Share via

Importowanie kluczy chronionych przez moduł HSM dla Key Vault (nCipher)

  • Artykuł

Ostrzeżenie

Metoda importowania klucza HSM opisana w tym dokumencie jest przestarzała i nie będzie obsługiwana po 30 czerwca 2021 r. Działa tylko z rodziną nCipher nShield modułów HSM z oprogramowaniem układowym 12.40.2 lub nowszym. Użycie nowej metody importowania kluczy HSM jest zdecydowanie zalecane.

Uwaga

Do interakcji z platformą Azure zalecamy używanie modułu Azure Az w programie PowerShell. Zobacz Instalowanie programu Azure PowerShell, aby rozpocząć. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.

Aby zapewnić dodatkową pewność, podczas korzystania z usługi Azure Key Vault można importować lub generować klucze w sprzętowych modułach zabezpieczeń (HSM), które nigdy nie opuszczają granicy modułu HSM. Ten scenariusz jest często określany jako używania własnego klucza (BYOK). Usługa Azure Key Vault używa rodziny nCipher nShield modułów HSM (zweryfikowanych na poziomie 2 fiPS 140-2) w celu ochrony kluczy.

Skorzystaj z tego artykułu, aby ułatwić planowanie, generowanie, a następnie przenoszenie własnych kluczy chronionych przez moduł HSM do użycia z usługą Azure Key Vault.

Ta funkcja nie jest dostępna dla platformy Microsoft Azure obsługiwanej przez firmę 21Vianet.

Uwaga

Aby uzyskać więcej informacji na temat usługi Azure Key Vault, zobacz Co to jest usługa Azure Key Vault? Aby zapoznać się z samouczkiem wprowadzającym, który obejmuje tworzenie magazynu kluczy dla kluczy chronionych przez moduł HSM, zobacz Co to jest usługa Azure Key Vault?.

Więcej informacji na temat generowania i przesyłania klucza chronionego przez moduł HSM przez Internet:

  • Klucz jest generowany na stacji roboczej w trybie offline, co zmniejsza obszar ataków.
  • Klucz jest szyfrowany przy użyciu klucza wymiany kluczy (KEK), który pozostaje zaszyfrowany do momentu przeniesienia go do modułów HSM platformy Azure Key Vault. Tylko zaszyfrowana wersja klucza pozostawia oryginalną stację roboczą.
  • Zestaw narzędzi ustawia właściwości klucza dzierżawy, który wiąże klucz ze światem zabezpieczeń usługi Azure Key Vault. Dlatego po odebraniu i odszyfrowaniu klucza modułów HSM platformy Azure Key Vault tylko te moduły HSM mogą go używać. Nie można wyeksportować klucza. To powiązanie jest wymuszane przez moduły HSM nCipher.
  • Klucz wymiany kluczy (KEK), który jest używany do szyfrowania klucza, jest generowany wewnątrz modułów HSM platformy Azure Key Vault i nie można go wyeksportować. Sprzętowe moduły zabezpieczeń wymagają, aby poza ich obrębem nie był dostępny żaden jasny obraz klucza wymiany klucza (KEK). Ponadto zestaw narzędzi zawiera zaświadczenie z nCipher, że klucz KEK nie jest eksportowalny i został wygenerowany wewnątrz oryginalnego modułu HSM, który został wyprodukowany przez nCipher.
  • Zestaw narzędzi zawiera zaświadczania z nCipher, że świat zabezpieczeń platformy Azure Key Vault został również wygenerowany na oryginalnym module HSM wyprodukowanym przez nCipher. To zaświadczenie pokazuje, że firma Microsoft korzysta z oryginalnego sprzętu.
  • Firma Microsoft używa oddzielnych zestawów KEK i oddzielnych środowisk zabezpieczeń w każdym regionie geograficznym. Ta separacja gwarantuje, że klucz może być używany tylko w centrach danych w regionie, w którym został zaszyfrowany. Na przykład klucz od europejskiego klienta nie może być używany w centrach danych w Ameryce Północnej lub Azji.

Więcej informacji na temat modułów HSM nCipher i usług firmy Microsoft

nCipher Security, firma Entrust Datacard, jest liderem na rynku modułów HSM ogólnego przeznaczenia, umożliwiając światowym organizacjom dostarczanie zaufania, integralności i kontroli nad informacjami i aplikacjami krytycznymi dla działania firmy. Rozwiązania kryptograficzne nCipher zabezpieczają nowe technologie — chmurę, IoT, łańcuch bloków, płatności cyfrowe — i pomagają spełnić nowe mandaty w zakresie zgodności, korzystając z tej samej sprawdzonej technologii, od których organizacje globalne zależą obecnie, aby chronić przed zagrożeniami dla poufnych danych, komunikacji sieciowej i infrastruktury przedsiębiorstwa. Usługa nCipher zapewnia zaufanie do aplikacji krytycznych dla działania firmy, zapewniając integralność danych i zapewniając klientom pełną kontrolę — dziś, jutro, zawsze.

Firma Microsoft współpracowała z rozwiązaniem nCipher Security, aby zwiększyć stan sprzętu dla modułów HSM. Opracowane udoskonalenia pozwalają użytkownikom czerpać korzyści z typowych zalet usług hostowanych bez potrzeby rezygnacji z kontroli nad kluczami. Ulepszenia te umożliwiają firmie Microsoft w szczególności zarządzanie sprzętowymi modułami zabezpieczeń, zdejmując ten ciężar z użytkownika. Jako usługa w chmurze platforma Azure Key Vault skaluje się w górę w krótkim czasie, aby spełnić wzrost użycia organizacji. Jednocześnie klucz jest chroniony w modułach HSM firmy Microsoft: zachowujesz kontrolę nad cyklem życia klucza, ponieważ generujesz klucz i przenosisz go do modułów HSM firmy Microsoft.

Implementowanie używania własnego klucza (BYOK) na potrzeby usługi Azure Key Vault

Skorzystaj z poniższych informacji i procedur, jeśli wygenerujesz własny klucz chroniony przez moduł HSM, a następnie przetransferujesz go do usługi Azure Key Vault. Jest to nazywane scenariuszem Bring Your Own Key (BYOK).

Wymagania wstępne dotyczące funkcji BYOK

Zapoznaj się z poniższą tabelą, aby zapoznać się z listą wymagań wstępnych dotyczących funkcji BYOK dla usługi Azure Key Vault.

Wymaganie Więcej informacji
Subskrypcja platformy Azure Aby utworzyć Key Vault platformy Azure, potrzebujesz subskrypcji platformy Azure: utwórz konto w celu uzyskania bezpłatnej wersji próbnej
Warstwa usługi Azure Key Vault Premium do obsługi kluczy chronionych przez moduł HSM Aby uzyskać więcej informacji na temat warstw usług i możliwości platformy Azure Key Vault, zobacz witrynę internetową Azure Key Vault Pricing (Cennik usługi Azure Key Vault).
nCipher nShield HSMs, smartcards i support software Musisz mieć dostęp do modułu zabezpieczeń sprzętu nCipher i podstawowej wiedzy operacyjnej nCipher nShield HSMs. Zobacz moduł zabezpieczeń sprzętu nCipher nShield , aby uzyskać listę zgodnych modeli lub kupić moduł HSM, jeśli go nie masz.
Następujący sprzęt i oprogramowanie:
  1. Stacja robocza x64 w trybie offline z minimalnym systemem operacyjnym Windows 7 i nCipher nShield, które jest co najmniej w wersji 11.50.

    Jeśli ta stacja robocza działa z systemem Windows 7, musisz zainstalować program Microsoft .NET Framework 4.5.
  2. Stacja robocza połączona z Internetem i ma zainstalowany system operacyjny Windows 7 i Azure PowerShellminimum w wersji 1.1.0.
  3. Dysk USB lub inne przenośne urządzenie pamięci masowej, które ma co najmniej 16 MB wolnego miejsca.
 Ze względów bezpieczeństwa odradza się podłączanie pierwszej stacji roboczej do sieci. Jednak to zalecenie nie jest wymuszane programowo.

W poniższych instrukcjach ta stacja robocza jest określana jako odłączona stacja robocza.


Ponadto jeśli klucz dzierżawy jest przeznaczony dla sieci produkcyjnej, zalecamy użycie drugiej, oddzielnej stacji roboczej do pobrania zestawu narzędzi i przekazania klucza dzierżawy. Do celów testowych można jednak użyć pierwszej stacji roboczej.

W poniższych instrukcjach druga stacja robocza jest nazywana stacją roboczą połączoną z Internetem.

Generowanie i przenoszenie klucza do modułu HSM platformy Azure Key Vault

Użyjesz następujących pięciu kroków, aby wygenerować i przenieść klucz do modułu HSM usługi Azure Key Vault:

Przygotowanie stacji roboczej podłączonej do Internetu

W tym pierwszym kroku wykonaj następujące procedury na stacji roboczej połączonej z Internetem.

Instalowanie programu Azure PowerShell

Na stacji roboczej połączonej z Internetem pobierz i zainstaluj moduł Azure PowerShell zawierający polecenia cmdlet do zarządzania usługą Azure Key Vault. Aby uzyskać instrukcje instalacji, zobacz How to install and configure Azure PowerShell (Jak zainstalować i skonfigurować Azure PowerShell).

Uzyskiwanie identyfikatora subskrypcji platformy Azure

Uruchom sesję Azure PowerShell i zaloguj się do konta platformy Azure przy użyciu następującego polecenia:

   Connect-AzAccount

W podręcznym oknie przeglądarki wprowadź nazwę użytkownika i hasło dla konta platformy Azure. Następnie użyj polecenia Get-AzSubscription :

   Get-AzSubscription

Z danych wyjściowych znajdź identyfikator subskrypcji, której będziesz używać dla usługi Azure Key Vault. Ten identyfikator subskrypcji będzie potrzebny później.

Nie zamykaj okna Azure PowerShell.

Pobieranie zestawu narzędzi BYOK dla usługi Azure Key Vault

Przejdź do Centrum pobierania Microsoft i pobierz zestaw narzędzi BYOK platformy Azure Key Vault dla regionu geograficznego lub wystąpienia platformy Azure. Użyj następujących informacji, aby zidentyfikować nazwę pakietu do pobrania i odpowiadający mu skrót pakietu SHA-256:

Stany Zjednoczone:

KeyVault-BYOK-Tools-UnitedStates.zip

2E8C0032040043010636A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4

Europie:

KeyVault-BYOK-Tools-Europe.zip

9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A

Azji:

KeyVault-BYOK-Tools-AsiaPacific.zip

4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C97388EC7121EF6B5

Ameryka Łacińska:

KeyVault-BYOK-Tools-LatinAmerica.zip

E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619

Japonia:

KeyVault-BYOK-Tools-Japan.zip

3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF

Korea:

KeyVault-BYOK-Tools-Korea.zip

71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F

Republika Południowej Afryki:

KeyVault-BYOK-Tools-SouthAfrica.zip

C41060C5C0170AAAAAD896DA732E3143D14CB9FC83AC3C67766F46D98620784A

ZEA:

KeyVault-BYOK-Tools-UAE.zip

FADE80210B06962A0913EA411DAB9779248C65F365FD953BB9F241D5FC0D3

Australia:

KeyVault-BYOK-Tools-Australia.zip

CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A0223EEB166901C40A

Azure Government:

KeyVault-BYOK-Tools-USGovCloud.zip

F8DB2FC914A7360650922391D9A79FF030FD3048B5795EC83ADC59DB018621A

US Government DOD:

KeyVault-BYOK-Tools-USGovernmentDoD.zip

A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B91BB55C35263

Kanada:

KeyVault-BYOK-Tools-Canada.zip

61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B

Niemcy:

KeyVault-BYOK-Tools-Germany.zip

5385E615880AFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6

Niemcy Publiczne:

KeyVault-BYOK-Tools-Germany-Public.zip

54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29

Indie:

KeyVault-BYOK-Tools-India.zip

49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8

Francja:

KeyVault-BYOK-Tools-France.zip

5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF

Wielka Brytania:

KeyVault-BYOK-Tools-UnitedKingdom.zip

432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849

Szwajcaria:

KeyVault-BYOK-Tools-Switzerland.zip

88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9

Aby zweryfikować integralność pobranego zestawu narzędzi BYOK, z sesji Azure PowerShell użyj polecenia cmdlet Get-FileHash.

Get-FileHash KeyVault-BYOK-Tools-*.zip

Zestaw narzędzi obejmuje:

  • Pakiet klucza wymiany klucza (KEK), który ma nazwę rozpoczynającą się od BYOK-KEK-pkg-.
  • Pakiet Security World o nazwie rozpoczynającej się od BYOK-SecurityWorld-pkg-.
  • Skrypt języka Python o nazwie verifykeypackage.py.
  • Plik wykonywalny wiersza polecenia o nazwie KeyTransferRemote.exe i skojarzone biblioteki DLL.
  • Pakiet pakiet redystrybucyjny programu Visual C++ o nazwie vcredist_x64.exe.

Skopiuj pakiet na dysk USB lub do innego przenośnego urządzenia pamięci masowej.

Przygotowanie odłączonej stacji roboczej

W tym drugim kroku wykonaj następujące procedury na stacji roboczej, która nie jest połączona z siecią (Internet lub sieć wewnętrzna).

Przygotowywanie odłączonej stacji roboczej za pomocą modułu HSM nCipher nShield

Zainstaluj oprogramowanie do obsługi nCipher na komputerze z systemem Windows, a następnie dołącz do niego moduł HSM nCipher nShield.

Upewnij się, że narzędzia nCipher znajdują się w ścieżce (%nfast_home%\bin). Na przykład wpisz :

set PATH=%PATH%;"%nfast_home%\bin"

Aby uzyskać więcej informacji, zobacz podręcznik użytkownika dołączony do modułu HSM nShield.

Instalowanie zestawu narzędzi BYOK na odłączonej stacji roboczej

Skopiuj pakiet zestawu narzędzi BYOK z dysku USB lub innego przenośnego magazynu, a następnie:

  1. Wyodrębnij pliki z pobranego pakietu do dowolnego folderu.
  2. Z poziomu tego folderu uruchom plik vcredist_x64.exe.
  3. Postępuj zgodnie z instrukcjami, aby zainstalować składniki środowiska uruchomieniowego Visual C++ dla Visual Studio 2013.

Generowanie klucza

W tym trzecim kroku wykonaj następujące procedury na odłączonej stacji roboczej. Aby wykonać ten krok, moduł HSM musi być w trybie inicjowania.

Zmień tryb HSM na "I"

Jeśli używasz nCipher nShield Edge, aby zmienić tryb: 1. Użyj przycisku Tryb, aby wyróżnić wymagany tryb. 2. W ciągu kilku sekund naciśnij i przytrzymaj przycisk Wyczyść przez kilka sekund. Jeśli tryb zmieni się, dioda LED nowego trybu przestanie migać i pozostaje oświetlona. Dioda LED stanu może migać nieregularnie przez kilka sekund, a następnie miga regularnie, gdy urządzenie jest gotowe. W przeciwnym razie urządzenie pozostaje w trybie bieżącym, z odpowiednim trybem dioda LED.

Tworzenie środowiska zabezpieczeń

Uruchom wiersz polecenia i uruchom program nCipher new-world.

 new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3

Uruchomienie programu powoduje utworzenie pliku Security World w lokalizacji %NFAST_KMDATA%\local\world, co odpowiada lokalizacji folderu C:\ProgramData\nCipher\Key Management Data\local. Możesz użyć różnych wartości kworum, ale w naszym przykładzie zostanie wyświetlony monit o wprowadzenie trzech pustych kart i pinezek dla każdego z nich. Następnie wszystkie dwie karty zapewniają pełny dostęp do świata zabezpieczeń. Karty te tworzą od tej chwili zestaw kart administratora nowego środowiska zabezpieczeń Security World.

Uwaga

Jeśli moduł HSM nie obsługuje nowszego zestawu cypher DLf3072s256mRijndael, możesz zastąpić element --cipher-suite= DLf3072s256mRijndael .--cipher-suite=DLf1024s160mRijndael

Świat zabezpieczeń utworzony za pomocą new-world.exe dostarczany z oprogramowaniem nCipher w wersji 12.50 nie jest zgodny z tą procedurą BYOK. Dostępne są dwie opcje:

  1. Zmień wersję oprogramowania nCipher na starszą wersję do wersji 12.40.2, aby utworzyć nowy świat zabezpieczeń.
  2. Skontaktuj się z pomocą techniczną nCipher i poproś go o podanie poprawki dla wersji oprogramowania 12.50, która umożliwia korzystanie z wersji 12.40.2 new-world.exe zgodnej z tą procedurą BYOK.

Następnie:

  • Utwórz kopię zapasową pliku środowiska zabezpieczeń. Zabezpiecz i chroń plik środowiska zabezpieczeń, karty administratora oraz ich kody PIN, a także upewnij się, że nikt nie ma dostępu do więcej niż jednej karty.

Zmień tryb HSM na "O"

Jeśli używasz nCipher nShield Edge, aby zmienić tryb: 1. Użyj przycisku Tryb, aby wyróżnić wymagany tryb. 2. W ciągu kilku sekund naciśnij i przytrzymaj przycisk Wyczyść przez kilka sekund. Jeśli tryb zmieni się, dioda LED nowego trybu przestanie migać i pozostaje oświetlona. Dioda LED stanu może migać nieregularnie przez kilka sekund, a następnie miga regularnie, gdy urządzenie jest gotowe. W przeciwnym razie urządzenie pozostaje w trybie bieżącym, z odpowiednim trybem dioda LED.

Weryfikowanie pobranego pakietu

Ta czynność jest opcjonalna, ale zaleca się jej wykonanie w celu upewnienia się, że:

  • Klucz wymiany kluczy dołączony do zestawu narzędzi został wygenerowany na podstawie oryginalnego modułu HSM nCipher nShield.
  • Skrót środowiska zabezpieczeń, który znajduje się w zestawie narzędzi, został wygenerowany w oryginalnym module HSM nCipher nShield.
  • Klucz wymiany klucza nie może zostać wyeksportowany.

Uwaga

Aby zweryfikować pobrany pakiet, moduł HSM musi być połączony, włączony i musi mieć na nim środowisko zabezpieczeń (na przykład ten, który został właśnie utworzony).

Aby sprawdzić poprawność pobranego pakietu:

  1. Uruchom skrypt verifykeypackage.py, wpisując jedną z następujących czynności, w zależności od regionu geograficznego lub wystąpienia platformy Azure:

    • Dla Ameryki Północnej:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1

    • Dla Europy:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1

    • Azja:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1

    • Dla Ameryki Łacińskiej:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1

    • Dla Japonii:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1

    • Dla Korei:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1

    • Dla Republiki Południowej Afryki:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1

    • Dla ZEA:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1

    • Dla Australii:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1

    • W przypadku Azure Government, które używa wystąpienia platformy Azure dla instytucji rządowych USA:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1

    • W przypadku rządu USA DOD:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1

    • Dla Kanady:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1

    • Dla Niemiec:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1

    • Dla niemiec publicznych:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1

    • Dla Indii:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1

    • Dla Francji:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1

    • Dla Zjednoczonego Królestwa:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1

    • Dla Szwajcarii:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1

      Porada

      Oprogramowanie nCipher nShield zawiera język Python w lokalizacji %NFAST_HOME%\python\bin

  2. Upewnij się, że widzisz następujące elementy, które wskazują pomyślną walidację : Wynik: POWODZENIE

Ten skrypt weryfikuje łańcuch osób podpisającego do klucza głównego nShield. Skrót klucza głównego jest osadzony w skrypcie; jego wartość powinna wynosić 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Tę wartość można również potwierdzić oddzielnie, odwiedzając witrynę internetową nCipher.

Teraz możesz utworzyć nowy klucz.

Tworzenie nowego klucza

Wygeneruj klucz przy użyciu programu generowania nCipher nShield.

Uruchom następujące polecenie, aby wygenerować klucz:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

Podczas uruchamiania tego polecenia należy zastosować się do następujących instrukcji:

  • Parametr protect musi mieć ustawioną wartość module, jak przedstawiono. Spowoduje to utworzenie klucza chronionego przez moduł. Zestaw narzędzi BYOK nie obsługuje kluczy chronionych z użyciem protokołu OCS.
  • Zamień wartość contosokey dla pozycji ident i plainname na dowolną wartość ciągu. Aby zminimalizować koszty administracyjne i zmniejszyć ryzyko wystąpienia błędów, zalecamy użycie tej samej wartości dla obu tych elementów. Wartość ident musi zawierać tylko cyfry, kreski i małe litery.
  • W tym przykładzie parametr pubexp został pozostawiony pusty (wartość domyślna), można jednak określić konkretne jego wartości.

To polecenie tworzy plik tokenizowanego klucza w folderze %NFAST_KMDATA%\local o nazwie rozpoczynającej się od key_simple_, a następnie identyfikatorze określonym w poleceniu. Na przykład: key_simple_contosokey. Ten plik zawiera zaszyfrowany klucz.

Utwórz w bezpiecznej lokalizacji kopię zapasową tego pliku stokenizowanego klucza.

Ważne

Gdy później przeniesiesz klucz do usługi Azure Key Vault, firma Microsoft nie może wyeksportować tego klucza z powrotem do Ciebie, dlatego niezwykle ważne jest, aby bezpiecznie utworzyć kopię zapasową klucza i środowiska zabezpieczeń. Skontaktuj się z narzędziem nCipher , aby uzyskać wskazówki i najlepsze rozwiązania dotyczące tworzenia kopii zapasowej klucza.

Teraz możesz przenieść klucz do usługi Azure Key Vault.

Przygotowywanie klucza do przeniesienia

W tym czwartym kroku wykonaj następujące procedury na odłączonej stacji roboczej.

Tworzenie kopii klucza z ograniczonymi uprawnieniami

Otwórz nowy wiersz polecenia i zmień bieżący katalog na lokalizację, w której rozpakujesz plik zip BYOK. Aby zmniejszyć uprawnienia do klucza, w wierszu polecenia uruchom jedną z następujących czynności, w zależności od regionu geograficznego lub wystąpienia platformy Azure:

  • Dla Ameryki Północnej:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-

  • Dla Europy:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1

  • Azja:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1

  • Dla Ameryki Łacińskiej:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1

  • Dla Japonii:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1

  • Dla Korei:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1

  • Dla Republiki Południowej Afryki:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1

  • Dla ZEA:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1

  • Dla Australii:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1

  • W przypadku Azure Government, które używa wystąpienia platformy Azure dla instytucji rządowych USA:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1

  • W przypadku rządu USA DOD:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1

  • Dla Kanady:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1

  • Dla Niemiec:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1

  • Dla niemiec publicznych:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1

  • Dla Indii:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1

  • Dla Francji:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1

  • Dla Zjednoczonego Królestwa:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1

  • Dla Szwajcarii:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1

Po uruchomieniu tego polecenia zastąp wartość contosokey tą samą wartością określoną w kroku 3.5: Utwórz nowy klucz z kroku Generowanie klucza .

Zostanie wyświetlony monit o podłączenie kart administratora świata zabezpieczeń.

Po zakończeniu działania polecenia zostanie wyświetlony komunikat Result: SUCCESS (Wynik: POWODZENIE ) i kopia klucza z ograniczonymi uprawnieniami znajdują się w pliku o nazwie key_xferacId_<contosokey>.

Listę ACLS można sprawdzić przy użyciu następujących poleceń przy użyciu narzędzi nCipher nShield:

  • aclprint.py:

    "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"

  • kmfile-dump.exe:

    "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"

    Po uruchomieniu tych poleceń zastąp wartość contosokey tą samą wartością określoną w kroku 3.5: Utwórz nowy klucz z kroku Generowanie klucza .

Szyfrowanie klucza przy użyciu klucza wymiany kluczy firmy Microsoft

Uruchom jedno z następujących poleceń, w zależności od regionu geograficznego lub wystąpienia platformy Azure:

  • Dla Ameryki Północnej:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla Europy:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Azja:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla Ameryki Łacińskiej:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla Japonii:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla Korei:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla Republiki Południowej Afryki:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla ZEA:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla Australii:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • W przypadku Azure Government, które używa wystąpienia platformy Azure dla instytucji rządowych USA:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • W przypadku rządu USA DOD:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla Kanady:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla Niemiec:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla niemiec publicznych:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla Indii:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla Francji:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla Zjednoczonego Królestwa:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Dla Szwajcarii:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

Podczas uruchamiania tego polecenia należy zastosować się do następujących instrukcji:

  • Zastąp wartość contosokey identyfikatorem użytym do wygenerowania klucza w kroku 3.5: Utwórz nowy klucz z kroku Generowanie klucza .
  • Zastąp ciąg SubscriptionID identyfikatorem subskrypcji platformy Azure, która zawiera magazyn kluczy. Ta wartość została pobrana wcześniej w kroku 1.2. Pobieranie identyfikatora subskrypcji platformy Azure z kroku Przygotowywanie stacji roboczej połączonej z Internetem .
  • Zastąp wartość ContosoFirstHSMKey etykietą używaną dla nazwy pliku wyjściowego.

Po pomyślnym zakończeniu zostanie wyświetlony komunikat Wynik: SUCCESS i w bieżącym folderze znajduje się nowy plik o następującej nazwie: KeyTransferPackage-ContosoFirstHSMkey.byok

Kopiowanie pakietu transferu kluczy na stację roboczą połączoną z Internetem

Użyj dysku USB lub innego przenośnego magazynu, aby skopiować plik wyjściowy z poprzedniego kroku (KeyTransferPackage-ContosoFirstHSMkey.byok) do stacji roboczej podłączonej do Internetu.

Przenoszenie klucza do usługi Azure Key Vault

W tym ostatnim kroku na stacji roboczej podłączonej do Internetu użyj polecenia cmdlet Add-AzKeyVaultKey, aby przekazać pakiet transferu kluczy skopiowany z odłączonej stacji roboczej do modułu HSM usługi Azure Key Vault:

     Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'

Jeśli przekazywanie zakończy się pomyślnie, zostaną wyświetlone właściwości właśnie dodanego klucza.

Następne kroki

Teraz możesz użyć tego klucza chronionego przez moduł HSM w magazynie kluczy. Aby uzyskać więcej informacji, zobacz porównanie cen i funkcji.