Passaggio 2: Migrazione di chiavi protette da software a chiave protetta da modulo di protezione hardware

Queste istruzioni fanno parte del percorso di migrazione da AD RMS ad Azure Information Protection e sono applicabili solo se la chiave di AD RMS è protetta da software e si vuole eseguire la migrazione ad Azure Information Protection con una chiave del tenant protetta da HSM in Azure Key Vault.

Se non si tratta dello scenario di configurazione scelto, tornare al passaggio 4. Esportare i dati di configurazione da AD RMS e importarli in Azure RMS e scegliere una configurazione diversa.

Si tratta di una procedura in quattro parti per importare la configurazione di AD RMS in Azure Information Protection per ottenere la chiave del tenant di Azure Information Protection gestita dall'utente (BYOK) in Azure Key Vault.

È prima necessario estrarre la chiave del certificato di licenza server (SLC) dai dati di configurazione di AD RMS e trasferire la chiave in un modulo di protezione hardware nCipher locale, quindi trasferire la chiave HSM in Azure Key Vault, quindi autorizzare il servizio Azure Rights Management da Azure Information Protection ad accedere all'insieme di credenziali delle chiavi e quindi importare i dati di configurazione.

Poiché la chiave del tenant di Azure Information Protection verrà archiviata e gestita da Azure Key Vault, questa parte della migrazione richiede l'amministrazione in Azure Key Vault, oltre ad Azure Information Protection. Se Azure Key Vault è gestito da un amministratore diverso da quello dell'organizzazione, è necessario coordinare e collaborare con tale amministratore per completare queste procedure.

Prima di iniziare, assicurarsi che l'organizzazione disponga di un insieme di credenziali delle chiavi creato in Azure Key Vault e che supporti le chiavi protette dal modulo di protezione hardware. Anche se non è necessario, è consigliabile disporre di un insieme di credenziali delle chiavi dedicato per Azure Information Protection. Questo insieme di credenziali delle chiavi verrà configurato per consentire al servizio Azure Rights Management di Azure Information Protection di accedervi, quindi le chiavi archiviate dall'insieme di credenziali delle chiavi devono essere limitate solo alle chiavi di Azure Information Protection.

Suggerimento

Se si eseguono i passaggi di configurazione per Azure Key Vault e non si ha familiarità con questo servizio di Azure, potrebbe risultare utile vedere Introduzione ad Azure Key Vault.

Parte 1: Estrarre la chiave SLC dai dati di configurazione e importare la chiave nel modulo di protezione hardware locale

  1. Amministratore di Azure Key Vault: per ogni chiave SLC esportata da archiviare in Azure Key Vault, seguire questa procedura nella sezione Implementazione della chiave BYOK (Bring Your Own Key) per Azure Key Vault della documentazione di Azure Key Vault :

    Non seguire la procedura per generare la chiave del tenant, perché è già presente l'equivalente nel file di dati di configurazione esportati (con estensione xml). Si eseguirà invece uno strumento per estrarre questa chiave dal file e importarla nel modulo di protezione hardware locale. Lo strumento crea due file quando viene eseguito:

    • Nuovo file di dati di configurazione senza la chiave, che è quindi pronto per essere importato nel tenant di Azure Information Protection.

    • Un file PEM (contenitore di chiavi) con la chiave, che è quindi pronto per essere importato nel modulo di protezione hardware locale.

  2. Amministratore di Azure Information Protection o amministratore di Azure Key Vault: nella workstation disconnessa eseguire lo strumento TpdUtil dal toolkit di migrazione di Azure RMS. Ad esempio, se lo strumento è installato nell'unità E in cui si copia il file di dati di configurazione denominato ContosoTPD.xml:

    E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
    

    Se sono presenti più file di dati di configurazione RMS, eseguire questo strumento per il resto di questi file.

    Per visualizzare la Guida per questo strumento, che include una descrizione, l'utilizzo e gli esempi, eseguire TpdUtil.exe senza parametri

    Informazioni aggiuntive per questo comando:

    • / tpd: specifica il percorso completo e il nome del file di dati di configurazione di AD RMS esportato. Il nome completo del parametro è TpdFilePath.

    • / otpd: specifica il nome del file di output per il file di dati di configurazione senza la chiave. Il nome completo del parametro è OutPfxFile. Se non si specifica questo parametro, per impostazione predefinita il file di output viene impostato sul nome file originale con il suffisso _keyless e viene archiviato nella cartella corrente.

    • / opem: specifica il nome del file di output per il file PEM, che contiene la chiave estratta. Il nome completo del parametro è OutPemFile. Se non si specifica questo parametro, per impostazione predefinita il file di output viene impostato sul nome file originale con il suffisso _key e viene archiviato nella cartella corrente.

    • Se non si specifica la password quando si esegue questo comando (usando il nome completo del parametro TpdPassword o il nome breve del parametro pwd ), viene richiesto di specificarlo.

  3. Nella stessa workstation disconnessa collegare e configurare il modulo di protezione hardware nCipher, in base alla documentazione di nCipher. È ora possibile importare la chiave nel modulo di protezione hardware nCipher collegato usando il comando seguente in cui è necessario sostituire il proprio nome file per ContosoTPD.pem:

    generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
    

    Nota

    Se sono presenti più file, scegliere il file corrispondente alla chiave HSM che si vuole usare in Azure RMS per proteggere il contenuto dopo la migrazione.

    In questo modo viene generato un output simile al seguente:

    parametri di generazione delle chiavi:

    operazione di operazione per eseguire l'importazione

    application application simple

    verificare la sicurezza della chiave di configurazione sì

    tipo chiave RSA

    File PEM pemreadfile contenente la chiave RSA e:\ContosoTPD.pem

    identificatore chiave ident contosobyok

    nome chiave plainname ContosoBYOK

    Chiave importata correttamente.

    Percorso della chiave: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok

Questo output conferma che la chiave privata è ora migrata al dispositivo HSM nCipher locale con una copia crittografata salvata in una chiave (nell'esempio "key_simple_contosobyok").

Ora che la chiave SLC è stata estratta e importata nel modulo di protezione hardware locale, è possibile creare un pacchetto della chiave protetta dal modulo di protezione hardware e trasferirla in Azure Key Vault.

Importante

Dopo aver completato questo passaggio, cancellare in modo sicuro questi file PEM dalla workstation disconnessa per assicurarsi che non possano essere accessibili da persone non autorizzate. Ad esempio, eseguire "cipher /w: E" per eliminare in modo sicuro tutti i file dall'unità E: .

Parte 2: Creare un pacchetto e trasferire la chiave del modulo di protezione hardware in Azure Key Vault

Amministratore di Azure Key Vault: per ogni chiave SLC esportata da archiviare nell'insieme di credenziali delle chiavi di Azure, seguire questa procedura nella sezione Implementazione di BYOK (Bring Your Own Key) per Azure Key Vault della documentazione di Azure Key Vault :

Non seguire la procedura per generare la coppia di chiavi, perché la chiave è già disponibile. Si eseguirà invece un comando per trasferire questa chiave (nell'esempio il parametro KeyIdentifier usa "contosobyok") dal modulo di protezione hardware locale.

Prima di trasferire la chiave in Azure Key Vault, assicurarsi che l'utilità KeyTransferRemote.exe restituisca Result: SUCCESS quando si crea una copia della chiave con autorizzazioni ridotte (passaggio 4.1) e quando si crittografa la chiave (passaggio 4.3).

Quando la chiave viene caricata in Azure Key Vault, vengono visualizzate le proprietà della chiave, che include l'ID chiave. Sarà simile a https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Prendere nota di questo URL perché l'amministratore di Azure Information Protection dovrà indicare al servizio Azure Rights Management di Azure Information Protection di usare questa chiave per la chiave del tenant.

Usare quindi il cmdlet Set-AzKeyVaultAccessPolicy per autorizzare l'entità servizio azure Rights Management ad accedere all'insieme di credenziali delle chiavi. Le autorizzazioni necessarie sono decrittografare, crittografare, annullare il wrappingkey, verificare e firmare.

Ad esempio, se l'insieme di credenziali delle chiavi creato per Azure Information Protection è denominato contosorms-byok-kv e il gruppo di risorse è denominato contosorms-byok-rg, eseguire il comando seguente:

Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get

Dopo aver trasferito la chiave del modulo di protezione hardware ad Azure Key Vault, è possibile importare i dati di configurazione di AD RMS.

Parte 3: Importare i dati di configurazione in Azure Information Protection

  1. Amministratore di Azure Information Protection: nella workstation connessa a Internet e nella sessione di PowerShell copiare i nuovi file di dati di configurazione (xml) con la chiave SLC rimossa dopo l'esecuzione dello strumento TpdUtil.

  2. Caricare ogni file XML usando il cmdlet Import-AipServiceTpd . Ad esempio, è necessario avere almeno un file aggiuntivo da importare se è stato aggiornato il cluster AD RMS per la modalità di crittografia 2.

    Per eseguire questo cmdlet, è necessaria la password specificata in precedenza per il file di dati di configurazione e l'URL per la chiave identificata nel passaggio precedente.

    Ad esempio, usando un file di dati di configurazione C:\contoso_keyless.xml e il valore dell'URL della chiave del passaggio precedente, eseguire prima di tutto quanto segue per archiviare la password:

     $TPD_Password = Read-Host -AsSecureString
    

    Immettere la password specificata per esportare il file di dati di configurazione. Eseguire quindi il comando seguente e verificare di voler eseguire questa azione:

    Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Come parte di questa importazione, la chiave SLC viene importata e impostata automaticamente come archiviata.

  3. Dopo aver caricato ogni file, eseguire Set-AipServiceKeyProperties per specificare la chiave importata corrispondente alla chiave SLC attualmente attiva nel cluster AD RMS.

  4. Usare il cmdlet Disconnect-AipServiceService per disconnettersi dal servizio Azure Rights Management:

    Disconnect-AipServiceService
    

Se in un secondo momento è necessario verificare quale chiave usa la chiave del tenant di Azure Information Protection in Azure Key Vault, usare il cmdlet Get-AipServiceKeys di Azure RMS.

A questo punto è possibile passare al passaggio 5. Attivare il servizio Azure Rights Management.