Key Vault için HSM korumalı anahtarları içeri aktarma (nCipher)

  • Makale

Uyarı

Bu belgede açıklanan HSM anahtarı içeri aktarma yöntemi kullanım dışıdır ve 30 Haziran 2021'den sonra desteklenmez. Yalnızca 12.40.2 veya daha yeni bir üretici yazılımına sahip nCipher nShield HSM ailesi ile çalışır. HSM anahtarlarını içeri aktarmak için yeni yöntemin kullanılması kesinlikle önerilir.

Not

Azure ile etkileşim kurmak için Azure Az PowerShell modülünü kullanmanızı öneririz. Başlamak için bkz . Azure PowerShell'i yükleme. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Daha fazla güvence için, Azure Key Vault kullanırken, HSM sınırını hiçbir zaman bırakmayan donanım güvenlik modüllerine (HSM) anahtar aktarabilir veya oluşturabilirsiniz. Bu senaryo genellikle kendi anahtarını getir veya KAG olarak adlandırılır. Azure Key Vault, anahtarlarınızı korumak için nCipher nShield HSM ailesi (FIPS 140-2 Düzey 2 doğrulandı) kullanır.

Azure Key Vault ile kullanmak üzere kendi HSM korumalı anahtarlarınızı planlamanıza, oluşturmanıza ve aktarmanıza yardımcı olması için bu makaleyi kullanın.

Bu işlevsellik, 21Vianet tarafından sağlanan Microsoft Azure'da kullanılamaz.

Not

Azure Key Vault hakkında daha fazla bilgi için bkz. Azure Key Vault nedir? HSM korumalı anahtarlar için anahtar kasası oluşturmayı içeren başlangıç öğreticisi için bkz . Azure Key Vault nedir?.

İnternet üzerinden HSM korumalı anahtar oluşturma ve aktarma hakkında daha fazla bilgi:

  • Anahtarı çevrimdışı bir iş istasyonundan oluşturarak saldırı yüzeyini azaltırsınız.
  • Anahtar, Azure Key Vault HSM'lerine aktarılana kadar şifrelenmiş olarak kalan bir Anahtar Değişim Anahtarı (KEK) ile şifrelenir. Anahtarınızın yalnızca şifrelenmiş sürümü özgün iş istasyonundan ayrılır.
  • Araç takımı, kiracı anahtarınızda anahtarınızı Azure Key Vault güvenlik dünyasına bağlayan özellikleri ayarlar. Bu nedenle Azure Key Vault HSM'leri anahtarınızı aldıktan ve şifresini çözdükten sonra anahtarı yalnızca bu HSM'ler kullanabilir. Anahtarınız dışarı aktarılamıyor. Bu bağlama nCipher HSM'leri tarafından zorlanır.
  • Anahtarınızı şifrelemek için kullanılan Anahtar Değişim Anahtarı (KEK), Azure Key Vault HSM'lerinin içinde oluşturulur ve dışarı aktarılamaz. HSM'ler, KEK'nin HSM'ler dışında net bir sürümünün olmamasını zorunlu kılabilir. Buna ek olarak, araç takımı nCipher'dan KEK'nin dışarı aktarılabilir olmadığını ve nCipher tarafından üretilen orijinal bir HSM içinde oluşturulduğunu kanıtlamayı içerir.
  • Araç takımı nCipher tarafından üretilen orijinal bir HSM üzerinde Azure Key Vault güvenlik dünyasının da oluşturulduğunu kanıtlamayı içerir. Bu kanıtlama, Microsoft'un orijinal donanım kullandığını gösterir.
  • Microsoft, her coğrafi bölgede ayrı KEK'ler ve ayrı Güvenlik Dünyaları kullanır. Bu ayrım anahtarınızın yalnızca şifrelediğiniz bölgedeki veri merkezlerinde kullanılabilmesini sağlar. Örneğin, Avrupalı bir müşteriden alınan anahtar Kuzey Amerika n veya Asya'daki veri merkezlerinde kullanılamaz.

nCipher HSM'leri ve Microsoft hizmetleri hakkında daha fazla bilgi

Bir Entrust Datacard şirketi olan nCipher Security, genel amaçlı HSM pazarında liderdir ve iş açısından kritik bilgilerine ve uygulamalarına güven, bütünlük ve denetim sağlayarak dünya lideri kuruluşları güçlendirmektedir. nCipher'ın şifreleme çözümleri bulut, IoT, blok zinciri, dijital ödemeler gibi gelişmekte olan teknolojilerin güvenliğini sağlar ve küresel kuruluşların hassas verilerine, ağ iletişimlerine ve kurumsal altyapılarına yönelik tehditlere karşı korumak için bugün bağımlı olduğu kanıtlanmış teknolojiyi kullanarak yeni uyumluluk zorunluluğunu karşılamaya yardımcı olur. nCipher, iş açısından kritik uygulamalar için güven sağlayarak verilerin bütünlüğünü güvence altına alır ve müşterileri her zaman bugün, yarın tam denetime alır.

Microsoft, HSM'lerin son durumunu geliştirmek için nCipher Security ile işbirliği yaptı. Bu geliştirmeler, anahtarlarınız üzerinde denetimden feragat etmeden barındırılan hizmetlerin tipik avantajlarını elde etmenizi sağlar. Özellikle, bu geliştirmeler Microsoft'un HSM'leri yönetmesine izin verir, böylece sizin yönetmenize gerek yoktur. Bulut hizmeti olarak Azure Key Vault, kuruluşunuzun kullanım artışlarını karşılamak için kısa sürede ölçeği genişletmektedir. Aynı zamanda anahtarınız Microsoft'un HSM'leri içinde korunur: Anahtarı oluşturup Microsoft'un HSM'lerine aktardığınızdan anahtar yaşam döngüsü üzerindeki denetiminizi korursunuz.

Azure Key Vault için kendi anahtarını getir (KAG) özelliğini uygulama

Kendi HSM korumalı anahtarınızı oluşturup Azure Key Vault'a aktaracaksanız aşağıdaki bilgileri ve yordamları kullanın. Bu, Kendi Anahtarını Getir (BYOK) senaryosu olarak bilinir.

KAG önkoşulları

Azure Key Vault için kendi anahtarını getir (KAG) önkoşullarının listesi için aşağıdaki tabloya bakın.

Gereksinim Daha Fazla Bilgi
Azure aboneliği Azure Key Vault oluşturmak için bir Azure aboneliğiniz olmalıdır: Ücretsiz deneme için kaydolun
HSM korumalı anahtarları desteklemek için Azure Key Vault Premium hizmet katmanı Azure Key Vault hizmet katmanları ve özellikleri hakkında daha fazla bilgi için bkz . Azure Key Vault Fiyatlandırma web sitesi.
nCipher nShield HSM'leri, akıllı kartları ve destek yazılımı nCipher Donanım Güvenlik Modülü'ne ve nCipher nShield HSM'lerinin temel operasyonel bilgilerine erişiminiz olmalıdır. Uyumlu modellerin listesi için nCipher nShield Donanım Güvenlik Modülü'ne bakın veya yoksa bir HSM satın alın.
Aşağıdaki donanım ve yazılımlar:
  1. Windows 7 ve nCipher nShield yazılımlarının en az 11.50 sürümüne sahip en düşük Windows işletim sistemine sahip çevrimdışı x64 iş istasyonu.

    Bu iş istasyonu Windows 7 çalıştırıyorsa, Microsoft .NET Framework 4.5'i yüklemeniz gerekir.
  2. İnternet'e bağlı ve en düşük Windows işletim sistemi Windows 7 ve Azure PowerShell en düşük sürüm 1.1.0 yüklü olan bir iş istasyonu.
  3. En az 16 MB boş alana sahip bir USB sürücü veya başka bir taşınabilir depolama cihazı.
 Güvenlik nedeniyle, ilk iş istasyonunun bir ağa bağlı olmaması önerilir. Ancak, bu öneri program aracılığıyla uygulanmaz.

Aşağıdaki yönergelerde, bu iş istasyonu bağlantısı kesilmiş iş istasyonu olarak adlandırılır.


Buna ek olarak, kiracı anahtarınız bir üretim ağına yönelikse araç takımını indirmek için ikinci bir ayrı iş istasyonu kullanmanızı ve kiracı anahtarını karşıya yüklemenizi öneririz. Ancak test amacıyla, ilk iş istasyonuyla aynı iş istasyonunu kullanabilirsiniz.

Aşağıdaki yönergelerde, bu ikinci iş istasyonu İnternet'e bağlı iş istasyonu olarak adlandırılır.

Anahtarınızı oluşturma ve Azure Key Vault HSM'ye aktarma

Anahtarınızı oluşturmak ve bir Azure Key Vault HSM'sine aktarmak için aşağıdaki beş adımı kullanacaksınız:

İnternet'e bağlı iş istasyonunuzu hazırlama

Bu ilk adım için, İnternet'e bağlı iş istasyonunuzda aşağıdaki yordamları uygulayın.

Azure PowerShell'i yükleme

İnternet'e bağlı iş istasyonundan, Azure Key Vault'u yönetmek için cmdlet'leri içeren Azure PowerShell modülünü indirin ve yükleyin. Yükleme yönergeleri için bkz . Azure PowerShell'i yükleme ve yapılandırma.

Azure abonelik kimliğinizi alma

Aşağıdaki komutu kullanarak bir Azure PowerShell oturumu başlatın ve Azure hesabınızda oturum açın:

   Connect-AzAccount

Açılır tarayıcı penceresinde Azure hesabı kullanıcı adınızı ve parolanızı girin. Ardından Get-AzSubscription komutunu kullanın:

   Get-AzSubscription

Çıktıdan Azure Key Vault için kullanacağınız aboneliğin kimliğini bulun. Bu abonelik kimliğine daha sonra ihtiyacınız olacak.

Azure PowerShell penceresini kapatmayın.

Azure Key Vault için KAG araç takımını indirme

Microsoft İndirme Merkezi'ne gidin ve coğrafi bölgeniz veya Azure örneğiniz için Azure Key Vault BYOK araç takımını indirin. İndirilmesi gereken paket adını ve buna karşılık gelen SHA-256 paket karması tanımlamak için aşağıdaki bilgileri kullanın:

Birleşik Devletler:

KeyVault-BYOK-Tools-United States.zip

2E8C00320400430106366A4E8C67B79015524E4EC24A2D3A6DC513CA1823B0D4

Avrupa:

KeyVault-BYOK-Tools-Europe.zip

9AAA63E2E7F20CF9BB62485868754203721D2F88D300910634A32DFA1FB19E4A

Asya:

KeyVault-BYOK-Tools-AsiaPacific.zip

4BC14059BF0FEC562CA927AF621DF665328F8A13616F44C977388EC7121EF6B5

Latin Amerika:

KeyVault-BYOK-Tools-LatinAmerica.zip

E7DFAFF579AFE1B9732C30D6FD80C4D03756642F25A538922DD1B01A4FACB619

Japonya:

KeyVault-BYOK-Tools-Japan.zip

3933C13CC6DC06651295ADC482B027AF923A76F1F6BF98B4D4B8E94632DEC7DF

Kore:

KeyVault-BYOK-Tools-Korea.zip

71AB6BCFE06950097C8C18D532A9184BEF52A74BB944B8610DDDA05344ED136F

Güney Afrika:

KeyVault-BYOK-Tools-SouthAfrica.zip

C41060C5C0170AAAAD896DA732E31433D14CB9FC83AC3C67766F46D98620784A

UÇAN:

KeyVault-BYOK-Tools-UAE.zip

FADE80210B06962AA0913EA411DAB977929248C65F365FD953BB9F241D5FC0D3

Avustralya:

KeyVault-BYOK-Tools-Australia.zip

CD0FB7365053DEF8C35116D7C92D203C64A3D3EE2452A025223EEB166901C40A

Azure Kamu:

KeyVault-BYOK-Tools-USGovCloud.zip

F8DB2FC914A7360650922391D9AA79FF030FD3048B5795EC83ADC59DB018621A

US Government DOD:

KeyVault-BYOK-Tools-USGovernmentDoD.zip

A79DD8C6DFFF1B00B91D1812280207A205442B3DDF861B79B8B991BB55C35263

Kanada:

KeyVault-BYOK-Tools-Canada.zip

61BE1A1F80AC79912A42DEBBCC42CF87C88C2CE249E271934630885799717C7B

Almanya:

KeyVault-BYOK-Tools-Germany.zip

5385E615880AAFC02AFD9841F7BADD025D7EE819894AA29ED3C71C3F844C45D6

Almanya Geneli:

KeyVault-BYOK-Tools-Germany-Public.zip

54534936D0A0C99C8117DB724C34A5E50FD204CFCBD75C78972B785865364A29

Hindistan:

KeyVault-BYOK-Tools-India.zip

49EDCEB3091CF1DF7B156D5B495A4ADE1CFBA77641134F61B0E0940121C436C8

Fransa:

KeyVault-BYOK-Tools-France.zip

5C9D1F3E4125B0C09E9F60897C9AE3A8B4CB0E7D13A14F3EDBD280128F8FE7DF

Birleşik Krallık:

KeyVault-BYOK-Tools-UnitedKingdom.zip

432746BD0D3176B708672CCFF19D6144FCAA9E5EB29BB056489D3782B3B80849

İsviçre:

KeyVault-BYOK-Tools-Switzerland.zip

88CF8D39899E26D456D4E0BC57E5C94913ABF1D73A89013FCE3BBD9599AD2FE9

İndirdiğiniz BYOK araç takımının bütünlüğünü doğrulamak için Azure PowerShell oturumunuzda Get-FileHash cmdlet'ini kullanın.

Get-FileHash KeyVault-BYOK-Tools-*.zip

Araç takımı şunları içerir:

  • BYOK-KEK-pkg- ile başlayan bir ada sahip anahtar değişim anahtarı (KEK) paketi.
  • BYOK-SecurityWorld-pkg- ile başlayan bir ada sahip bir Güvenlik Dünyası paketi.
  • verifykeypackage.py adlı bir Python betiği.
  • KeyTransferRemote.exe adlı bir komut satırı yürütülebilir dosyası ve ilişkili DLL'ler.
  • vcredist_x64.exe adlı bir Visual C++ Yeniden Dağıtılabilir Paketi.

Paketi bir USB sürücüsüne veya başka bir taşınabilir depolama alanına kopyalayın.

Bağlantısı kesilmiş iş istasyonunuzu hazırlama

Bu ikinci adım için, bir ağa bağlı olmayan iş istasyonunda (İnternet veya iç ağınız) aşağıdaki yordamları uygulayın.

nCipher nShield HSM ile bağlantısı kesilmiş iş istasyonunu hazırlama

nCipher destek yazılımını bir Windows bilgisayara yükleyin ve ardından bu bilgisayara nCipher nShield HSM ekleyin.

nCipher araçlarının yolunuzda olduğundan emin olun (%nfast_home%\bin). Örneğin, şunu yazın:

set PATH=%PATH%;"%nfast_home%\bin"

Daha fazla bilgi için nShield HSM ile birlikte verilen kullanıcı kılavuzuna bakın.

BAĞLANTıSı kesilmiş iş istasyonuna KAG araç takımını yükleme

BYOK araç takımı paketini USB sürücüden veya başka bir taşınabilir depolama alanından kopyalayın ve ardından:

  1. İndirilen paketten dosyaları herhangi bir klasöre ayıklayın.
  2. Bu klasörden vcredist_x64.exe çalıştırın.
  3. Visual Studio 2013 için Visual C++ çalışma zamanı bileşenlerini yükleme yönergelerini izleyin.

Anahtarınızı oluşturma

Bu üçüncü adım için bağlantısı kesilmiş iş istasyonunda aşağıdaki yordamları uygulayın. Bu adımı tamamlamak için HSM'nizin başlatma modunda olması gerekir.

HSM modunu 'I' olarak değiştirme

nCipher nShield Edge kullanıyorsanız modu değiştirmek için: 1. Gerekli modu vurgulamak için Mod düğmesini kullanın. 2. Birkaç saniye içinde Temizle düğmesine birkaç saniye basılı tutun. Mod değişirse, yeni modun LED'i yanıp söner ve yanar. Durum LED'i birkaç saniye boyunca düzensiz yanıp sönebilir ve cihaz hazır olduğunda düzenli olarak yanıp söner. Aksi takdirde cihaz, uygun mod LED ışığıyla geçerli modda kalır.

Güvenlik dünyası oluşturma

Bir komut istemi başlatın ve nCipher new-world programını çalıştırın.

 new-world.exe --initialize --cipher-suite=DLf3072s256mRijndael --module=1 --acs-quorum=2/3

Bu program , %NFAST_KMDATA%\local\world konumunda C:\ProgramData\nCipher\Key Management Data\local klasörüne karşılık gelen bir Güvenlik Dünyası dosyası oluşturur. Çekirdek için farklı değerler kullanabilirsiniz, ancak örneğimizde her biri için üç boş kart ve pin girmeniz istenir. Ardından, her iki kart güvenlik dünyasına tam erişim sağlar. Bu kartlar, yeni güvenlik dünyası için Yönetici Kartı Kümesi olur.

Not

HSM'niz daha yeni DLf3072s256mRijndael cypher paketini desteklemiyorsa değerini ile --cipher-suite=DLf1024s160mRijndaeldeğiştirebilirsiniz--cipher-suite= DLf3072s256mRijndael.

nCipher yazılım sürümü 12.50 ile birlikte gelen new-world.exe ile oluşturulan güvenlik dünyası bu BYOK yordamıyla uyumlu değildir. Kullanılabilecek iki seçenek vardır:

  1. Yeni bir güvenlik dünyası oluşturmak için nCipher yazılım sürümünü 12.40.2 sürümüne düşürme.
  2. nCipher desteğine başvurun ve bu BYOK yordamıyla uyumlu new-world.exe 12.40.2 sürümünü kullanmanızı sağlayan 12.50 yazılım sürümü için bir düzeltme sağlamalarını isteyin.

Ardından:

  • Dünya dosyasını yedekleyin. Dünya dosyasını, Yönetici Kartlarını ve bunların pinlerini güvenli hale getirin ve koruyun ve tek bir kişinin birden fazla karta erişmediğinden emin olun.

HSM modunu 'O' olarak değiştirme

nCipher nShield Edge kullanıyorsanız modu değiştirmek için: 1. Gerekli modu vurgulamak için Mod düğmesini kullanın. 2. Birkaç saniye içinde Temizle düğmesine birkaç saniye basılı tutun. Mod değişirse, yeni modun LED'i yanıp söner ve yanar. Durum LED'i birkaç saniye boyunca düzensiz yanıp sönebilir ve cihaz hazır olduğunda düzenli olarak yanıp söner. Aksi takdirde cihaz, uygun mod LED ışığıyla geçerli modda kalır.

İndirilen paketi doğrulama

Bu adım isteğe bağlıdır ancak aşağıdakileri doğrulayabileceğiniz şekilde önerilir:

  • Araç takımına dahil edilen Anahtar Değişimi Anahtarı, orijinal nCipher nShield HSM'den oluşturulmuştur.
  • Araç takımına dahil edilen Güvenlik Dünyası karması, orijinal nCipher nShield HSM'de oluşturulmuştur.
  • Anahtar Değişim Anahtarı dışarı aktarılamaz.

Not

İndirilen paketi doğrulamak için HSM'nin bağlı, açık ve üzerinde bir güvenlik dünyası (yeni oluşturduğunuz gibi) olması gerekir.

İndirilen paketi doğrulamak için:

  1. Coğrafi bölgenize veya Azure örneğine bağlı olarak aşağıdakilerden birini yazarak verifykeypackage.py betiğini çalıştırın:

    • Kuzey Amerika için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-NA-1 -w BYOK-SecurityWorld-pkg-NA-1

    • Avrupa için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-EU-1 -w BYOK-SecurityWorld-pkg-EU-1

    • Asya için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AP-1 -w BYOK-SecurityWorld-pkg-AP-1

    • Latin Amerika için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-LATAM-1 -w BYOK-SecurityWorld-pkg-LATAM-1

    • Japonya için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-JPN-1 -w BYOK-SecurityWorld-pkg-JPN-1

    • Kore için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-KOREA-1 -w BYOK-SecurityWorld-pkg-KOREA-1

    • Güney Afrika için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SA-1 -w BYOK-SecurityWorld-pkg-SA-1

    • BAE için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UAE-1 -w BYOK-SecurityWorld-pkg-UAE-1

    • Avustralya için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-AUS-1 -w BYOK-SecurityWorld-pkg-AUS-1

    • Azure'ın ABD kamu örneğini kullanan Azure Kamu için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USGOV-1 -w BYOK-SecurityWorld-pkg-USGOV-1

    • US Government DOD için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-USDOD-1 -w BYOK-SecurityWorld-pkg-USDOD-1

    • Kanada için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-CANADA-1 -w BYOK-SecurityWorld-pkg-CANADA-1

    • Almanya için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1

    • Almanya Geneli için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-GERMANY-1 -w BYOK-SecurityWorld-pkg-GERMANY-1

    • Hindistan için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-INDIA-1 -w BYOK-SecurityWorld-pkg-INDIA-1

    • Fransa için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-FRANCE-1 -w BYOK-SecurityWorld-pkg-FRANCE-1

    • Birleşik Krallık için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-UK-1 -w BYOK-SecurityWorld-pkg-UK-1

    • İsviçre için:

      "%nfast_home%\python\bin\python" verifykeypackage.py -k BYOK-KEK-pkg-SUI-1 -w BYOK-SecurityWorld-pkg-SUI-1

      İpucu

      nCipher nShield yazılımı %NFAST_HOME%\python\bin konumunda Python içerir

  2. Başarılı doğrulamayı gösteren aşağıdakileri gördüğünüzden emin olmanız gerekir: Sonuç: BAŞARI

Bu betik, nShield kök anahtarına kadar imzalayan zincirini doğrular. Bu kök anahtarın karması betikte gömülüdür ve değeri 59178a47 de508c3f 291277ee 184f46c4 f1d9c639 olmalıdır. Ayrıca nCipher web sitesini ziyaret ederek de bu değeri ayrı olarak onaylayabilirsiniz.

Artık yeni bir anahtar oluşturmaya hazırsınız.

Yeni anahtar oluşturma

nCipher nShield generatekey programını kullanarak bir anahtar oluşturun.

Anahtarı oluşturmak için aşağıdaki komutu çalıştırın:

generatekey --generate simple type=RSA size=2048 protect=module ident=contosokey plainname=contosokey nvram=no pubexp=

Bu komutu çalıştırdığınızda şu yönergeleri kullanın:

  • Gösterildiği gibi protect parametresi değer modülüne ayarlanmalıdır. Bu, modül korumalı bir anahtar oluşturur. BYOK araç takımı OCS korumalı anahtarları desteklemez.
  • ident ve plainname için contosokey değerini herhangi bir dize değeriyle değiştirin. Yönetim ek yüklerini en aza indirmek ve hata riskini azaltmak için her ikisi için de aynı değeri kullanmanızı öneririz. Girinti değeri yalnızca sayı, kısa çizgi ve küçük harf içermelidir.
  • Pubexp bu örnekte boş (varsayılan) bırakılır, ancak belirli değerleri belirtebilirsiniz.

Bu komut, %NFAST_KMDATA%\local klasörünüzde key_simple_ ile başlayan bir ad ve ardından komutta belirtilen girintiyle bir Belirteçli Anahtar dosyası oluşturur. Örneğin: key_simple_contosokey. Bu dosya şifreli bir anahtar içeriyor.

Bu Belirteçli Anahtar Dosyasını güvenli bir konumda yedekleyin.

Önemli

Anahtarınızı daha sonra Azure Key Vault'a aktardığınızda Microsoft bu anahtarı size geri aktaramaz, bu nedenle anahtarınızı ve güvenlik dünyanızı güvenli bir şekilde yedeklemeniz son derece önemlidir. Anahtarınızı yedeklemek için rehberlik ve en iyi yöntemler için nCipher ile iletişime geçin.

Artık anahtarınızı Azure Key Vault'a aktarmaya hazırsınız.

Anahtarınızı aktarım için hazırlama

Bu dördüncü adım için bağlantısı kesilmiş iş istasyonunda aşağıdaki yordamları uygulayın.

Azaltılmış izinlerle anahtarınızın bir kopyasını oluşturma

Yeni bir komut istemi açın ve geçerli dizini BYOK zip dosyasının sıkıştırmasını açtığınız konuma değiştirin. Anahtarınızdaki izinleri azaltmak için, bir komut isteminden coğrafi bölgenize veya Azure örneğine bağlı olarak aşağıdakilerden birini çalıştırın:

  • Kuzey Amerika için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-

  • Avrupa için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1

  • Asya için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1

  • Latin Amerika için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1

  • Japonya için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1

  • Kore için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1

  • Güney Afrika için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1

  • BAE için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1

  • Avustralya için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1

  • Azure'ın ABD kamu örneğini kullanan Azure Kamu için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1

  • US Government DOD için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1

  • Kanada için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1

  • Almanya için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1

  • Almanya Geneli için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1

  • Hindistan için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1

  • Fransa için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-FRANCE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-FRANCE-1

  • Birleşik Krallık için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1

  • İsviçre için:

    KeyTransferRemote.exe -ModifyAcls -KeyAppName simple -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1

Bu komutu çalıştırdığınızda contosokey değerini 3.5. Adım: Anahtarınızı oluşturma adımından yeni anahtar oluşturma bölümünde belirttiğiniz değerle değiştirin.

Güvenlik dünyası yönetici kartlarınızı takmanız istenir.

Komut tamamlandığında sonuç: BAŞARI ve azaltılmış izinlere sahip anahtarınızın kopyası key_xferacId_<contosokey> adlı dosyada gösterilir.

nCipher nShield yardımcı programlarını kullanarak aşağıdaki komutları kullanarak ACLS'yi inceleyebilirsiniz:

  • aclprint.py:

    "%nfast_home%\bin\preload.exe" -m 1 -A xferacld -K contosokey "%nfast_home%\python\bin\python" "%nfast_home%\python\examples\aclprint.py"

  • kmfile-dump.exe:

    "%nfast_home%\bin\kmfile-dump.exe" "%NFAST_KMDATA%\local\key_xferacld_contosokey"

    Bu komutları çalıştırdığınızda contosokey değerini 3.5. Adım: Anahtarınızı oluşturma adımından yeni anahtar oluşturma bölümünde belirttiğiniz değerle değiştirin.

Microsoft'un Anahtar Değişimi Anahtarını kullanarak anahtarınızı şifreleme

Coğrafi bölgenize veya Azure örneğine bağlı olarak aşağıdaki komutlardan birini çalıştırın:

  • Kuzey Amerika için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-NA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-NA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Avrupa için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-EU-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-EU-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Asya için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AP-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AP-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Latin Amerika için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-LATAM-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-LATAM-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Japonya için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-JPN-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-JPN-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Kore için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-KOREA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-KOREA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Güney Afrika için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • BAE için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UAE-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UAE-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Avustralya için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-AUS-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-AUS-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Azure'ın ABD kamu örneğini kullanan Azure Kamu için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USGOV-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USGOV-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • US Government DOD için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-USDOD-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-USDOD-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Kanada için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-CANADA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-CANADA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Almanya için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Almanya Geneli için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-GERMANY-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-GERMANY-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Hindistan için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-INDIA-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-INDIA-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Fransa için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-France-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-France-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • Birleşik Krallık için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-UK-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-UK-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

  • İsviçre için:

    KeyTransferRemote.exe -Package -KeyIdentifier contosokey -ExchangeKeyPackage BYOK-KEK-pkg-SUI-1 -NewSecurityWorldPackage BYOK-SecurityWorld-pkg-SUI-1 -SubscriptionId SubscriptionID -KeyFriendlyName ContosoFirstHSMkey

Bu komutu çalıştırdığınızda şu yönergeleri kullanın:

  • contosokey değerini 3.5. Adım: Anahtarınızı oluşturma adımından yeni anahtar oluşturma bölümünde anahtarı oluşturmak için kullandığınız tanımlayıcıyla değiştirin.
  • SubscriptionID değerini anahtar kasanızı içeren Azure aboneliğinin kimliğiyle değiştirin. Bu değeri daha önce 1.2. Adım: İnternet'e bağlı iş istasyonunuzu hazırlama adımından Azure abonelik kimliğinizi alma bölümünden almıştınız.
  • ContosoFirstHSMKey değerini çıktı dosya adınız için kullanılan bir etiketle değiştirin.

Bu işlem başarıyla tamamlandığında Sonuç: BAŞARI ifadesini görüntüler ve geçerli klasörde şu ada sahip yeni bir dosya vardır: KeyTransferPackage-ContosoFirstHSMkey.byok

Anahtar aktarım paketinizi İnternet'e bağlı iş istasyonuna kopyalama

Önceki adımda (KeyTransferPackage-ContosoFirstHSMkey.byok) çıkış dosyasını İnternet'e bağlı iş istasyonunuza kopyalamak için bir USB sürücüsü veya başka bir taşınabilir depolama kullanın.

Anahtarınızı Azure Key Vault'a aktarma

Bu son adım için İnternet'e bağlı iş istasyonunda Add-AzKeyVaultKey cmdlet'ini kullanarak bağlantısı kesilmiş iş istasyonundan kopyaladığınız anahtar aktarım paketini Azure Key Vault HSM'ye yükleyin:

     Add-AzKeyVaultKey -VaultName 'ContosoKeyVaultHSM' -Name 'ContosoFirstHSMkey' -KeyFilePath 'c:\KeyTransferPackage-ContosoFirstHSMkey.byok' -Destination 'HSM'

Karşıya yükleme başarılı olursa, yeni eklediğiniz anahtarın özelliklerini görüntülendiğini görürsünüz.

Sonraki adımlar

Artık bu HSM korumalı anahtarı anahtar kasanızda kullanabilirsiniz. Daha fazla bilgi için bu fiyat ve özellik karşılaştırması konusuna bakın.