key name (myaeskey) in the URI
az keyvault key create --id https://<hsm-name>.managedhsm.azure.net/keys/myaeskey --ops encrypt decrypt --tags 'usage=encryption' 'appname=myapp' --kty oct-HSM --size 256
Gebruik de Add-AzKeyVaultKey cmdlet om een sleutel te maken.
Een RSA-sleutel maken
In dit voorbeeld ziet u hoe u een 3072-bits RSA-sleutel maakt die alleen wordt gebruikt voor wrapKey - en unwrapKey-bewerkingen .
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -KeyType RSA-HSM -Size 3072 -KeyOps wrapKey,unwrapKey
EC-sleutel maken
In dit voorbeeld ziet u hoe u een EC-sleutel maakt met de P-256-curve voor teken- en verificatiebewerkingen .
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myec256key -KeyType EC-HSM -CurveName P-256 -KeyOps sign,verify -Tag @{usage='signing'; appname='myapp'}
Een 256-bits symmetrische sleutel maken
In dit voorbeeld ziet u hoe u een 256-bits symmetrische sleutel maakt voor versleutelings- en ontsleutelingsbewerkingen .
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myaeskey -KeyType oct-HSM -Size 256 -KeyOps encrypt,decrypt -Tag @{usage='encryption'; appname='myapp'}
Navigeer in de Azure-portal naar uw beheerde HSM-resource.
Selecteer Sleutels in het linkermenu onder Instellingen.
Selecteer de sleutel die u wilt weergeven. In de portal worden de kenmerken, versies en tags van de sleutel weergegeven.
Gebruik de az keyvault key show opdracht om kenmerken, versies en tags voor een sleutel weer te geven.
az keyvault key show --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key show --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey
Gebruik de Get-AzKeyVaultKey cmdlet om kenmerken, versies en tags voor een sleutel weer te geven.
Get-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey
Sleutels vermelden
Navigeer in de Azure-portal naar uw beheerde HSM-resource.
Selecteer Sleutels in het linkermenu onder Instellingen. De portal bevat alle sleutels in de beheerde HSM.
Gebruik de az keyvault key list opdracht om alle sleutels in een beheerde HSM weer te geven.
az keyvault key list --hsm-name <hsm-name>
## OR
# use full URI
az keyvault key list --id https://<hsm-name>.managedhsm.azure.net/
Gebruik de Get-AzKeyVaultKey cmdlet om alle sleutels in een beheerde HSM weer te geven.
Get-AzKeyVaultKey -HsmName <hsm-name>
Een sleutel verwijderen
Navigeer in de Azure-portal naar uw beheerde HSM-resource.
Selecteer Sleutels in het linkermenu onder Instellingen.
Selecteer de sleutel die u wilt verwijderen.
Selecteer Verwijderen en bevestig dan.
Gebruik de az keyvault key delete opdracht om een sleutel te verwijderen uit een beheerde HSM. Soft-delete is altijd ingeschakeld. Daarom blijft een verwijderde sleutel in de status Verwijderd en kunt u deze herstellen totdat het aantal retentiedagen is verstreken. Daarna wordt de sleutel leeggemaakt (permanent verwijderd) zonder herstel mogelijk.
az keyvault key delete --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key delete --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey
Gebruik de Remove-AzKeyVaultKey cmdlet om een sleutel te verwijderen. Voorlopig verwijderen is altijd ingeschakeld, zodat een verwijderde sleutel kan worden hersteld totdat de bewaarperiode verloopt.
Remove-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey
Verwijderde sleutels vermelden
Navigeer in de Azure-portal naar uw beheerde HSM-resource.
Selecteer Sleutels in het linkermenu onder Instellingen.
Selecteer Verwijderde sleutels beheren om sleutels in de zacht verwijderde status weer te geven.
Gebruik de az keyvault key list-deleted opdracht om alle sleutels in de verwijderde status in uw beheerde HSM weer te geven.
az keyvault key list-deleted --hsm-name <hsm-name>
## OR
# use full URI
az keyvault key list-deleted --id https://<hsm-name>.managedhsm.azure.net/
Gebruik de Get-AzKeyVaultKey cmdlet met de -InRemovedState parameter om verwijderde sleutels weer te geven.
Get-AzKeyVaultKey -HsmName <hsm-name> -InRemovedState
Een verwijderde sleutel herstellen (verwijderen ongedaan maken)
Navigeer in de Azure-portal naar uw beheerde HSM-resource.
Selecteer sleutels in het linkermenu onder Instellingen en selecteer vervolgens Verwijderde sleutels beheren.
Selecteer de verwijderde sleutel die u wilt herstellen.
Selecteer Herstellen.
Gebruik de az keyvault key list-deleted opdracht om alle sleutels in de status Verwijderd in uw beheerde HSM weer te geven. Als u een sleutel wilt herstellen (ongedaan wilt maken), gebruikt u de --id parameter. U moet de recoveryId waarde noteren van de verwijderde sleutel die u hebt verkregen uit de az keyvault key list-deleted opdracht.
az keyvault key recover --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://<hsm-name>.managedhsm.azure.net/deletedKeys/myrsakey
Gebruik de Undo-AzKeyVaultKeyRemoval cmdlet om een verwijderde sleutel te herstellen.
Undo-AzKeyVaultKeyRemoval -HsmName <hsm-name> -Name myrsakey
Een sleutel opschonen (permanent verwijderen)
Notitie
Als de beheerde HSM beveiliging tegen opschonen heeft ingeschakeld, is de opschoningsbewerking niet toegestaan. De sleutel wordt automatisch opgeschoond wanneer de bewaarperiode is verstreken.
Navigeer in de Azure-portal naar uw beheerde HSM-resource.
Selecteer sleutels in het linkermenu onder Instellingen en selecteer vervolgens Verwijderde sleutels beheren.
Selecteer de verwijderde sleutel die u wilt opschonen.
Selecteer Opschonen en bevestig het.
Waarschuwing
Met deze bewerking wordt uw sleutel definitief verwijderd.
Gebruik de az keyvault key purge opdracht om een sleutel leeg te maken (permanent te verwijderen).
az keyvault key purge --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key purge --id https://<hsm-name>.managedhsm.azure.net/deletedKeys/myrsakey
Gebruik de Remove-AzKeyVaultKey cmdlet met de -InRemovedState parameter om een verwijderde sleutel te verwijderen.
Remove-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -InRemovedState
Waarschuwing
Met deze bewerking wordt uw sleutel definitief verwijderd.
Back-up van één sleutel maken
Sleutelback-up is momenteel niet beschikbaar in de Azure-portal. Gebruik de Azure CLI of Azure PowerShell.
Gebruik az keyvault key backup om een back-up van een sleutel te maken. Het back-upbestand is een versleutelde blob die cryptografisch is gebonden aan het beveiligingsdomein van de bron-HSM. U kunt deze alleen herstellen in HSM's die hetzelfde beveiligingsdomein delen. Meer informatie over het beveiligingsdomein.
az keyvault key backup --hsm-name <hsm-name> --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key backup --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey --file myrsakey.backup
Gebruik de Backup-AzKeyVaultKey cmdlet om een sleutelback-up te maken. Het back-upbestand is een versleutelde blob die cryptografisch is gebonden aan het beveiligingsdomein van de bron-HSM.
Backup-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -OutputFile myrsakey.backup
Eén sleutel herstellen vanuit een back-up
Navigeer in de Azure-portal naar uw beheerde HSM-resource.
Selecteer Sleutels in het linkermenu onder Instellingen.
Selecteer Back-up genereren/importeren/herstellen en kies De sleutel terugzetten in de back-up.
Blader naar het back-upbestand en selecteer vervolgens Herstellen.
Gebruik az keyvault key restore om één sleutel te herstellen. De bron-HSM waar u de back-up hebt gemaakt, moet hetzelfde beveiligingsdomein delen als de doel-HSM waar u de sleutel herstelt.
Notitie
De herstelbewerking mislukt als een sleutel met dezelfde naam actief of verwijderd is.
az keyvault key restore --hsm-name <hsm-name> --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key restore --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey --file myrsakey.backup
Gebruik de Restore-AzKeyVaultKey cmdlet om één sleutel te herstellen. De bron-HSM waar u de back-up hebt gemaakt, moet hetzelfde beveiligingsdomein delen als de doel-HSM.
Notitie
De herstelbewerking mislukt als een sleutel met dezelfde naam actief of verwijderd is.
Restore-AzKeyVaultKey -HsmName <hsm-name> -InputFile myrsakey.backup
Een sleutel uit een bestand importeren
Sleutelimport is momenteel niet beschikbaar in de Azure-portal. Gebruik de Azure CLI of Azure PowerShell.
Gebruik de az keyvault key import opdracht om een sleutel (alleen RSA en EC) uit een bestand te importeren. Het certificaatbestand moet een persoonlijke sleutel hebben en moet PEM-codering gebruiken (zoals gedefinieerd in RFCs 1421, 1422, 1423, 1424).
az keyvault key import --hsm-name <hsm-name> --name myrsakey --pem-file mycert.key --pem-password 'mypassword'
## OR
# Note the key name (<key-name>) in the URI
az keyvault key import --id https://<hsm-name>.managedhsm.azure.net/keys/<key-name> --pem-file mycert.key --password 'mypassword'
Gebruik de Add-AzKeyVaultKey cmdlet met de -KeyFilePath parameter om een sleutel te importeren uit een PEM-bestand.
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -KeyFilePath ./mycert.key -KeyFilePassword (ConvertTo-SecureString -String 'mypassword' -AsPlainText -Force) -KeyType RSA-HSM
Als u een sleutel uit uw on-premises HSM wilt importeren in een beheerde HSM, raadpleegt u Met HSM beveiligde sleutels importeren in beheerde HSM (BYOK).
Volgende stappen