Key Vault için HSM korumalı anahtarları içeri aktarma (nCipher)
Uyarı
Bu belgede açıklanan HSM anahtarı içeri aktarma yöntemi kullanım dışıdır ve 30 Haziran 2021'dan sonra desteklenmeyecektir. Yalnızca 12.40.2 veya daha yeni bir üretici yazılımına sahip nCipher nShield HSM ailesi ile çalışır. HSM anahtarlarını içeri aktarmak için yeni yöntemin kullanılması kesinlikle önerilir.
Not
Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz. Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.
Ek güvence için, Azure Key Vault kullandığınızda, HSM sınırını hiçbir zaman bırakmayan donanım güvenlik modüllerinde (HSM) anahtarları içeri aktarabilir veya oluşturabilirsiniz. Bu senaryo genellikle kendi anahtarını getir veya KAG olarak adlandırılır. Azure Key Vault, anahtarlarınızı korumak için nCipher nShield HSM ailesi (FIPS 140-2 Düzey 2 doğrulanmış) kullanır.
Azure Key Vault ile kullanmak üzere kendi HSM korumalı anahtarlarınızı planlamanıza, oluşturmanıza ve aktarmanıza yardımcı olması için bu makaleyi kullanın.
Bu işlevsellik, 21Vianet tarafından sağlanan Microsoft Azure'da kullanılamaz.
Not
Azure Key Vault hakkında daha fazla bilgi için bkz. Azure Key Vault nedir? HSM korumalı anahtarlar için anahtar kasası oluşturmayı içeren bir başlangıç öğreticisi için bkz. Azure Key Vault nedir?.
İnternet üzerinden HSM korumalı anahtar oluşturma ve aktarma hakkında daha fazla bilgi:
- Anahtarı çevrimdışı bir iş istasyonundan oluşturarak saldırı yüzeyini azaltırsınız.
- Anahtar, Azure Key Vault HSM'lerine aktarılana kadar şifrelenmiş olarak kalan bir Anahtar Değişim Anahtarı (KEK) ile şifrelenir. Anahtarınızın yalnızca şifrelenmiş sürümü özgün iş istasyonundan ayrılır.
- Araç takımı, kiracı anahtarınızda anahtarınızı Azure Key Vault güvenlik dünyasına bağlayan özellikleri ayarlar. Bu nedenle Azure Key Vault HSM'leri anahtarınızı alıp şifresini çözdükten sonra anahtarı yalnızca bu HSM'ler kullanabilir. Anahtarınız dışarı aktarılamıyor. Bu bağlama nCipher HSM'leri tarafından zorlanır.
- Anahtarınızı şifrelemek için kullanılan Anahtar Değişimi Anahtarı (KEK), Azure Key Vault HSM'lerinde oluşturulur ve dışarı aktarılamaz. HSM'ler, KEK’in HSM'lerin dışında net bir sürümü olmamasını zorlar. Buna ek olarak, araç takımı nCipher'dan KEK'nin dışarı aktarılabilir olmadığını ve nCipher tarafından üretilen orijinal bir HSM içinde oluşturulduğunu kanıtlamayı içerir.
- Araç takımı, nCipher tarafından üretilen orijinal bir HSM üzerinde Azure Key Vault güvenlik dünyasının da oluşturulduğunu kanıtlamayı içerir. Bu kanıtlama, Microsoft'un orijinal donanım kullandığını gösterir.
- Microsoft, her coğrafi bölgede ayrı KEK'ler ve ayrı Güvenlik Dünyaları kullanır. Bu ayrım anahtarınızın yalnızca şifrelediğiniz bölgedeki veri merkezlerinde kullanılabilmesini sağlar. Örneğin, Avrupalı bir müşterinin anahtarı Kuzey Amerika veya Asya'daki veri merkezlerinde kullanılamaz.
nCipher HSM'leri ve Microsoft hizmetleri hakkında daha fazla bilgi
Bir Entrust Datacard şirketi olan nCipher Security, genel amaçlı HSM pazarında liderdir ve iş açısından kritik bilgilerine ve uygulamalarına güven, bütünlük ve denetim sağlayarak dünya lideri kuruluşları güçlendirmektedir. nCipher'ın şifreleme çözümleri bulut, IoT, blok zinciri, dijital ödemeler gibi gelişmekte olan teknolojilerin güvenliğini sağlar ve küresel kuruluşların hassas verilerine, ağ iletişimlerine ve kurumsal altyapılarına yönelik tehditlere karşı korumak için bugün bağımlı olduğu kanıtlanmış teknolojiyi kullanarak yeni uyumluluk koşullarını karşılamaya yardımcı olur. nCipher, iş açısından kritik uygulamalar için güven sağlayarak verilerin bütünlüğünü güvence altına alır ve müşterileri tam denetime (bugün, yarın, her zaman) getirir.
Microsoft, HSM'lerin son durumunu geliştirmek için nCipher Security ile işbirliği yaptı. Yapılan geliştirmeler, anahtarlarınızın denetimini elden bırakmadan, barındırılan hizmetlere ait tipik avantajlardan yararlanmanıza olanak tanımaktadır. Daha açık belirtilirse, bu geliştirmeler sonrasında HSM’lerin yönetimini sizin yerinize Microsoft yürütebilmektedir. Bulut hizmeti olarak Azure Key Vault, kuruluşunuzun kullanım artışlarını karşılamak için kısa sürede ölçeği genişletmektedir. Aynı zamanda anahtarınız Microsoft'un HSM'leri içinde korunur: Anahtarı oluşturup Microsoft'un HSM'lerine aktardığınız için anahtar yaşam döngüsü üzerindeki denetiminiz korunur.
Azure Key Vault için kendi anahtarını getir (KAG) özelliğini uygulama
Kendi HSM korumalı anahtarınızı oluşturup azure Key Vault aktaracaksanız aşağıdaki bilgileri ve yordamları kullanın. Bu, Kendi Anahtarını Getir (BYOK) senaryosu olarak bilinir.
BYOK için önkoşullar
Azure Key Vault için kendi anahtarını getir (KAG) önkoşullarının listesi için aşağıdaki tabloya bakın.
Gereksinim | Daha fazla bilgi |
---|---|
Azure aboneliği | Azure Key Vault oluşturmak için bir Azure aboneliğiniz olmalıdır: Ücretsiz deneme için kaydolun |
HSM korumalı anahtarları desteklemek için Azure Key Vault Premium hizmet katmanı | Azure Key Vault hizmet katmanları ve özellikleri hakkında daha fazla bilgi için Bkz. Azure Key Vault Fiyatlandırma web sitesi. |
nCipher nShield HSM'leri, akıllı kartları ve destek yazılımı | nCipher Donanım Güvenlik Modülü'ne ve nCipher nShield HSM'leri hakkında temel operasyonel bilgilere erişiminiz olmalıdır. Uyumlu modellerin listesi için nCipher nShield Donanım Güvenlik Modülü'ne bakın veya yoksa bir HSM satın alın. |
Aşağıdaki donanım ve yazılımlar:
|
Güvenlik nedenleriyle ilk iş istasyonunun bir ağa bağlı olmaması önerilir. Ancak, bu öneri program aracılığıyla uygulanmaz. Aşağıdaki yönergelerde, bu iş istasyonu bağlantısı kesilmiş iş istasyonu olarak adlandırılır. Buna ek olarak, kiracı anahtarınız bir üretim ağına yönelikse araç takımını indirmek için ikinci ve ayrı bir iş istasyonu kullanmanızı ve kiracı anahtarını karşıya yüklemenizi öneririz. Ancak test amacıyla, birincisi ile aynı iş istasyonunu kullanabilirsiniz. Aşağıdaki yönergelerde, bu ikinci iş istasyonu İnternet'e bağlı iş istasyonu olarak adlandırılır. |
Anahtarınızı oluşturma ve Azure Key Vault HSM'ye aktarma
Anahtarınızı oluşturmak ve Bir Azure Key Vault HSM'ye aktarmak için aşağıdaki beş adımı kullanacaksınız:
- 1. Adım: İnternet'e bağlı iş istasyonunuzu hazırlama
- 2. Adım: Bağlantısı kesilmiş iş istasyonunuzu hazırlama
- 3. Adım: Anahtarınızı oluşturma
- Adım 4: Kiracı anahtarınızı aktarım için hazırlama
- 5. Adım: Anahtarınızı Azure Anahtar Kasası’na aktarma
İnternet’e bağlı iş istasyonunuzu hazırlama
Bu ilk adım için, İnternet'e bağlı iş istasyonunuzda aşağıdaki yordamları uygulayın.
Azure PowerShell'i yükleme
İnternet'e bağlı iş istasyonundan Azure Key Vault yönetmek için cmdlet'leri içeren Azure PowerShell modülünü indirip yükleyin. Yükleme yönergeleri için bkz. Azure PowerShell yükleme ve yapılandırma.
Azure abonelik kimliğinizi alma
Azure PowerShell oturumu başlatın ve aşağıdaki komutu kullanarak Azure hesabınızda oturum açın:
Connect-AzAccount
Açılır tarayıcı penceresinde Azure hesabı kullanıcı adınızı ve parolanızı girin. Ardından Get-AzSubscription komutunu kullanın:
Get-AzSubscription
Çıktıdan Azure Key Vault için kullanacağınız aboneliğin kimliğini bulun. Bu abonelik kimliğine daha sonra ihtiyacınız olacak.
Azure PowerShell penceresini kapatmayın.
Azure Key Vault için KAG araç takımını indirme
Microsoft İndirme Merkezi'ne gidin ve coğrafi bölgeniz veya Azure örneğiniz için Azure Key Vault BYOK araç takımını indirin. İndirilmesi gereken paket adını ve buna karşılık gelen SHA-256 paket karması tanımlamak için aşağıdaki bilgileri kullanın:
Birleşik Devletler:
KeyVault-BYOK-Tools-UnitedStates.zip
2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4
Avrupa:
KeyVault-BYOK-Tools-Europe.zip
9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A
Asya:
KeyVault-BYOK-Tools-AsiaPacific.zip
4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5
Latin Amerika:
KeyVault-BYOK-Tools-LatinAmerica.zip
E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619
Japonya:
KeyVault-BYOK-Tools-Japan.zip
3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF
Kore:
KeyVault-BYOK-Tools-Korea.zip
71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F
Güney Afrika:
KeyVault-BYOK-Tools-SouthAfrica.zip
C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A
UÇAN:
KeyVault-BYOK-Tools-UAE.zip
FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3
Avustralya:
KeyVault-BYOK-Tools-Australia.zip
CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A
KeyVault-BYOK-Tools-USGovCloud.zip
F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A
US Government DOD:
KeyVault-BYOK-Tools-USGovernmentDoD.zip
A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263
Kanada:
KeyVault-BYOK-Tools-Canada.zip
61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B
Almanya:
KeyVault-BYOK-Tools-Germany.zip
5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6
Almanya Geneli:
KeyVault-BYOK-Tools-Germany-Public.zip
54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29
Hindistan:
KeyVault-BYOK-Tools-India.zip
49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8
Fransa:
KeyVault-BYOK-Tools-France.zip
5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF
Birleşik Krallık:
KeyVault-BYOK-Tools-UnitedKingdom.zip
432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849
İsviçre:
KeyVault-BYOK-Tools-Switzerland.zip
88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9
İndirdiğiniz BYOK araç takımının bütünlüğünü doğrulamak için Azure PowerShell oturumunuzda Get-FileHash cmdlet'ini kullanın.
Get-FileHash KeyVault-BYOK-Tools-*.zip
Araç takımı şunları içerir:
- BYOK-KEK-pkg- ile başlayan bir ada sahip anahtar değişim anahtarı (KEK) paketi.
- BYOK-SecurityWorld-pkg- ile başlayan bir ada sahip bir Güvenlik Dünyası paketi.
- verifykeypackage.py adlı bir Python betiği.
- KeyTransferRemote.exe adlı bir komut satırı yürütülebilir dosyası ve ilişkili DLL'ler.
- vcredist_x64.exe adlı bir Visual C++ Yeniden Dağıtılabilir Paketi.
Paketi bir USB sürücüye veya başka bir taşınabilir depolama cihazına kopyalayın.
Bağlantısı kesilmiş iş istasyonunuzu hazırlama
Bu ikinci adım için, bir ağa bağlı olmayan iş istasyonunda (İnternet veya iç ağınız) aşağıdaki yordamları uygulayın.
Bağlantısı kesilmiş iş istasyonunu nCipher nShield HSM ile hazırlama
nCipher destek yazılımını bir Windows bilgisayara yükleyin ve ardından bu bilgisayara bir nCipher nShield HSM ekleyin.
nCipher araçlarının yolunuzda olduğundan emin olun (%nfast_home%\bin). Örneğin, yazın:
set PATH=%PATH%;"%nfast_home%\bin"
Daha fazla bilgi için nShield HSM ile birlikte verilen kullanıcı kılavuzuna bakın.
Bağlantısı kesilmiş iş istasyonuna BYOK araç takımını yükleme
BYOK araç takımı paketini USB sürücüden veya başka bir taşınabilir depolama alanından kopyalayın ve ardından:
- İndirilen paketteki dosyaları herhangi bir klasöre ayıklayın.
- Bu klasörden vcredist_x64.exe dosyasını çalıştırın.
- Visual Studio 2013 için Visual C++ çalışma zamanı bileşenlerini yükleme yönergelerini izleyin.
Anahtarınızı oluşturma
Bu üçüncü adım için bağlantısı kesilmiş iş istasyonunda aşağıdaki yordamları uygulayın. Bu adımı tamamlamak için HSM'nizin başlatma modunda olması gerekir.
HSM modunu 'I' olarak değiştirme
nCipher nShield Edge kullanıyorsanız modu değiştirmek için: 1. Gerekli modu vurgulamak için Mod düğmesini kullanın. 2. Birkaç saniye içinde Temizle düğmesine birkaç saniye basılı tutun. Mod değişirse, yeni modun LED ışığı yanıp söner ve yanar. Durum LED'i birkaç saniye boyunca düzensiz yanıp sönebilir ve cihaz hazır olduğunda düzenli olarak yanıp söner. Aksi takdirde cihaz, uygun mod LED ışığıyla geçerli modda kalır.
Güvenlik dünyası oluşturma
Bir komut istemi başlatın ve nCipher new-world programını çalıştırın.
new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3
Bu program, C:\ProgramData\nCipher\Key Management Data\local klasörüne karşılık gelen %NFAST_KMDATA%\local\world klasöründe bir Güvenlik Dünyası dosyası oluşturur. Çekirdek için farklı değerler kullanabilirsiniz, ancak örneğimizde her biri için üç boş kart ve pin girmeniz istenir. Ardından, her iki kart güvenlik dünyasına tam erişim sağlar. Bu kartlar, yeni güvenlik dünyası için Yönetici Kart Seti haline gelir.
Not
HSM'niz daha yeni DLf3072s256mRijndael cypher paketini desteklemiyorsa değerini ile --cipher-suite=DLf1024s160mRijndael
değiştirebilirsiniz--cipher-suite= DLf3072s256mRijndael
.
nCipher yazılım sürümü 12.50 ile birlikte gelen new-world.exe ile oluşturulan güvenlik dünyası bu BYOK yordamıyla uyumlu değildir. Kullanılabilecek iki seçenek vardır:
- Yeni bir güvenlik dünyası oluşturmak için nCipher yazılım sürümünü 12.40.2 sürümüne düşürme.
- nCipher desteğine başvurun ve bu BYOK yordamıyla uyumlu new-world.exe 12.40.2 sürümünü kullanmanıza olanak tanıyan 12.50 yazılım sürümü için bir düzeltme sağlamalarını isteyin.
Ardından:
- Dünya dosyasının yedeğini alın. Dünya dosyasını, Yönetici Kartlarını ve bunların PIN’lerini güvenceye alın ve koruyun ve bir karta tek bir kişiden fazlasının erişemediğinden emin olun.
HSM modunu 'O' olarak değiştirme
nCipher nShield Edge kullanıyorsanız modu değiştirmek için: 1. Gerekli modu vurgulamak için Mod düğmesini kullanın. 2. Birkaç saniye içinde Temizle düğmesine birkaç saniye basılı tutun. Mod değişirse, yeni modun LED ışığı yanıp söner ve yanar. Durum LED'i birkaç saniye boyunca düzensiz yanıp sönebilir ve cihaz hazır olduğunda düzenli olarak yanıp söner. Aksi takdirde cihaz, uygun mod LED ışığıyla geçerli modda kalır.
İndirilen paketi doğrulama
Bu adım isteğe bağlıdır ancak aşağıdakileri doğrulayabilmeniz adına önerilir:
- Araç takımına dahil edilen Anahtar Değişimi Anahtarı, orijinal nCipher nShield HSM'den oluşturulmuştur.
- Araç takımına dahil edilen Güvenlik Dünyası karması, orijinal nCipher nShield HSM'de oluşturulmuştur.
- Anahtar Değişim Anahtarı dışarı aktarılamaz.
Not
İndirilen paketi doğrulamak için HSM'nin bağlı, açık ve üzerinde bir güvenlik dünyası (yeni oluşturduğunuz gibi) olması gerekir.
İndirilen paketi doğrulamak için:
Coğrafi bölgenize veya Azure örneğine bağlı olarak aşağıdakilerden birini yazarak verifykeypackage.py betiğini çalıştırın:
Kuzey Amerika için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1
Avrupa için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1
Asya için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1
Latin Amerika için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1
Japonya için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1
Kore için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1
Güney Afrika için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1
BAE için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1
Avustralya için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1
Azure'ın ABD kamu örneğini kullanan Azure Kamu için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1
US Government DOD için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1
Kanada için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1
Almanya için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
Almanya Geneli için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1
Hindistan için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1
Fransa için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1
Birleşik Krallık için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1
İsviçre için:
"%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1
İpucu
nCipher nShield yazılımı %NFAST_HOME%\python\bin konumunda Python içerir
Doğrulamanın başarılı olduğunu gösteren aşağıdakini gördüğünüzden emin olmanız gerekir: Sonuç: BAŞARI
Bu betik, imzalayanın nShield kök anahtarına zincirletiğini doğrular. Bu kök anahtarın karması, komut dosyasında tümleşiktir ve değeri 59178a47 de508c3f 291277ee 184f46c4 f1d9c639 olmalıdır. Ayrıca nCipher web sitesini ziyaret ederek de bu değeri ayrı olarak onaylayabilirsiniz.
Artık yeni bir anahtar oluşturmaya hazırsınız.
Yeni anahtar oluşturma
nCipher nShield generatekey programını kullanarak bir anahtar oluşturun.
Anahtarı oluşturmak için aşağıdaki komutu çalıştırın:
generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=
Bu komutu çalıştırdığınızda, aşağıdaki yönergeleri kullanın:
- protect parametresi, gösterildiği gibi module değerine ayarlanmalıdır. Bu, modül korumalı bir anahtar oluşturur. BYOK araç takımı, OCS korumalı anahtarları desteklemez.
- ident ve plainname için contosokey değerini bir dize değeriyle değiştirin. Yönetim yüklerini en aza indirmek ve hata riskini azaltmak için her ikisi için de aynı değeri kullanmanızı öneririz. Girinti değeri yalnızca sayı, kısa çizgi ve küçük harf içermelidir.
- Bu örnekte pubexp (varsayılan) boş bırakılmıştır, ancak belirli bir değer belirtebilirsiniz.
Bu komut, %NFAST_KMDATA%\local klasörünüzde key_simple_ ile başlayan bir ad ve ardından komutta belirtilen girintiyle bir Belirteçli Anahtar dosyası oluşturur. Örneğin: key_simple_contosokey. Bu dosya şifreli bir anahtar içerir.
Bu Simgeleştirilmiş Anahtar Dosyasını güvenli bir yere yedekleyin.
Önemli
Anahtarınızı daha sonra Azure Key Vault aktardığınızda, Microsoft bu anahtarı size geri aktaramaz, bu nedenle anahtarınızı ve güvenlik dünyanızı güvenli bir şekilde yedeklemeniz son derece önemlidir. Anahtarınızı yedeklemeye yönelik rehberlik ve en iyi yöntemler için nCipher ile iletişime geçin.
Artık anahtarınızı Azure Key Vault aktarmaya hazırsınız.
Anahtarınızı aktarım için hazırlama
Bu dördüncü adım için bağlantısı kesilmiş iş istasyonunda aşağıdaki yordamları uygulayın.
Azaltılmış izinlerle anahtarınızın bir kopyasını oluşturma
Yeni bir komut istemi açın ve geçerli dizini BYOK zip dosyasının sıkıştırmasını açtığınız konumla değiştirin. Anahtarınızdaki izinleri azaltmak için, bir komut isteminden coğrafi bölgenize veya Azure örneğine bağlı olarak aşağıdakilerden birini çalıştırın:
Kuzey Amerika için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-
Avrupa için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1
Asya için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1
Latin Amerika için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1
Japonya için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1
Kore için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1
Güney Afrika için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1
BAE için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1
Avustralya için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1
Azure'ın ABD kamu örneğini kullanan Azure Kamu için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1
US Government DOD için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1
Kanada için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1
Almanya için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
Almanya Geneli için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1
Hindistan için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1
Fransa için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1
Birleşik Krallık için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1
İsviçre için:
KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1
Bu komutu çalıştırdığınızda contosokey değerini 3.5. Adım: Anahtarınızı oluşturma adımından yeni anahtar oluşturma bölümünde belirttiğiniz değerle değiştirin.
Güvenlik dünyası yönetici kartlarınızı takmanız istenir.
Komut tamamlandığında sonuç: BAŞARI ve azaltılmış izinlere sahip anahtarınızın kopyası key_xferacId_<contosokey> adlı dosyada gösterilir.
NCipher nShield yardımcı programlarını kullanarak aşağıdaki komutları kullanarak ACLS'yi inceleyebilirsiniz:
aclprint.py:
"%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"
kmfile-dump.exe:
"%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"
Bu komutları çalıştırdığınızda contosokey değerini 3.5. Adım: Anahtarınızı oluşturma adımından yeni anahtar oluşturma bölümünde belirttiğiniz değerle değiştirin.
Anahtarınızı Microsoft'un Anahtar Değişimi Anahtarını kullanarak şifreleme
Coğrafi bölgenize veya Azure örneğine bağlı olarak aşağıdaki komutlardan birini çalıştırın:
Kuzey Amerika için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Avrupa için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Asya için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Latin Amerika için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Japonya için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Kore için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Güney Afrika için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
BAE için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Avustralya için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Azure'ın ABD kamu örneğini kullanan Azure Kamu için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
US Government DOD için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Kanada için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Almanya için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Almanya Geneli için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Hindistan için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Fransa için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Birleşik Krallık için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
İsviçre için:
KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey
Bu komutu çalıştırdığınızda, aşağıdaki yönergeleri kullanın:
- contosokey değerini 3.5. Adım:Anahtarınızı oluşturma adımından yeni anahtar oluşturma bölümünde anahtarı oluşturmak için kullandığınız tanımlayıcıyla değiştirin.
- SubscriptionID değerini anahtar kasanızı içeren Azure aboneliğinin kimliğiyle değiştirin. Bu değeri daha önce 1.2. Adım:İnternet'e bağlı iş istasyonunuzu hazırlama adımından Azure abonelik kimliğinizi alma bölümünden almıştınız.
- ContosoFirstHSMKey değerini çıkış dosya adınız için kullanılan bir etiketle değiştirin.
Bu başarıyla tamamlandığında Sonuç: BAŞARI görüntülenir ve geçerli klasörde şu ada sahip yeni bir dosya vardır: KeyTransferPackage-ContosoFirstHSMkey.byok
Anahtar aktarım paketinizi İnternet'e bağlı iş istasyonuna kopyalama
Önceki adımda (KeyTransferPackage-ContosoFirstHSMkey.byok) çıkış dosyasını İnternet'e bağlı iş istasyonunuza kopyalamak için bir USB sürücüsü veya başka bir taşınabilir depolama kullanın.
Anahtarınızı Azure Key Vault'ye aktarma
Bu son adım için İnternet'e bağlı iş istasyonunda Add-AzKeyVaultKey cmdlet'ini kullanarak bağlantısı kesilmiş iş istasyonundan kopyaladığınız anahtar aktarım paketini Azure Key Vault HSM'ye yükleyin:
Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'
Karşıya yükleme başarılı olursa, yeni eklediğiniz anahtarın özelliklerini görüntülendiğini görürsünüz.
Sonraki adımlar
Artık bu HSM korumalı anahtarı anahtar kasanızda kullanabilirsiniz. Daha fazla bilgi için bkz. Bu fiyat ve özellik karşılaştırması.