Importar chaves protegidas por HSM para o Cofre de Chaves (nCipher)

Aviso

O método de importação de chave HSM descrito neste documento foi preterido e não terá suporte após 30 de junho de 2021. Ele só funciona com a família nCipher nShield de HSMs com firmware 12.40.2 ou mais recente. O uso de um novo método para importar chaves HSM é altamente recomendado.

Nota

Recomendamos que utilize o módulo Azure Az do PowerShell para interagir com o Azure. Para começar, consulte Instalar o Azure PowerShell. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Para maior garantia, ao usar o Cofre de Chaves do Azure, você pode importar ou gerar chaves em HSMs (módulos de segurança de hardware) que nunca saem do limite do HSM. Este cenário costuma chamar-se Bring Your Own Key ou BYOK. O Azure Key Vault usa a família nCipher nShield de HSMs (FIPS 140-2 Nível 2 validado) para proteger suas chaves.

Use este artigo para ajudá-lo a planejar, gerar e transferir suas próprias chaves protegidas por HSM para usar com o Cofre de Chaves do Azure.

Esta funcionalidade não está disponível para o Microsoft Azure operado pela 21Vianet.

Nota

Para obter mais informações sobre o Azure Key Vault, consulte O que é o Azure Key Vault? Para obter um tutorial de introdução, que inclui a criação de um cofre de chaves para chaves protegidas por HSM, consulte O que é o Azure Key Vault?.

Mais informações sobre como gerar e transferir uma chave protegida por HSM pela Internet:

• Você gera a chave de uma estação de trabalho offline, o que reduz a superfície de ataque.
• A chave é criptografada com uma chave de troca de chaves (KEK), que permanece criptografada até ser transferida para os HSMs do Cofre de Chaves do Azure. Apenas a versão encriptada da sua chave sai da estação de trabalho original.
• O conjunto de ferramentas define propriedades em sua chave de locatário que vincula sua chave ao mundo de segurança do Cofre de Chaves do Azure. Portanto, depois que os HSMs do Azure Key Vault recebem e descriptografam sua chave, somente esses HSMs podem usá-la. A sua chave não pode ser exportada. Essa ligação é imposta pelos HSMs nCipher.
• A chave de troca de chaves (KEK) usada para criptografar sua chave é gerada dentro dos HSMs do Cofre de Chaves do Azure e não é exportável. Os HSMs impõem que não pode haver uma versão clara do KEK fora dos HSMs. Além disso, o conjunto de ferramentas inclui o atestado da nCipher de que o KEK não é exportável e foi gerado dentro de um HSM genuíno que foi fabricado pela nCipher.
• O conjunto de ferramentas inclui o atestado da nCipher de que o mundo de segurança do Azure Key Vault também foi gerado em um HSM genuíno fabricado pela nCipher. Este atestado demonstra que a Microsoft está a utilizar hardware genuíno.
• A Microsoft usa KEKs separados e Mundos de Segurança separados em cada região geográfica. Essa separação garante que sua chave possa ser usada apenas em data centers na região em que você a criptografou. Por exemplo, uma chave de um cliente europeu não pode ser usada em data centers na América do Norte ou na Ásia.

Mais informações sobre nCipher HSMs e serviços Microsoft

A nCipher Security, uma empresa Entrust Datacard, é líder no mercado de HSM de uso geral, capacitando organizações líderes mundiais ao fornecer confiança, integridade e controle para suas informações e aplicativos críticos de negócios. As soluções criptográficas da nCipher protegem tecnologias emergentes – nuvem, IoT, blockchain, pagamentos digitais – e ajudam a atender aos novos mandatos de conformidade, usando a mesma tecnologia comprovada da qual as organizações globais dependem hoje para se proteger contra ameaças a seus dados confidenciais, comunicações de rede e infraestrutura corporativa. A nCipher oferece confiança para aplicativos críticos para os negócios, garantindo a integridade dos dados e colocando os clientes no controle total – hoje, amanhã, sempre.

A Microsoft colaborou com a nCipher Security para melhorar o estado da arte para HSMs. Esses aprimoramentos permitem que você obtenha os benefícios típicos dos serviços hospedados sem abrir mão do controle sobre suas chaves. Especificamente, esses aprimoramentos permitem que a Microsoft gerencie os HSMs para que você não precise fazê-lo. Como um serviço de nuvem, o Azure Key Vault é dimensionado em curto prazo para atender aos picos de uso da sua organização. Ao mesmo tempo, sua chave é protegida dentro dos HSMs da Microsoft: você mantém o controle sobre o ciclo de vida da chave porque gera a chave e a transfere para os HSMs da Microsoft.

Implementar o BYOK (Bring Your Own Key) para o Azure Key Vault

Use as seguintes informações e procedimentos se você gerar sua própria chave protegida por HSM e, em seguida, transferi-la para o Cofre de Chaves do Azure. Isso é conhecido como o cenário Bring Your Own Key (BYOK).

Pré-requisitos do BYOK

Consulte a tabela a seguir para obter uma lista de pré-requisitos para trazer sua própria chave (BYOK) para o Cofre de Chaves do Azure.

Necessidade	Mais informações
Uma subscrição do Azure	Para criar um Cofre da Chave do Azure, você precisa de uma assinatura do Azure: Inscreva-se para avaliação gratuita
A camada de serviço do Azure Key Vault Premium para dar suporte a chaves protegidas por HSM	Para obter mais informações sobre as camadas de serviço e os recursos do Azure Key Vault, consulte o site de Preços do Azure Key Vault.
nCipher nShield HSMs, cartões inteligentes e software de suporte	Você deve ter acesso a um módulo de segurança de hardware nCipher e conhecimento operacional básico de HSMs nCipher nShield. Consulte nCipher nShield Hardware Security Module para obter a lista de modelos compatíveis ou para comprar um HSM se não tiver um.
O seguinte hardware e software: Uma estação de trabalho x64 offline com um sistema operacional Windows mínimo do Windows 7 e software nCipher nShield que é pelo menos a versão 11.50. Se esta estação de trabalho executar o Windows 7, tem de instalar o Microsoft .NET Framework 4.5. Uma estação de trabalho conectada à Internet e com um sistema operacional Windows mínimo do Windows 7 e a versão mínima 1.1.0 do Azure PowerShell instalada. Uma unidade USB ou outro dispositivo de armazenamento portátil que tenha pelo menos 16 MB de espaço livre.	Por razões de segurança, recomendamos que a primeira estação de trabalho não esteja ligada a uma rede. No entanto, esta recomendação não é aplicada programaticamente. Nas instruções que se seguem, esta estação de trabalho é referida como a estação de trabalho desligada. Além disso, se a chave de locatário for para uma rede de produção, recomendamos que você use uma segunda estação de trabalho separada para baixar o conjunto de ferramentas e carregar a chave de locatário. Mas para fins de teste, você pode usar a mesma estação de trabalho que a primeira. Nas instruções que se seguem, esta segunda estação de trabalho é referida como a estação de trabalho ligada à Internet.

Gere e transfira sua chave para o Azure Key Vault HSM

Você usará as cinco etapas a seguir para gerar e transferir sua chave para um HSM do Azure Key Vault:

• Etapa 1: Preparar sua estação de trabalho conectada à Internet
• Passo 2: Preparar a estação de trabalho desligada
• Passo 3: Gere a sua chave
• Passo 4: Prepare a sua chave para transferência
• Etapa 5: Transferir sua chave para o Azure Key Vault

Prepare sua estação de trabalho conectada à Internet

Para esta primeira etapa, execute os seguintes procedimentos na estação de trabalho conectada à Internet.

Instalar o Azure PowerShell

Na estação de trabalho conectada à Internet, baixe e instale o módulo do Azure PowerShell que inclui os cmdlets para gerenciar o Azure Key Vault. Para obter instruções de instalação, consulte Como instalar e configurar o Azure PowerShell.

Obter a sua ID de subscrição do Azure

Inicie uma sessão do Azure PowerShell e entre na sua conta do Azure usando o seguinte comando:

   Connect-AzAccount

Na janela pop-up do browser, introduza o seu nome de utilizador da conta do Azure e a palavra-passe. Em seguida, use o comando Get-AzSubscription :

   Get-AzSubscription

Na saída, localize a ID da assinatura que você usará para o Azure Key Vault. Você precisará dessa ID de assinatura mais tarde.

Não feche a janela do Azure PowerShell.

Baixe o conjunto de ferramentas BYOK para o Azure Key Vault

Vá para o Centro de Download da Microsoft e baixe o conjunto de ferramentas BYOK do Azure Key Vault para sua região geográfica ou instância do Azure. Utilize as seguintes informações para identificar o nome do pacote a transferir e o hash SHA-256 do pacote correspondente:

---

Estados Unidos:

KeyVault-BYOK-Tools-Portugal States.zip

2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4

---

Europa:

KeyVault-BYOK-Tools-Europe.zip

9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A

---

Ásia:

KeyVault-BYOK-Tools-AsiaPacific.zip

4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5

---

América Latina:

KeyVault-BYOK-Tools-LatinAmerica.zip

E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619

---

Japão:

KeyVault-BYOK-Tools-Japan.zip

3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF

---

Coreia:

KeyVault-BYOK-Tools-Korea.zip

71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F

---

África do Sul:

KeyVault-BYOK-Tools-SouthAfrica.zip

C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A

---

EAU:

KeyVault-BYOK-Tools-UAE.zip

FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3

---

Austrália:

KeyVault-BYOK-Tools-Australia.zip

CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A

---

Azure Government:

KeyVault-BYOK-Tools-USGovCloud.zip

F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A

---

DOD do Governo dos EUA:

KeyVault-BYOK-Tools-USGovernmentDoD.zip

A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263

---

Canadá:

KeyVault-BYOK-Tools-Canada.zip

61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B

---

Alemanha:

KeyVault-BYOK-Tools-Germany.zip

5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6

---

Alemanha Público:

KeyVault-BYOK-Tools-Germany-Public.zip

54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29

---

Índia:

KeyVault-BYOK-Tools-India.zip

49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8

---

França:

KeyVault-BYOK-Tools-France.zip

5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF

---

Reino Unido:

KeyVault-BYOK-Tools-UnitedKingdom.zip

432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849

---

Suíça:

KeyVault-BYOK-Tools-Switzerland.zip

88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9

---

Para validar a integridade do conjunto de ferramentas BYOK transferido, na sessão do Azure PowerShell, utilize o cmdlet Get-FileHash.

Get-FileHash KeyVault-BYOK-Tools-*.zip

O conjunto de ferramentas inclui:

• Um pacote de chave de troca de chaves (KEK) que tem um nome que começa com BYOK-KEK-pkg-.
• Um pacote Security World que tem um nome que começa com BYOK-SecurityWorld-pkg-.
• Um script Python chamado verifykeypackage.py.
• Um arquivo executável de linha de comando chamado KeyTransferRemote.exe e DLLs associadas.
• Um pacote redistribuível do Visual C++, chamado vcredist_x64.exe.

Copie o pacote para uma unidade USB ou outro armazenamento portátil.

Preparar a estação de trabalho desconectada

Para esta segunda etapa, execute os seguintes procedimentos na estação de trabalho que não está conectada a uma rede (a Internet ou sua rede interna).

Preparar a estação de trabalho desconectada com o nCipher nShield HSM

Instale o software de suporte nCipher em um computador Windows e, em seguida, anexe um nCipher nShield HSM a esse computador.

Verifique se as ferramentas nCipher estão no seu caminho (%nfast_home%\bin). Por exemplo, escreva:

set PATH=%PATH%;"%nfast_home%\bin"

Para obter mais informações, consulte o guia do usuário incluído no nShield HSM.

Instalar o conjunto de ferramentas BYOK na estação de trabalho desconectada

Copie o pacote do conjunto de ferramentas BYOK da unidade USB ou de outro armazenamento portátil e, em seguida:

1. Extraia os arquivos do pacote baixado para qualquer pasta.
2. A partir dessa pasta, execute vcredist_x64.exe.
3. Siga as instruções para instalar os componentes de tempo de execução do Visual C++ para Visual Studio 2013.

Gere a sua chave

Para esta terceira etapa, execute os seguintes procedimentos na estação de trabalho desconectada. Para concluir esta etapa, seu HSM deve estar no modo de inicialização.

Altere o modo HSM para 'I'

Se você estiver usando nCipher nShield Edge, para alterar o modo: 1. Use o botão Modo para realçar o modo necessário. 2. Dentro de alguns segundos, mantenha pressionado o botão Limpar por alguns segundos. Se o modo mudar, o LED do novo modo para de piscar e permanece aceso. O LED de status pode piscar irregularmente por alguns segundos e, em seguida, pisca regularmente quando o dispositivo está pronto. Caso contrário, o dispositivo permanece no modo atual, com o LED de modo apropriado aceso.

Criar um mundo de segurança

Inicie um prompt de comando e execute o programa nCipher new-world.

 new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3

Este programa cria um ficheiro Security World em %NFAST_KMDATA%\local\world, que corresponde à pasta C:\ProgramData\nCipher\Key Management Data\local. Você pode usar valores diferentes para o quórum, mas em nosso exemplo, você será solicitado a inserir três cartões em branco e pinos para cada um. Então, quaisquer dois cartões dão acesso total ao mundo da segurança. Estes cartões tornam-se o Conjunto de Cartões de Administrador para o novo mundo da segurança.

Nota

Se o seu HSM não suportar o pacote cypher mais recente DLf3072s256mRijndael, você pode substituir --cipher-suite= DLf3072s256mRijndael por --cipher-suite=DLf1024s160mRijndael.

O mundo de segurança criado com new-world.exe que acompanha a versão 12.50 do software nCipher não é compatível com este procedimento BYOK. Estão disponíveis duas opções:

1. Faça o downgrade da versão do software nCipher para 12.40.2 para criar um novo mundo de segurança.
2. Entre em contato com o suporte nCipher e solicite que eles forneçam um hotfix para a versão de software 12.50, que permite que você use a versão 12.40.2 do new-world.exe que é compatível com este procedimento BYOK.

Em seguida:

• Faça backup do arquivo mundial. Proteja e proteja o ficheiro mundial, os Cartões de Administrador e os respetivos pinos, e certifique-se de que nenhuma pessoa tem acesso a mais do que um cartão.

Altere o modo HSM para 'O'

Se você estiver usando nCipher nShield Edge, para alterar o modo: 1. Use o botão Modo para realçar o modo necessário. 2. Dentro de alguns segundos, mantenha pressionado o botão Limpar por alguns segundos. Se o modo mudar, o LED do novo modo para de piscar e permanece aceso. O LED de status pode piscar irregularmente por alguns segundos e, em seguida, pisca regularmente quando o dispositivo está pronto. Caso contrário, o dispositivo permanece no modo atual, com o LED de modo apropriado aceso.

Validar o pacote baixado

Esta etapa é opcional, mas recomendada para que você possa validar o seguinte:

• A chave de troca de chaves incluída no conjunto de ferramentas foi gerada a partir de um HSM nCipher nShield genuíno.
• O hash Security World incluído no conjunto de ferramentas foi gerado num HSM nCipher nShield genuíno.
• A chave de troca de chaves não é exportável.

Nota

Para validar o pacote baixado, o HSM deve estar conectado, ligado e deve ter um mundo de segurança (como o que você acabou de criar).

Para validar o pacote baixado:

1. Execute o script verifykeypackage.py digitando uma das seguintes opções, dependendo da sua região geográfica ou instância do Azure:

   • Para a América do Norte:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1
     

   • Para a Europa:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1
     

   • Para a Ásia:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1
     

   • Para a América Latina:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1
     

   • Para o Japão:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1
     

   • Para a Coreia:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1
     

   • Para a África do Sul:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1
     

   • Para os EAU:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1
     

   • Para a Austrália:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1
     

   • Para o Azure Government, que usa a instância do governo dos EUA do Azure:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1
     

   • Para o DOD do governo dos EUA:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1
     

   • Para o Canadá:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1
     

   • Para a Alemanha:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
     

   • Para o público da Alemanha:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
     

   • Para a Índia:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1
     

   • Para a França:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1
     

   • Para o Reino Unido:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1
     

   • Para a Suíça:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1
     

     Gorjeta

     O software nCipher nShield inclui Python em %NFAST_HOME%\python\bin

2. Confirme se vê o seguinte, que indica uma validação bem-sucedida: Resultado: SUCESSO

Este script valida a cadeia do signatário até a chave raiz nShield. O hash desta chave raiz está incorporado no script e o valor deve ser 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Você também pode confirmar esse valor separadamente visitando o site da nCipher.

Agora você está pronto para criar uma nova chave.

Criar uma nova chave

Gere uma chave usando o programa nCipher nShield generatekey .

Execute o seguinte comando para gerar a chave:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

Quando executar este comando, utilize estas instruções:

• O parâmetro protect deve ser definido como o módulo de valor, conforme mostrado. Isso cria uma chave protegida por módulo. O conjunto de ferramentas BYOK não suporta chaves protegidas pelo OCS.
• Substitua o valor de contosokey para ident e plainname por qualquer valor de cadeia de caracteres. Para minimizar as despesas gerais administrativas e reduzir o risco de erros, recomendamos que você use o mesmo valor para ambos. O valor ident deve conter apenas números, traços e letras minúsculas.
• O pubexp é deixado em branco (padrão) neste exemplo, mas você pode especificar valores específicos.

Este comando cria um ficheiro de Chave Tokenizada na pasta %NFAST_KMDATA%\local com um nome que começa com key_simple_, seguido pelo ident especificado no comando. Por exemplo: key_simple_contosokey. Este ficheiro contém uma chave encriptada.

Faça backup deste arquivo de chave tokenizada em um local seguro.

Importante

Quando você transferir posteriormente sua chave para o Cofre de Chaves do Azure, a Microsoft não poderá exportá-la de volta para você, portanto, torna-se extremamente importante que você faça backup de sua chave e do mundo da segurança com segurança. Entre em contato com a nCipher para obter orientação e práticas recomendadas para fazer backup de sua chave.

Agora você está pronto para transferir sua chave para o Cofre de Chaves do Azure.

Prepare a sua chave para transferência

Para esta quarta etapa, execute os seguintes procedimentos na estação de trabalho desconectada.

Crie uma cópia da sua chave com permissões reduzidas

Abra um novo prompt de comando e altere o diretório atual para o local onde você descompactou o arquivo zip BYOK. Para reduzir as permissões na sua chave, a partir de uma linha de comandos, execute um dos seguintes procedimentos, dependendo da sua região geográfica ou instância do Azure:

• Para a América do Norte:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-
  

• Para a Europa:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1
  

• Para a Ásia:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1
  

• Para a América Latina:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1
  

• Para o Japão:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1
  

• Para a Coreia:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1
  

• Para a África do Sul:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1
  

• Para os EAU:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1
  

• Para a Austrália:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1
  

• Para o Azure Government, que usa a instância do governo dos EUA do Azure:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1
  

• Para o DOD do governo dos EUA:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1
  

• Para o Canadá:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1
  

• Para a Alemanha:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
  

• Para o público da Alemanha:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
  

• Para a Índia:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1
  

• Para a França:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1
  

• Para o Reino Unido:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1
  

• Para a Suíça:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1
  

Ao executar esse comando, substitua contosokey pelo mesmo valor especificado na Etapa 3.5: Criar uma nova chave a partir da etapa Gerar sua chave.

É-lhe pedido para ligar os seus cartões de administração do mundo da segurança.

Quando o comando for concluído, você verá Resultado: SUCCESS e a cópia da sua chave com permissões reduzidas estará no arquivo chamado key_xferacId_<contosokey>.

Você pode inspecionar o ACLS usando os seguintes comandos usando os utilitários nCipher nShield:

• aclprint.py:

  "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"
  

• kmfile-dump.exe:

  "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"
  

  Ao executar esses comandos, substitua contosokey pelo mesmo valor especificado na Etapa 3.5: Criar uma nova chave a partir da etapa Gerar sua chave .

Criptografar sua chave usando a chave de troca de chaves da Microsoft

Execute um dos seguintes comandos, dependendo da sua região geográfica ou instância do Azure:

• Para a América do Norte:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Europa:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Ásia:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a América Latina:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para o Japão:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Coreia:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a África do Sul:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para os EAU:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Austrália:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para o Azure Government, que usa a instância do governo dos EUA do Azure:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para o DOD do governo dos EUA:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para o Canadá:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Alemanha:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para o público da Alemanha:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Índia:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a França:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para o Reino Unido:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Suíça:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

Quando executar este comando, utilize estas instruções:

• Substitua contosokey pelo identificador que você usou para gerar a chave na Etapa 3.5: Criar uma nova chave a partir da etapa Gerar sua chave.
• Substitua SubscriptionID pela ID da assinatura do Azure que contém seu cofre de chaves. Você recuperou esse valor anteriormente, na Etapa 1.2: Obter sua ID de assinatura do Azure na etapa Preparar sua estação de trabalho conectada à Internet.
• Substitua ContosoFirstHSMKey por um rótulo usado para o nome do arquivo de saída.

Quando isso é concluído com êxito, ele exibe Result: SUCCESS e há um novo arquivo na pasta atual que tem o seguinte nome: KeyTransferPackage-ContosoFirstHSMkey.byok

Copie o pacote de transferência de chaves para a estação de trabalho conectada à Internet

Use uma unidade USB ou outro armazenamento portátil para copiar o arquivo de saída da etapa anterior (KeyTransferPackage-ContosoFirstHSMkey.byok) para sua estação de trabalho conectada à Internet.

Transfira sua chave para o Azure Key Vault

Para esta etapa final, na estação de trabalho conectada à Internet, use o cmdlet Add-AzKeyVaultKey para carregar o pacote de transferência de chaves copiado da estação de trabalho desconectada para o HSM do Cofre da Chave do Azure:

     Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'

Se o carregamento for bem-sucedido, você verá exibidas as propriedades da chave que você acabou de adicionar.

Próximos passos

Agora você pode usar essa chave protegida por HSM no cofre de chaves. Para obter mais informações, consulte esta comparação de preços e recursos.