Importar chaves protegidas por HSM para Key Vault (nCipher)

Aviso

O método de importação da chave HSM descrito neste documento foi preterido e não será suportado após 30 de junho de 2021. Funciona apenas com nCipher nShield family of HSMs with firmware 12.40.2 or newer. A utilização do novo método para importar chaves HSM é altamente recomendada.

Nota

Recomendamos que utilize o módulo do Azure Az PowerShell para interagir com o Azure. Veja Instalar o Azure PowerShell para começar. Para saber como migrar para o módulo do Az PowerShell, veja Migrar o Azure PowerShell do AzureRM para o Az.

Para obter garantias adicionais, quando utiliza o Azure Key Vault, pode importar ou gerar chaves em módulos de segurança de hardware (HSMs) que nunca saem do limite do HSM. Este cenário costuma chamar-se Bring Your Own Key ou BYOK. O Azure Key Vault utiliza a família nShield nCipher de HSMs (FIPS 140-2 Nível 2 validado) para proteger as chaves.

Utilize este artigo para o ajudar a planear, gerar e, em seguida, transferir as suas próprias chaves protegidas por HSM para utilizar com o Azure Key Vault.

Esta funcionalidade não está disponível para o Microsoft Azure operado pela 21Vianet.

Nota

Para obter mais informações sobre o Azure Key Vault, veja O que é o Azure Key Vault? Para obter um tutorial de introdução, que inclui a criação de um cofre de chaves para chaves protegidas por HSM, consulte O que é o Azure Key Vault?.

Mais informações sobre como gerar e transferir uma chave protegida por HSM através da Internet:

• Gera a chave a partir de uma estação de trabalho offline, o que reduz a superfície de ataque.
• A chave é encriptada com uma Chave de Troca de Chaves (KEK), que permanece encriptada até ser transferida para o Azure Key Vault HSMs. Apenas a versão encriptada da sua chave sai da estação de trabalho original.
• O conjunto de ferramentas define as propriedades na sua chave de inquilino que vincula a sua chave ao mundo de segurança Key Vault do Azure. Assim, após o Azure Key Vault os HSMs receberem e desencriptarem a sua chave, apenas estes HSMs podem utilizá-la. Não é possível exportar a sua chave. Este enlace é imposto pelos HSMs nCipher.
• A Chave de Troca de Chaves (KEK) que é utilizada para encriptar a sua chave é gerada dentro dos HSMs do Azure Key Vault e não é exportável. Os HSMs impõem que não pode existir uma versão não encriptada da KEK fora dos mesmos. Além disso, o conjunto de ferramentas inclui o atestado de nCipher de que o KEK não é exportável e foi gerado dentro de um HSM genuíno fabricado pela nCipher.
• O conjunto de ferramentas inclui atestado de nCipher que o mundo de segurança do Azure Key Vault também foi gerado num HSM genuíno fabricado pela nCipher. Este atestado demonstra que a Microsoft está a utilizar hardware genuíno.
• A Microsoft utiliza KEKs separados e Mundos de Segurança separados em cada região geográfica. Esta separação garante que a sua chave só pode ser utilizada em datacenters na região em que a encripta. Por exemplo, uma chave de um cliente europeu não pode ser utilizada em datacenters na América do Norte ou na Ásia.

Mais informações sobre nCipher HSMs e serviços Microsoft

a nCipher Security, uma empresa de Cartões de Dados Fidedignos, é líder no mercado de HSM para fins gerais, capacitando as organizações líderes mundiais ao fornecer confiança, integridade e controlo às suas aplicações e informações críticas para a empresa. As soluções criptográficas da nCipher protegem tecnologias emergentes – cloud, IoT, blockchain, pagamentos digitais – e ajudam a cumprir novos mandatos de conformidade, utilizando a mesma tecnologia comprovada de que as organizações globais dependem atualmente para proteger contra ameaças aos seus dados confidenciais, comunicações de rede e infraestrutura empresarial. nCipher fornece confiança para aplicações críticas para a empresa, garantindo a integridade dos dados e colocando os clientes em controlo total – hoje, amanhã, sempre.

A Microsoft colaborou com a nCipher Security para melhorar o estado de funcionamento dos HSMs. Estas melhorias permitem-lhe obter as vantagens típicas dos serviços alojados sem abdicar do controlo sobre as suas chaves. Especificamente, estas melhorias permitem que a Microsoft faça a gestão dos HSMs para que o utilizador não tenha de o fazer. Como serviço cloud, o Azure Key Vault aumenta verticalmente em pouco tempo para cumprir os picos de utilização da sua organização. Ao mesmo tempo, a sua chave está protegida dentro dos HSMs da Microsoft: mantém o controlo sobre o ciclo de vida da chave porque gera a chave e transfere-a para os HSMs da Microsoft.

Implementar o BYOK (Bring Your Own Key) para o Azure Key Vault

Utilize as seguintes informações e procedimentos se gerar a sua própria chave protegida por HSM e, em seguida, transferi-la para o Azure Key Vault. Isto é conhecido como o cenário Bring Your Own Key (BYOK).

Pré-requisitos para o BYOK

Veja a seguinte tabela para obter uma lista de pré-requisitos para trazer a sua própria chave (BYOK) para o Azure Key Vault.

Requisito	Mais informações
Uma subscrição do Azure	Para criar uma Key Vault do Azure, precisa de uma subscrição do Azure: Inscrever-se para avaliação gratuita
O escalão de serviço do Azure Key Vault Premium para suportar chaves protegidas por HSM	Para obter mais informações sobre os escalões de serviço e as capacidades do Azure Key Vault, consulte o site preços do Azure Key Vault.
nCipher nShield HSMs, smartcards e software de suporte	Tem de ter acesso a um Módulo de Segurança de Hardware nCipher e conhecimentos operacionais básicos de nCipher nShield HSMs. Veja nCipher nShield Hardware Security Module (Módulo de Segurança de Hardware nShield ) para obter a lista de modelos compatíveis ou para comprar um HSM se não tiver um.
O seguinte hardware e software: Uma estação de trabalho x64 offline com um sistema operativo Windows mínimo do Windows 7 e nCipher nShield software que é, pelo menos, a versão 11.50. Se esta estação de trabalho executar o Windows 7, tem de instalar o Microsoft .NET Framework 4.5. Uma estação de trabalho ligada à Internet e que tem um sistema operativo Windows mínimo do Windows 7 e Azure PowerShellminimum versão 1.1.0 instalada. Uma pen USB ou outro dispositivo de armazenamento portátil com, pelo menos, 16 MB de espaço livre.	Por motivos de segurança, recomendamos que a primeira estação de trabalho não esteja ligada a uma rede. No entanto, esta recomendação não é imposta programaticamente. Nas instruções que se seguem, esta estação de trabalho é denominada estação de trabalho desligada. Além disso, se a chave de inquilino for para uma rede de produção, recomendamos que utilize uma segunda estação de trabalho separada para transferir o conjunto de ferramentas e carregue a chave de inquilino. Contudo, para fins de teste, pode utilizar a mesma estação de trabalho. Nas instruções que se seguem, esta segunda estação de trabalho é denominada estação de trabalho ligada à Internet.

Gerar e transferir a chave para o Azure Key Vault HSM

Irá utilizar os cinco passos seguintes para gerar e transferir a sua chave para um HSM do Azure Key Vault:

• Passo 1: Preparar a estação de trabalho ligada à Internet
• Passo 2: Preparar a estação de trabalho desligada
• Passo 3: Gerar a sua chave
• Passo 4: preparar a transferência da chave
• Passo 5: transferir a chave para o Cofre de Chaves do Azure

Preparar a estação de trabalho ligada à Internet

Para este primeiro passo, efetue os seguintes procedimentos na estação de trabalho que está ligada à Internet.

Instalar o Azure PowerShell

A partir da estação de trabalho ligada à Internet, transfira e instale o módulo Azure PowerShell que inclui os cmdlets para gerir o Azure Key Vault. Para obter instruções de instalação, veja Como instalar e configurar Azure PowerShell.

Obter o ID da subscrição do Azure

Inicie uma sessão Azure PowerShell e inicie sessão na sua conta do Azure com o seguinte comando:

   Connect-AzAccount

Na janela pop-up do browser, introduza o seu nome de utilizador da conta do Azure e a palavra-passe. Em seguida, utilize o comando Get-AzSubscription :

   Get-AzSubscription

A partir da saída, localize o ID da subscrição que irá utilizar para o Azure Key Vault. Irá precisar deste ID de subscrição mais tarde.

Não feche a janela Azure PowerShell.

Transferir o conjunto de ferramentas BYOK para o Azure Key Vault

Aceda ao Centro de Transferências da Microsoft e transfira o conjunto de ferramentas BYOK do Azure Key Vault para a sua região geográfica ou instância do Azure. Utilize as seguintes informações para identificar o nome do pacote a transferir e o hash SHA-256 do pacote correspondente:

---

Estados Unidos:

KeyVault-BYOK-Tools-UnitedStates.zip

2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4

---

Europa:

KeyVault-BYOK-Tools-Europe.zip

9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A

---

Ásia:

KeyVault-BYOK-Tools-AsiaPacific.zip

4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5

---

América Latina:

KeyVault-BYOK-Tools-LatinAmerica.zip

E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619

---

Japão:

KeyVault-BYOK-Tools-Japan.zip

3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF

---

Coreia do Sul:

KeyVault-BYOK-Tools-Korea.zip

71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDA05344ED136F

---

África do Sul:

KeyVault-BYOK-Tools-SouthAfrica.zip

C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A

---

Emirados Árabes Unidos:

KeyVault-BYOK-Tools-UAE.zip

FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3

---

Austrália:

KeyVault-BYOK-Tools-Australia.zip

CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A

---

Azure Government:

KeyVault-BYOK-Tools-USGovCloud.zip

F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A

---

DOD do Governo dos E.U.A.:

KeyVault-BYOK-Tools-USGovernmentDoD.zip

A79DD8C6DFFF1B00B91D181280207A205442B3DDF861B79B8B991BB55C35263

---

Canadá:

KeyVault-BYOK-Tools-Canada.zip

61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B

---

Alemanha:

KeyVault-BYOK-Tools-Germany.zip

5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6

---

Alemanha Pública:

KeyVault-BYOK-Tools-Germany-Public.zip

54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29

---

Índia:

KeyVault-BYOK-Tools-India.zip

49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8

---

França:

KeyVault-BYOK-Tools-France.zip

5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF

---

Reino Unido:

KeyVault-BYOK-Tools-UnitedKingdom.zip

432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849

---

Suíça:

KeyVault-BYOK-Tools-Switzerland.zip

88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9

---

Para validar a integridade do conjunto de ferramentas BYOK transferido, utilize o cmdlet Get-FileHash na sua sessão de Azure PowerShell.

Get-FileHash KeyVault-BYOK-Tools-*.zip

O conjunto de ferramentas inclui:

• Um pacote key exchange key (KEK) que tem um nome que começa com BYOK-KEK-pkg-.
• Um pacote Do Mundo de Segurança que tem um nome que começa com BYOK-SecurityWorld-pkg-.
• Um script python com o nome verifykeypackage.py.
• Um ficheiro executável da linha de comandos com o nome KeyTransferRemote.exe e DLLs associados.
• Um Visual C++ Redistributable Package, com o nome vcredist_x64.exe.

Copie o pacote para outro armazenamento portátil ou uma unidade USB.

Preparar a estação de trabalho desligada

Para este segundo passo, efetue os seguintes procedimentos na estação de trabalho que não está ligada a uma rede (a Internet ou a sua rede interna).

Preparar a estação de trabalho desligada com nCipher nShield HSM

Instale o software de suporte nCipher num computador Windows e, em seguida, anexe um NCipher nShield HSM a esse computador.

Certifique-se de que as ferramentas nCipher estão no seu caminho (%nfast_home%\bin). Por exemplo, escreva :

set PATH=%PATH%;"%nfast_home%\bin"

Para obter mais informações, veja o guia do utilizador incluído com o HSM nShield.

Instalar o conjunto de ferramentas BYOK na estação de trabalho desligada

Copie o pacote do conjunto de ferramentas BYOK a partir da pen USB ou de outro armazenamento portátil e, em seguida:

1. Extraia os ficheiros do pacote transferido para qualquer pasta.
2. Nessa pasta, execute o ficheiro vcredist_x64.exe.
3. Siga as instruções para instalar os componentes de runtime do Visual C++ para o Visual Studio 2013.

Gerar a sua chave

Para este terceiro passo, efetue os seguintes procedimentos na estação de trabalho desligada. Para concluir este passo, o HSM tem de estar no modo de inicialização.

Alterar o modo HSM para "I"

Se estiver a utilizar nCipher nShield Edge, para alterar o modo: 1. Utilize o botão Modo para realçar o modo necessário. 2. Em poucos segundos, prima sem soltar o botão Limpar durante alguns segundos. Se o modo mudar, o LED do novo modo deixa de piscar e permanece aceso. O LED de Estado pode piscar de forma irregular durante alguns segundos e, em seguida, piscar regularmente quando o dispositivo estiver pronto. Caso contrário, o dispositivo permanece no modo atual, com o MODO LED adequado aceso.

Criar um mundo de segurança

Inicie uma linha de comandos e execute o programa nCipher new-world.

 new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3

Este programa cria um ficheiro Universo de Segurança em %NFAST_KMDATA%\local\world, que corresponde à pasta C:\ProgramData\nCipher\Key Management Data\local. Pode utilizar valores diferentes para o quórum, mas, no nosso exemplo, é-lhe pedido para introduzir três cartões em branco e marcadores para cada um deles. Em seguida, os dois cartões dão acesso total ao mundo da segurança. Estes cartões tornam-se o Conjunto de Cartões do Administrador para o novo universo de segurança.

Nota

Se o seu HSM não suportar o novo conjunto de cifras DLf3072s256mRijndael, pode substituir por --cipher-suite= DLf3072s256mRijndael--cipher-suite=DLf1024s160mRijndael.

O mundo de segurança criado com new-world.exe que é fornecido com o software nCipher versão 12.50 não é compatível com este procedimento BYOK. Estão disponíveis duas opções:

1. Mude a versão do software nCipher para 12.40.2 para criar um novo mundo de segurança.
2. Contacte o suporte da nCipher e peça-lhe que forneça uma correção para a versão de software 12.50, que lhe permite utilizar a versão 12.40.2 do new-world.exe compatível com este procedimento BYOK.

Em seguida:

• Crie uma cópia de segurança do ficheiro do universo. Proteja o ficheiro do universo, os Cartões de Administrador e os respetivos pins e certifique-se de que ninguém tem acesso a mais do que um cartão.

Alterar o modo HSM para "O"

Se estiver a utilizar nCipher nShield Edge, para alterar o modo: 1. Utilize o botão Modo para realçar o modo necessário. 2. Em poucos segundos, prima sem soltar o botão Limpar durante alguns segundos. Se o modo mudar, o LED do novo modo deixa de piscar e permanece aceso. O LED de Estado pode piscar de forma irregular durante alguns segundos e, em seguida, piscar regularmente quando o dispositivo estiver pronto. Caso contrário, o dispositivo permanece no modo atual, com o MODO LED adequado aceso.

Validar o pacote transferido

Este passo é opcional, mas recomendado para que possa validar o seguinte:

• A Chave de Troca de Chaves incluída no conjunto de ferramentas foi gerada a partir de um NCipher nShield HSM genuíno.
• O hash Security World incluído no conjunto de ferramentas foi gerado num HSM nCipher nShield genuíno.
• A Chave de Troca de Chaves não é exportável.

Nota

Para validar o pacote transferido, o HSM tem de estar ligado, ligado e tem de ter um mundo de segurança no mesmo (como o que acabou de criar).

Para validar o pacote transferido:

1. Execute o script verifykeypackage.py ao escrever um dos seguintes procedimentos, consoante a sua região geográfica ou instância do Azure:

   • Para a América do Norte

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1
     

   • Para a Europa:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1
     

   • Para a Ásia:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1
     

   • Para a América Latina:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1
     

   • Para o Japão:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1
     

   • Para a Coreia do Sul:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1
     

   • Para a África do Sul:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1
     

   • Para os Emirados Árabes Unidos:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1
     

   • Para a Austrália:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1
     

   • Para Azure Government, que utiliza a instância do governo dos EUA do Azure:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1
     

   • Para DOD do Governo dos E.U.A.:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1
     

   • Para o Canadá:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1
     

   • Para a Alemanha:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
     

   • Para Germany Public:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
     

   • Para a Índia:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1
     

   • Para a França:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1
     

   • Para o Reino Unido:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1
     

   • Para a Suíça:

     "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1
     

     Dica

     O software nCipher nShield inclui Python em %NFAST_HOME%\python\bin

2. Confirme que vê o seguinte, o que indica uma validação bem-sucedida: Resultado: ÊXITO

Este script valida a cadeia de inscrição até à chave de raiz nShield. O hash desta chave de raiz é incorporado no script e o respetivo valor deve ser 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Também pode confirmar este valor separadamente ao visitar o site nCipher.

Agora, está pronto para criar uma nova chave.

Criar uma nova chave

Gere uma chave com o programa nCipher nShield generatekey .

Execute o seguinte comando para criar a chave:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

Quando executar este comando, utilize estas instruções:

• O parâmetro protect tem de ser definido para o valor module, conforme mostrado. Esta ação cria uma chave protegida por um módulo. O conjunto de ferramentas BYOK não suporta chaves protegidas por OCS.
• Substitua o valor contosokey por ident e plainname por qualquer valor da cadeia. Para minimizar as sobrecargas administrativas e reduzir o risco de erros, recomendamos que utilize o mesmo valor para ambos. O valor de identificação tem de conter apenas números, travessões e letras minúsculas.
• O pubexp fica em branco (predefinição) neste exemplo, mas pode especificar valores.

Este comando cria um ficheiro de Chave Tokenizada na sua pasta %NFAST_KMDATA%\local com um nome a começar com key_simple_, seguido do identificador especificado no comando . Por exemplo: key_simple_contosokey. Este ficheiro contém uma chave encriptada.

Crie uma cópia de segurança deste Ficheiro de Chave com Token numa localização segura.

Importante

Quando, posteriormente, transferir a chave para o Azure Key Vault, a Microsoft não poderá exportar esta chave de volta para si, pelo que se torna extremamente importante criar uma cópia de segurança da sua chave e do mundo da segurança em segurança. Contacte o nCipher para obter orientações e melhores práticas para fazer uma cópia de segurança da chave.

Agora, está pronto para transferir a chave para o Azure Key Vault.

Preparar a chave para transferência

Para este quarto passo, efetue os seguintes procedimentos na estação de trabalho desligada.

Criar uma cópia da sua chave com permissões reduzidas

Abra uma nova linha de comandos e altere o diretório atual para a localização onde deszipou o ficheiro zip BYOK. Para reduzir as permissões na sua chave, a partir de uma linha de comandos, execute um dos seguintes procedimentos, consoante a sua região geográfica ou instância do Azure:

• Para a América do Norte

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-
  

• Para a Europa:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1
  

• Para a Ásia:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1
  

• Para a América Latina:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1
  

• Para o Japão:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1
  

• Para a Coreia do Sul:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1
  

• Para a África do Sul:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1
  

• Para os Emirados Árabes Unidos:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1
  

• Para a Austrália:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1
  

• Para Azure Government, que utiliza a instância do governo dos EUA do Azure:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1
  

• Para DOD do Governo dos E.U.A.:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1
  

• Para o Canadá:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1
  

• Para a Alemanha:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
  

• Para Germany Public:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
  

• Para a Índia:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1
  

• Para a França:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1
  

• Para o Reino Unido:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1
  

• Para a Suíça:

  KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1
  

Quando executar este comando, substitua contosokey pelo mesmo valor que especificou no Passo 3.5: Criar uma nova chave a partir do passo Gerar a sua chave .

É-lhe pedido para ligar os cartões de administrador do mundo da segurança.

Quando o comando for concluído, verá Resultado: ÊXITO e a cópia da sua chave com permissões reduzidas está no ficheiro com o nome key_xferacId_<contosokey>.

Pode inspecionar a ACLS com os seguintes comandos com os utilitários nCipher nShield:

• aclprint.py:

  "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"
  

• kmfile-dump.exe:

  "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"
  

  Quando executar estes comandos, substitua contosokey pelo mesmo valor que especificou no Passo 3.5: Criar uma nova chave a partir do passo Gerar a chave .

Encriptar a sua chave com a Chave de Troca de Chaves da Microsoft

Execute um dos seguintes comandos, consoante a sua região geográfica ou instância do Azure:

• Para a América do Norte

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Europa:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Ásia:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a América Latina:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para o Japão:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Coreia do Sul:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a África do Sul:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para os Emirados Árabes Unidos:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Austrália:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para Azure Government, que utiliza a instância do governo dos EUA do Azure:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para DOD do Governo dos E.U.A.:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para o Canadá:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Alemanha:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para Germany Public:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Índia:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a França:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para o Reino Unido:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

• Para a Suíça:

  KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
  

Quando executar este comando, utilize estas instruções:

• Substitua contosokey pelo identificador que utilizou para gerar a chave no Passo 3.5: Criar uma nova chave a partir do passo Gerar a chave .
• Substitua SubscriptionID pelo ID da subscrição do Azure que contém o cofre de chaves. Obteve este valor anteriormente, no Passo 1.2: Obter o ID de subscrição do Azure a partir do passo Preparar a estação de trabalho ligada à Internet .
• Substitua ContosoFirstHSMKey por uma etiqueta utilizada para o nome do ficheiro de saída.

Quando isto for concluído com êxito, apresenta Resultado: ÊXITO e existe um novo ficheiro na pasta atual que tem o seguinte nome: KeyTransferPackage-ContosoFirstHSMkey.byok

Copiar o pacote de transferência de chaves para a estação de trabalho ligada à Internet

Utilize uma pen USB ou outro armazenamento portátil para copiar o ficheiro de saída do passo anterior (KeyTransferPackage-ContosoFirstHSMkey.byok) para a estação de trabalho ligada à Internet.

Transferir a chave para o Azure Key Vault

Para este último passo, na estação de trabalho ligada à Internet, utilize o cmdlet Add-AzKeyVaultKey para carregar o pacote de transferência de chaves que copiou da estação de trabalho desligada para o Azure Key Vault HSM:

     Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'

Se o carregamento for bem-sucedido, verá as propriedades da chave que acabou de adicionar.

Passos seguintes

Agora, pode utilizar esta chave protegida por HSM no seu cofre de chaves. Para obter mais informações, veja esta comparação de preços e funcionalidades.