Share via

Quickstart: Een beheerde HSM inrichten en activeren met behulp van PowerShell

  • Artikel

In deze quickstart maakt en activeert u een azure Key Vault Managed HSM (Hardware Security Module) met PowerShell. Beheerde HSM is een volledig beheerde, maximaal beschikbare cloudservice met één tenant die voldoet aan standaarden waarmee u cryptografische sleutels voor uw cloudtoepassingen kunt beveiligen met behulp van gevalideerde HSM's van FIPS 140-2 Niveau 3 . Raadpleeg het overzicht voor meer informatie over beheerde HSM.

Als u ervoor kiest om PowerShell lokaal te installeren en gebruiken, is versie 1.0.0 of hoger van de Azure PowerShell-module vereist voor deze zelfstudie. Typ $PSVersionTable.PSVersion om de versie te bekijken. Als u PowerShell wilt upgraden, raadpleegt u De Azure PowerShell-module installeren. Als u PowerShell lokaal uitvoert, moet u ook Connect-AzAccount uitvoeren om verbinding te kunnen maken met Azure.

Connect-AzAccount

Een brongroep maken

Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Gebruik de Cmdlet New-AzResourceGroup van Azure PowerShell om een resourcegroep met de naam myResourceGroup te maken op de locatie eastus2.

New-AzResourceGroup -Name "myResourceGroup" -Location "eastus2"

Uw principal-id ophalen

Als u een beheerde HSM wilt maken, hebt u uw Microsoft Entra-principal-id nodig. Als u uw id wilt ophalen, gebruikt u de Cmdlet Azure PowerShell Get-AzADUser , waarbij u uw e-mailadres doorgeeft aan de parameter UserPrincipalName:

Get-AzADUser -UserPrincipalName "<your@email.address>"

Uw principal-id wordt geretourneerd in de indeling xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxx.

Een beheerde HSM maken

Het maken van een beheerde HSM is een proces in twee stappen:

  1. Richt een beheerde HSM-resource in.
  2. Activeer uw beheerde HSM door een artefact te downloaden dat het beveiligingsdomein wordt genoemd.

Een beheerde HSM inrichten

Gebruik de cmdlet New-AzKeyVaultManagedHsm van Azure PowerShell om een nieuwe beheerde HSM te maken. U moet enkele gegevens verstrekken:

  • Beheerde HSM-naam: een tekenreeks van 3 tot 24 tekens die alleen cijfers (0-9), letters (a-z, A-Z) en afbreekstreepjes (-) mogen bevatten

    Belangrijk

    Elke beheerde HSM moet een unieke naam hebben. Vervang <uw unieke beheerde hsm-naam> door de naam van uw beheerde HSM in de volgende voorbeelden.

  • Naam van resourcegroep: myResourceGroup.

  • De locatie: VS - oost 2.

  • Uw principal-id: geef de Microsoft Entra-principal-id door die u in de laatste sectie hebt verkregen, door aan de parameter 'Beheer istrator'.

New-AzKeyVaultManagedHsm -Name "your-unique-managed-hsm-name" -ResourceGroupName "myResourceGroup" -Location "eastus2" -Administrator "your-principal-ID" -SoftDeleteRetentionInDays "# of days to retain the managed hsm after softdelete"

Notitie

Het kan enkele minuten duren voor de maakopdracht is uitgevoerd. Zodra de opdracht is voltooid, bent u klaar om uw HSM te activeren.

In de uitvoer van deze cmdlet ziet u eigenschappen van de zojuist gemaakte beheerde HSM. Noteer deze twee eigenschappen:

  • Naam: de naam die u hebt opgegeven voor de beheerde HSM.
  • HsmUri: In het voorbeeld is dit https://< our-unique-managed-hsm-name.managedhsm.azure.net/>. Toepassingen die via de REST API gebruikmaken van uw kluis, moeten deze URI gebruiken.

Op dit moment is uw Azure-account de enige die gemachtigd is om bewerkingen uit te voeren op deze nieuwe HSM.

Uw beheerde HSM activeren

Alle gegevensvlakopdrachten zijn uitgeschakeld totdat de HSM wordt geactiveerd. U kunt geen sleutels maken of rollen toewijzen. Alleen de aangewezen beheerders, die zijn toegewezen tijdens het maken van de opdracht, kunnen de HSM activeren. Als u de HSM wilt activeren, moet u het beveiligingsdomein downloaden.

Als u uw HSM wilt activeren, hebt u het volgende nodig:

  • Minimaal drie RSA-sleutelparen opgeven (maximaal 10)
  • Het minimale aantal sleutels opgeven dat is vereist voor het ontsleutelen van het beveiligingsdomein (een quorum genoemd)

Als u de HSM wilt activeren, verzendt u ten minste drie (maximaal 10) openbare RSA-sleutels naar de HSM. De HSM versleutelt het beveiligingsdomein met deze sleutels en stuurt het terug. Als het downloaden van dit beveiligingsdomein voltooid is, is uw HSM klaar voor gebruik. U moet ook een quorum opgeven. Dit is het minimale aantal persoonlijke sleutels dat vereist is voor het ontsleutelen van het beveiligingsdomein.

In het volgende voorbeeld ziet u hoe openssl u (hier beschikbaar voor Windows) drie zelfondertekende certificaten kunt genereren.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

Belangrijk

Maak de RSA-sleutelparen en het beveiligingsdomeinbestand dat in deze stap is gegenereerd en sla ze op een veilige manier op.

Gebruik de cmdlet Azure PowerShell Export-AzKeyVaultSecurityDomain om het beveiligingsdomein te downloaden en uw beheerde HSM te activeren. In het volgende voorbeeld worden drie RSA-sleutelparen gebruikt (alleen openbare sleutels zijn nodig voor deze opdracht) en wordt het quorum ingesteld op twee.

Export-AzKeyVaultSecurityDomain -Name "<your-unique-managed-hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "MHSMsd.ps.json" -Quorum 2

Sla het beveiligingsdomeinbestand en de RSA-sleutelparen veilig op. U hebt ze nodig voor herstel na noodgevallen of voor het maken van een andere beheerde HSM die hetzelfde beveiligingsdomein deelt, zodat de twee sleutels kunnen delen.

Nadat het beveiligingsdomein is gedownload, heeft uw HSM een actieve status en kunt u deze gebruiken.

Resources opschonen

Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om verder te gaan met andere snelstarts en zelfstudies, kunt u deze resources intact laten.

Wanneer u de cmdlet Azure PowerShell Remove-AzResourceGroup niet meer nodig hebt, kunt u de resourcegroep en alle gerelateerde resources verwijderen.

Remove-AzResourceGroup -Name "myResourceGroup"

Waarschuwing

Als u de resourcegroep verwijdert, wordt de beheerde HSM in een voorlopig verwijderde status gebracht. De beheerde HSM wordt nog steeds gefactureerd totdat deze wordt opgeschoond. Beheerde HSM-beveiliging voor voorlopig verwijderen en opschonen bekijken

Volgende stappen

In deze quickstart hebt u een beheerde HSM gemaakt en geactiveerd. Voor meer informatie over beheerde HSM en hoe u deze integreert met uw toepassingen, gaat u verder met deze artikelen: