Dela via

Importera HSM-skyddade nycklar för Key Vault (nCipher)

  • Artikel

Varning

Den HSM-nyckelimportmetod som beskrivs i det här dokumentet är inaktuell och stöds inte efter den 30 juni 2021. Det fungerar bara med nCipher nShield-serien med HSM:er med inbyggd programvara 12.40.2 eller senare. Vi rekommenderar starkt att du använder den nya metoden för att importera HSM-nycklar .

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Information om hur du kommer igång finns i Installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

När du använder Azure Key Vault kan du importera eller generera nycklar i maskinvarusäkerhetsmoduler (HSM) som aldrig lämnar HSM-gränsen. Det här scenariot kallas ofta BYOK (Bring Your Own Key). Azure Key Vault använder nCipher nShield-serien med HSM:er (FIPS 140-2 Level 2 validerade) för att skydda dina nycklar.

Använd den här artikeln om du vill hjälpa dig att planera för, generera och sedan överföra dina egna HSM-skyddade nycklar som ska användas med Azure Key Vault.

Den här funktionen är inte tillgänglig för Microsoft Azure som drivs av 21Vianet.

Kommentar

Mer information om Azure Key Vault finns i Vad är Azure Key Vault? En komma igång-självstudie, som omfattar att skapa ett nyckelvalv för HSM-skyddade nycklar, finns i Vad är Azure Key Vault?.

Mer information om hur du genererar och överför en HSM-skyddad nyckel via Internet:

  • Du genererar nyckeln från en offline-arbetsstation, vilket minskar attackytan.
  • Nyckeln krypteras med en Nyckelutbytesnyckel (KEK), som förblir krypterad tills den överförs till Azure Key Vault HSM:erna. Endast den krypterade versionen av nyckeln lämnar den ursprungliga arbetsstationen.
  • Verktygsuppsättningen anger egenskaper för din klientnyckel som binder din nyckel till Azure Key Vault-säkerhetsvärlden. Så när Azure Key Vault HSM:erna har fått och dekrypterat din nyckel kan endast dessa HSM:er använda den. Det går inte att exportera nyckeln. Den här bindningen framtvingas av nCipher HSM:erna.
  • Nyckelutbytesnyckeln (KEK) som används för att kryptera din nyckel genereras i HSM:erna för Azure Key Vault och kan inte exporteras. HSM:erna framtvingar att det inte kan finnas någon tydlig version av KEK utanför HSM:erna. Dessutom innehåller verktygsuppsättningen attestering från nCipher att KEK inte kan exporteras och genererades i en äkta HSM som tillverkades av nCipher.
  • Verktygsuppsättningen innehåller attestering från nCipher som Azure Key Vault-säkerhetsvärlden också genererades på en äkta HSM som tillverkats av nCipher. Den här attesteringen visar att Microsoft använder äkta maskinvara.
  • Microsoft använder separata KEK:er och separata säkerhetsvärldar i varje geografisk region. Den här separationen säkerställer att din nyckel endast kan användas i datacenter i den region där du krypterade den. En nyckel från en europeisk kund kan till exempel inte användas i datacenter i Nordamerika eller Asien.

Mer information om nCipher HSM:er och Microsoft usluge

nCipher Security, ett Entrust Datacard-företag, är ledande på den allmänna HSM-marknaden och ger världsledande organisationer förtroende, integritet och kontroll till deras affärskritiska information och program. nCiphers kryptografiska lösningar skyddar ny teknik – moln, IoT, blockkedja, digitala betalningar – och hjälper till att uppfylla nya efterlevnadsmandat, med samma beprövade teknik som globala organisationer är beroende av idag för att skydda mot hot mot känsliga data, nätverkskommunikation och företagsinfrastruktur. nCipher ger förtroende för affärskritiska program, säkerställer dataintegriteten och ger kunderna fullständig kontroll – idag, i morgon, alltid.

Microsoft har samarbetat med nCipher Security för att förbättra den senaste tekniken för HSM:er. Med de här förbättringarna kan du få de typiska fördelarna med värdbaserade tjänster utan att ge bort kontrollen över dina nycklar. Mer specifikt gör dessa förbättringar att Microsoft kan hantera HSM:erna så att du inte behöver göra det. Som molntjänst skalar Azure Key Vault upp med kort varsel för att uppfylla organisationens användningstoppar. Samtidigt skyddas din nyckel i Microsofts HSM:er: Du behåller kontrollen över nyckellivscykeln eftersom du genererar nyckeln och överför den till Microsofts HSM:er.

Implementera BYOK (Bring Your Own Key) för Azure Key Vault

Använd följande information och procedurer om du vill generera en egen HSM-skyddad nyckel och sedan överföra den till Azure Key Vault. Detta kallas byok-scenariot (Bring Your Own Key).

Krav för BYOK

I följande tabell finns en lista över förutsättningar för BYOK (Bring Your Own Key) för Azure Key Vault.

Krav Mer information
En prenumeration på Azure För att skapa ett Azure Key Vault behöver du en Azure-prenumeration: Registrera dig för en kostnadsfri utvärderingsversion
Azure Key Vault Premium-tjänstnivån för stöd för HSM-skyddade nycklar Mer information om tjänstnivåer och funktioner för Azure Key Vault finns på webbplatsen för Prissättning för Azure Key Vault.
nChiffrera nShield HSM:er, smartkort och supportprogram Du måste ha åtkomst till en nCipher Hardware Security-modul och grundläggande operativa kunskaper om nCipher nShield HSM:er. Se nCipher nShield Hardware Security Module för listan över kompatibla modeller eller för att köpa en HSM om du inte har en.
Följande maskinvara och programvara:
  1. En x64-offline-arbetsstation med ett minsta Windows-operativsystem för Windows 7 och nCipher nShield-programvara som är minst version 11.50.

    Om den här arbetsstationen kör Windows 7 måste du installera Microsoft .NET Framework 4.5.
  2. En arbetsstation som är ansluten till Internet och har minst Windows-operativsystemet Windows 7 och Azure PowerShell version 1.1.0 installerat.
  3. En USB-enhet eller annan bärbar lagringsenhet som har minst 16 MB ledigt utrymme.
 Av säkerhetsskäl rekommenderar vi att den första arbetsstationen inte är ansluten till ett nätverk. Den här rekommendationen tillämpas dock inte programmatiskt.

I anvisningarna nedan kallas den här arbetsstationen för den frånkopplade arbetsstationen.


Om din klientnyckel dessutom är för ett produktionsnätverk rekommenderar vi att du använder en andra, separat arbetsstation för att ladda ned verktygsuppsättningen och ladda upp klientnyckeln. Men i testsyfte kan du använda samma arbetsstation som den första.

I anvisningarna nedan kallas den här andra arbetsstationen för den Internetanslutna arbetsstationen.

Generera och överföra din nyckel till Azure Key Vault HSM

Du använder följande fem steg för att generera och överföra din nyckel till en Azure Key Vault HSM:

Förbereda din Internetanslutna arbetsstation

I det här första steget utför du följande procedurer på din arbetsstation som är ansluten till Internet.

Installera Azure PowerShell

Från den Internetanslutna arbetsstationen laddar du ned och installerar Azure PowerShell-modulen som innehåller cmdletar för att hantera Azure Key Vault. Installationsinstruktioner finns i Installera och konfigurera Azure PowerShell.

Hämta ditt Azure-prenumerations-ID

Starta en Azure PowerShell-session och logga in på ditt Azure-konto med hjälp av följande kommando:

   Connect-AzAccount

Ange användarnamnet och lösenordet för ditt Azure-konto i popup-fönstret i webbläsaren. Använd sedan kommandot Get-AzSubscription :

   Get-AzSubscription

Leta upp ID:t för den prenumeration som du ska använda för Azure Key Vault i utdata. Du behöver det här prenumerations-ID:t senare.

Stäng inte Azure PowerShell-fönstret.

Ladda ned BYOK-verktygsuppsättningen för Azure Key Vault

Gå till Microsoft Download Center och ladda ned Azure Key Vault BYOK-verktygsuppsättningen för din geografiska region eller instans av Azure. Använd följande information för att identifiera paketnamnet som ska laddas ned och dess motsvarande SHA-256-pakethash:

USA:

KeyVault-BYOK-Tools-United States.zip

2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4

Europa:

KeyVault-BYOK-Tools-Europe.zip

9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A

Asien:

KeyVault-BYOK-Tools-AsiaPacific.zip

4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5

Latinamerika:

KeyVault-BYOK-Tools-LatinAmerica.zip

E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619

Japan:

KeyVault-BYOK-Tools-Japan.zip

3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF

Korea:

KeyVault-BYOK-Tools-Korea.zip

71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F

Sydafrika:

KeyVault-BYOK-Tools-SouthAfrica.zip

C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A

UAE:

KeyVault-BYOK-Tools-UAE.zip

FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3

Australien:

KeyVault-BYOK-Tools-Australia.zip

CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A

Azure Government:

KeyVault-BYOK-Tools-USGovCloud.zip

F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A

DOD för amerikanska myndigheter:

KeyVault-BYOK-Tools-USGovernmentDoD.zip

A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263

Kanada:

KeyVault-BYOK-Tools-Canada.zip

61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B

Tyskland:

KeyVault-BYOK-Tools-Germany.zip

5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6

Tyskland, offentlig:

KeyVault-BYOK-Tools-Germany-Public.zip

54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29

Indien:

KeyVault-BYOK-Tools-India.zip

49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8

Frankrike:

KeyVault-BYOK-Tools-France.zip

5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF

Storbritannien:

KeyVault-BYOK-Tools-UnitedKingdom.zip

432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849

Schweiz:

KeyVault-BYOK-Tools-Switzerland.zip

88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9

Om du vill verifiera integriteten för din nedladdade BYOK-verktygsuppsättning använder du cmdleten Get-FileHash från Azure PowerShell-sessionen.

Get-FileHash KeyVault-BYOK-Tools-*.zip

Verktygsuppsättningen innehåller:

  • Ett KEK-paket (Key Exchange Key) som har ett namn som börjar med BYOK-KEK-pkg-.
  • Ett Security World-paket som har ett namn som börjar med BYOK-SecurityWorld-pkg-.
  • Ett Python-skript med namnet verifykeypackage.py.
  • En körbar kommandoradsfil med namnet KeyTransferRemote.exe och associerade DLL:er.
  • Ett visuellt C++-omdistribuerbart paket med namnet vcredist_x64.exe.

Kopiera paketet till en USB-enhet eller annan bärbar lagring.

Förbereda den frånkopplade arbetsstationen

I det här andra steget utför du följande procedurer på den arbetsstation som inte är ansluten till ett nätverk (antingen Internet eller ditt interna nätverk).

Förbereda den frånkopplade arbetsstationen med nCipher nShield HSM

Installera nCipher-stödprogramvaran på en Windows-dator och anslut sedan en nCipher nShield HSM till datorn.

Kontrollera att nCipher-verktygen finns i sökvägen (%nfast_home%\bin). Skriv till exempel:

set PATH=%PATH%;"%nfast_home%\bin"

Mer information finns i användarhandboken som ingår i nShield HSM.

Installera BYOK-verktygsuppsättningen på den frånkopplade arbetsstationen

Kopiera BYOK-verktygsuppsättningspaketet från USB-enheten eller annan bärbar lagring och sedan:

  1. Extrahera filerna från det nedladdade paketet till valfri mapp.
  2. Kör vcredist_x64.exe från mappen.
  3. Följ anvisningarna för att installera Visual C++-körningskomponenterna för Visual Studio 2013.

Generera din nyckel

I det tredje steget utför du följande procedurer på den frånkopplade arbetsstationen. För att slutföra det här steget måste HSM vara i initieringsläge.

Ändra HSM-läget till "I"

Om du använder nCipher nShield Edge ändrar du läget: 1. Använd knappen Läge för att markera det läge som krävs. 2. Inom några sekunder trycker du på och håller knappen Rensa i några sekunder. Om läget ändras slutar det nya lägets lysdiod att blinka och förblir tänd. Status-lysdioden kan blinka oregelbundet i några sekunder och blinkar sedan regelbundet när enheten är klar. I annat fall förblir enheten i aktuellt läge, med lämplig led-lampa tänd.

Skapa en säkerhetsvärld

Starta en kommandotolk och kör programmet nCipher new-world.

 new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3

Det här programmet skapar en Security World-fil på %NFAST_KMDATA%\local\world, som motsvarar mappen C:\ProgramData\nCipher\Key Management Data\local. Du kan använda olika värden för kvorumet, men i vårt exempel uppmanas du att ange tre tomma kort och stift för var och en. Sedan ger alla två kort fullständig åtkomst till säkerhetsvärlden. Dessa kort blir administratörskortuppsättningen för den nya säkerhetsvärlden.

Kommentar

Om din HSM inte stöder den nyare cypher-sviten DLf3072s256mRijndael kan du ersätta --cipher-suite= DLf3072s256mRijndael med --cipher-suite=DLf1024s160mRijndael.

Säkerhetsvärlden som skapats med new-world.exe som levereras med nCipher-programvaruversion 12.50 är inte kompatibel med den här BYOK-proceduren. Det finns två alternativ tillgängliga:

  1. Nedgradera nCipher-programvaruversionen till 12.40.2 för att skapa en ny säkerhetsvärld.
  2. Kontakta supporten för nCipher och be dem att tillhandahålla en snabbkorrigering för 12.50-programvaruversionen, som gör att du kan använda 12.40.2-versionen av new-world.exe som är kompatibel med den här BYOK-proceduren.

Sedan:

  • Säkerhetskopiera världsfilen. Skydda världsfilen, administratörskorten och deras stift och se till att ingen enskild person har åtkomst till fler än ett kort.

Ändra HSM-läget till "O"

Om du använder nCipher nShield Edge ändrar du läget: 1. Använd knappen Läge för att markera det läge som krävs. 2. Inom några sekunder trycker du på och håller knappen Rensa i några sekunder. Om läget ändras slutar det nya lägets lysdiod att blinka och förblir tänd. Status-lysdioden kan blinka oregelbundet i några sekunder och blinkar sedan regelbundet när enheten är klar. I annat fall förblir enheten i aktuellt läge, med lämplig led-lampa tänd.

Verifiera det nedladdade paketet

Det här steget är valfritt men rekommenderas så att du kan verifiera följande:

  • Nyckelutbytesnyckeln som ingår i verktygsuppsättningen har genererats från en äkta nCipher nShield HSM.
  • Hashen för Säkerhetsvärlden som ingår i verktygsuppsättningen har genererats i en äkta nCipher nShield HSM.
  • Nyckelutbytesnyckeln kan inte exporteras.

Kommentar

För att verifiera det nedladdade paketet måste HSM vara ansluten, aktiverad och ha en säkerhetsvärld på den (till exempel den som du just har skapat).

Så här verifierar du det nedladdade paketet:

  1. Kör verifykeypackage.py skriptet genom att skriva något av följande, beroende på din geografiska region eller instans av Azure:

    • För Nordamerika:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1

    • För Europa:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1

    • För Asien:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1

    • För Latinamerika:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1

    • För Japan:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1

    • För Korea:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1

    • För Sydafrika:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1

    • För UAE:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1

    • För Australien:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1

    • För Azure Government, som använder den amerikanska myndighetsinstansen av Azure:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1

    • För US Government DOD:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1

    • För Kanada:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1

    • För Tyskland:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1

    • För Tyskland, offentlig:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1

    • För Indien:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1

    • För Frankrike:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1

    • För Storbritannien:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1

    • För Schweiz:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1

      Dricks

      nCipher nShield-programvaran innehåller Python på %NFAST_HOME%\python\bin

  2. Bekräfta att du ser följande, vilket indikerar lyckad validering: Resultat: LYCKADES

Det här skriptet validerar undertecknarkedjan upp till rotnyckeln nShield. Hashen för den här rotnyckeln är inbäddad i skriptet och dess värde ska vara 59178a47 de508c3f 291277ee 184f46c4 f1d9c639. Du kan också bekräfta det här värdet separat genom att besöka webbplatsen nCipher.

Nu är du redo att skapa en ny nyckel.

Skapa en ny nyckel

Generera en nyckel med hjälp av nCipher nShield generatekey-programmet .

Kör följande kommando för att generera nyckeln:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

När du kör det här kommandot använder du följande instruktioner:

  • Parameterskydd måste anges till värdemodulen, som visas. Då skapas en modulskyddad nyckel. BYOK-verktygsuppsättningen stöder inte OCS-skyddade nycklar.
  • Ersätt värdet för contosokey för ident och plainname med valfritt strängvärde. För att minimera administrativa omkostnader och minska risken för fel rekommenderar vi att du använder samma värde för båda. Ident-värdet får endast innehålla siffror, bindestreck och gemener.
  • Pubexp lämnas tomt (standard) i det här exemplet, men du kan ange specifika värden.

Det här kommandot skapar en tokeniserad nyckelfil i mappen %NFAST_KMDATA%\local med ett namn som börjar med key_simple_ följt av den ident som angavs i kommandot. Till exempel: key_simple_contosokey. Den här filen innehåller en krypterad nyckel.

Säkerhetskopiera den här tokeniserade nyckelfilen på en säker plats.

Viktigt!

När du senare överför din nyckel till Azure Key Vault kan Microsoft inte exportera tillbaka den här nyckeln till dig, så det blir mycket viktigt att du säkerhetskopierar din nyckel- och säkerhetsvärld på ett säkert sätt. Kontakta nCipher för vägledning och metodtips för att säkerhetskopiera din nyckel.

Nu är du redo att överföra din nyckel till Azure Key Vault.

Förbered din nyckel för överföring

För det fjärde steget utför du följande procedurer på den frånkopplade arbetsstationen.

Skapa en kopia av din nyckel med begränsade behörigheter

Öppna en ny kommandotolk och ändra den aktuella katalogen till den plats där du har packat upp ZIP-filen BYOK. Om du vill minska behörigheterna för din nyckel kör du något av följande från en kommandotolk, beroende på din geografiska region eller instans av Azure:

  • För Nordamerika:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-

  • För Europa:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1

  • För Asien:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1

  • För Latinamerika:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1

  • För Japan:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1

  • För Korea:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1

  • För Sydafrika:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1

  • För UAE:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1

  • För Australien:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1

  • För Azure Government, som använder den amerikanska myndighetsinstansen av Azure:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1

  • För US Government DOD:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1

  • För Kanada:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1

  • För Tyskland:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1

  • För Tyskland, offentlig:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1

  • För Indien:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1

  • För Frankrike:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1

  • För Storbritannien:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1

  • För Schweiz:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1

När du kör det här kommandot ersätter du contosokey med samma värde som du angav i steg 3.5: Skapa en ny nyckel från steget Generera nyckeln .

Du uppmanas att ansluta dina säkerhetsvärldsadministratörskort.

När kommandot har slutförts visas Result: SUCCESS och kopian av din nyckel med nedsatt behörighet i filen med namnet key_xferacId_<contosokey>.

Du kan inspektera ACLS med hjälp av följande kommandon med hjälp av nCipher nShield-verktygen:

  • aclprint.py:

    "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"

  • kmfile-dump.exe:

    "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"

    När du kör dessa kommandon ersätter du contosokey med samma värde som du angav i steg 3.5: Skapa en ny nyckel från steget Generera din nyckel .

Kryptera din nyckel med hjälp av Microsofts Key Exchange-nyckel

Kör något av följande kommandon, beroende på din geografiska region eller instans av Azure:

  • För Nordamerika:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Europa:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Asien:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Latinamerika:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Japan:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Korea:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Sydafrika:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För UAE:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Australien:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Azure Government, som använder den amerikanska myndighetsinstansen av Azure:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För US Government DOD:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Kanada:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Tyskland:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Tyskland, offentlig:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Indien:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Frankrike:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Storbritannien:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • För Schweiz:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

När du kör det här kommandot använder du följande instruktioner:

  • Ersätt contosokey med identifieraren som du använde för att generera nyckeln i steg 3.5: Skapa en ny nyckel från steget Generera din nyckel .
  • Ersätt SubscriptionID med ID:t för den Azure-prenumeration som innehåller ditt nyckelvalv. Du hämtade det här värdet tidigare i steg 1.2: Hämta ditt Azure-prenumerations-ID från steget Förbered din Internetanslutna arbetsstation .
  • Ersätt ContosoFirstHSMKey med en etikett som används för utdatafilens namn.

När detta har slutförts visas Result: SUCCESS och det finns en ny fil i den aktuella mappen som har följande namn: KeyTransferPackage-ContosoFirstHSMkey.byok

Kopiera nyckelöverföringspaketet till den Internetanslutna arbetsstationen

Använd en USB-enhet eller annan bärbar lagring för att kopiera utdatafilen från föregående steg (KeyTransferPackage-ContosoFirstHSMkey.byok) till din Internetanslutna arbetsstation.

Överföra din nyckel till Azure Key Vault

I det här sista steget använder du cmdleten Add-AzKeyVaultKey på den Internetanslutna arbetsstationen för att ladda upp nyckelöverföringspaketet som du kopierade från den frånkopplade arbetsstationen till Azure Key Vault HSM:

     Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'

Om uppladdningen lyckas visas egenskaperna för nyckeln som du precis har lagt till.

Nästa steg

Nu kan du använda den här HSM-skyddade nyckeln i ditt nyckelvalv. Mer information finns i den här pris- och funktionsjämförelsen.