Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Install Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrate Azure PowerShell von AzureRM zu Az.
Wenn Sie Azure Key Vault verwenden, können Sie einen Schlüssel in einem Hardwaresicherheitsmodul (HARDWARE Security Module, HSM) importieren oder generieren. Der Schlüssel verlässt niemals die HSM-Grenze. Dieses Szenario wird häufig als Bring Your Own Key (BYOK) bezeichnet. Key Vault verwendet FIPS 140 validierte HSMs zum Schutz Ihrer Schlüssel.
Von Bedeutung
BYOK erfordert, dass Ihr Quell-HSM den Schlüsselumbruch (Exportieren von Schlüsseln in verschlüsselter Form) zulässt, was in der Regel standardmäßig für die Sicherheit deaktiviert ist. Wenn dies aktiviert ist, müssen Sie verwalten, wer Schlüssel exportieren und die Schlüsselaustauschschlüssel sichern kann. Bei korrekter Implementierung, wie hier beschrieben, verlässt Ihr Schlüsselmaterial während der Übertragung von Ihrem HSM zu Azure Key Vault Premium oder Managed HSM niemals die von FIPS 140 validierten Grenzen.
Verwenden Sie diesen Artikel, um den Prozess der Übertragung von Schlüsseln von Ihrem lokalen HSM zu Azure Key Vault zu verstehen.
Hinweis
Diese Importmethode ist nur für unterstützte HSMs verfügbar.
Weitere Informationen und ein Lernprogramm für die ersten Schritte mit Key Vault (einschließlich der Erstellung eines key vault für HSM-geschützte Schlüssel) finden Sie unter What is Azure Key Vault?
Übersicht
Im Folgenden finden Sie eine Übersicht über den Prozess. Einige der Schritte, die Sie ausführen müssen, werden weiter unten in diesem Artikel beschrieben.
- Generieren Sie in Key Vault einen Schlüssel (als Key Exchange Key (KEK) bezeichnet). Der KEK muss ein RSA-HSM-Schlüssel sein, der nur den Schlüsselvorgang
importumfasst. Nur Key Vault Premium und managed HSM unterstützen RSA-HSM Schlüssel. - Laden Sie den öffentlichen Schlüssel des KEK als PEM-Datei herunter.
- Übertragen Sie den öffentlichen Schlüssel des KEK auf einen Offlinecomputer, der mit einem lokalen HSM verbunden ist.
- Verwenden Sie auf dem Offlinecomputer das von Ihrem HSM-Anbieter bereitgestellte BYOK-Tool, um eine BYOK-Datei zu erstellen.
- Der Zielschlüssel wird mit dem KEK verschlüsselt, der verschlüsselt bleibt, bis er an das Key Vault HSM übertragen wird. Nur die verschlüsselte Version Ihres Schlüssels verlässt das lokale HSM.
- Ein KEK, der in einem Key Vault HSM generiert wird, kann nicht exportiert werden. HSMs erzwingen die Regel, dass keine eindeutige Version eines KEK außerhalb eines Key Vault HSM vorhanden ist.
- Der KEK muss sich in demselben Key Vault befinden, in den Sie den Zielschlüssel importieren.
- Wenn Sie die BYOK-Datei in Key Vault hochladen, verwendet ein Key Vault HSM den privaten KEK-Schlüssel, um das Zielschlüsselmaterial zu entschlüsseln und als HSM-Schlüssel zu importieren. Dieser Vorgang erfolgt vollständig innerhalb eines Key Vault HSM. Der Zielschlüssel verbleibt stets in den Schutzgrenzen des HSM.
Voraussetzungen
In der folgenden Tabelle sind die Voraussetzungen für die Verwendung von BYOK in Azure Key Vault aufgeführt:
| Anforderung | Weitere Informationen |
|---|---|
| Ein Azure-Abonnement | Zum Erstellen eines Schlüsseltresors in Azure Key Vault benötigen Sie ein Azure-Abonnement. Registrieren Sie sich für eine kostenlose Testversion. |
| Ein Key Vault Premium- oder verwaltetes HSM zum Importieren von HSM-geschützten Schlüsseln | Weitere Informationen zu den Dienstebenen und -funktionen in Azure Key Vault finden Sie unter Key Vault Pricing. |
| Ein HSM aus der Liste der unterstützten HSMs sowie ein BYOK-Tool mit den zugehörigen Anweisungen Ihres HSM-Anbieters | Sie müssen über die Berechtigungen für ein HSM und grundlegende Kenntnisse in der Verwendung Ihres HSM verfügen. Weitere Informationen finden Sie unter Unterstützte HSMs. |
| Azure CLI Version 2.1.0 oder höher | Weitere Informationen finden Sie unter Installieren des Azure CLI. |
Unterstützte HSMs
| Herstellername | Herstellertyp | Unterstützte HSM-Modelle | Weitere Informationen |
|---|---|---|---|
| Cryptomathic | ISV (Unternehmens-Schlüsselverwaltungssystem) | Mehrere HSM-Marken und -Modelle, einschließlich
|
Details finden Sie auf der Cryptomathic-Website. |
| Anvertrauen | Hersteller, HSM als Dienst |
|
nCipher – Neues BYOK-Tool und -Dokumentation |
| Fortanix | Hersteller, HSM als Dienst |
|
SDKMS-Schlüssel zu Cloud-Anbietern für BYOK exportieren – Azure Key Vault |
| Futurex | Hersteller, HSM als Dienst |
|
Futurex-Integrationshandbuch – Azure Key Vault |
| IBM | Hersteller | IBM 476x, CryptoExpress | IBM Unified Key Orchestrator für Container |
| Marvell | Hersteller | Alle Liquid Security-HSMs mit
|
Marvell – BYOK-Tool und -Dokumentation |
| nCipher | Hersteller, HSM als Dienst |
|
nCipher – Neues BYOK-Tool und -Dokumentation |
| Securosys SA | Hersteller, HSM als Dienst |
Primus-HSM-Familie, Securosys Clouds HSM | Primus – BYOK-Tool und -Dokumentation |
| StorMagic | ISV (Unternehmens-Schlüsselverwaltungssystem) | Mehrere HSM-Marken und -Modelle, einschließlich
|
Details finden Sie auf der StorMagic-Website. SvKMS und Azure Key Vault BYOK |
| Thales | Hersteller |
|
Luna – BYOK-Tool und -Dokumentation |
| Utimaco | Hersteller, HSM als Dienst |
U.trust Anchor, CryptoServer | Utimaco BYOK Tool und Integrationsleitfaden |
| Yubico | Hersteller | YubiHSM 2 | YubiHSM 2 BYOK Benutzerhandbuch für Azure |
Unterstützte Schlüsseltypen
| Schlüsselname | Schlüsseltyp | Schlüsselgröße oder Kurve | Ursprung | BESCHREIBUNG |
|---|---|---|---|---|
| Key Exchange Key (KEK) | RSA-HSM | 2.048 Bit 3.072 Bit 4.096 Bit |
Azure Key Vault HSM | Ein HSM-gesichertes RSA-Schlüsselpaar, das in Azure Key Vault generiert wurde |
| Zielschlüssel | ||||
| RSA-HSM | 2.048 Bit 3.072 Bit 4.096 Bit |
Anbieter-HSM | Der Schlüssel, der an das Azure Key Vault HSM übertragen werden soll. | |
| EC-HSM | P-256 P-384 P-521 |
Anbieter-HSM | Der Schlüssel, der an das Azure Key Vault HSM übertragen werden soll. | |
| OCT-HSM | 128 Bit 192 Bit 256 Bit |
Anbieter-HSM | Der Schlüssel, der an das Azure Key Vault HSM übertragen werden soll. Nur auf Azure Key Vault Managed HSM unterstützt. |
Hinweis
RSA und EC sind Softwareschlüsseltypen, die der Dienst als Zielschlüsseltypen zum Testen unterstützt. Sie übertragen diese Schlüsseltypen an den Key Vault Dienst anstelle der Key Vault HSMs.
Generieren und übertragen Sie Ihren Schlüssel auf Key Vault Premium HSM oder verwaltetes HSM
So generieren und übertragen Sie Ihren Schlüssel auf einen Key Vault Premium oder managed HSM:
- Schritt 1: Generieren von KEK
- Schritt 2: Herunterladen des öffentlichen Schlüssels des KEK
- Schritt 3: Generieren des Schlüssels und Vorbereiten für die Übertragung
- Step 4: Übertragen Sie Ihren Schlüssel auf Azure Key Vault
Generieren eines KEK
Erstellen Sie einen KEK als RSA-Schlüssel in einem Key Vault Premium oder Managed HSM. Verwenden Sie das KEK, um den zu importierenden Schlüssel (den Zielschlüssel ) zu verschlüsseln.
Für den KEK gilt Folgendes:
- Ein RSA-HSM Schlüssel (2.048-Bit, 3.072-Bit oder 4.096-Bit)
- Generiert im selben Schlüsselarchiv, in dem Sie vorhaben, den Zielschlüssel zu importieren
- Die zulässigen Schlüsselvorgänge müssen auf
importfestgelegt sein.
Hinweis
Der KEK muss import als einzige erlaubte Schlüssel-Operation haben. Der import Vorgang ist inkompatibel mit allen anderen Schlüsseloperationen.
Verwenden Sie den az keyvault key create-Befehl, um einen KEK zu erstellen, dessen Schlüsseloperationen auf import festgelegt sind. Notieren Sie die Schlüssel-ID (kid), die vom folgenden Befehl zurückgegeben wird. Verwenden Sie den kid Wert in Schritt 3.
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name <vault-name>
Für verwaltetes HSM:
az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name <hsm-name>
Herunterladen des öffentlichen Schlüssels des KEK
Verwenden Sie den Befehl az keyvault key download, um den öffentlichen Schlüssel des KEK in eine PEM-Datei herunterzuladen. Der öffentliche KEK-Schlüssel verschlüsselt den importierten Zielschlüssel.
az keyvault key download --name KEKforBYOK --vault-name <vault-name> --file KEKforBYOK.publickey.pem
Für verwaltetes HSM:
az keyvault key download --name KEKforBYOK --hsm-name <hsm-name> --file KEKforBYOK.publickey.pem
Übertragen Sie die KEKforBYOK.publickey.pem Datei auf Ihren Offlinecomputer. Sie benötigen diese Datei im nächsten Schritt.
Generieren des Schlüssels und Vorbereiten für die Übertragung
Informieren Sie sich in der Dokumentation Ihres HSM-Anbieters darüber, wie Sie das BYOK-Tool herunterladen und installieren. Befolgen Sie die Anweisungen des HSM-Anbieters, um einen Zielschlüssel zu generieren und dann eine Schlüsselübertragungsdatei (BYOK-Datei) zu erstellen.
Das BYOK-Tool verwendet die kid aus Schritt 1 und die Datei "KEKforBYOK.publickey.pem", die Sie in Schritt 2 heruntergeladen haben, um einen verschlüsselten Zielschlüssel in einer BYOK-Datei zu generieren.
Übertragen Sie die BYOK-Datei an Ihren verbundenen Computer.
Hinweis
Das Importieren eines Elliptic Curve-Schlüssels mit der Kurve P-256K wird unterstützt.
Bekanntes Problem: Das Importieren eines RSA 4K-Zielschlüssels von Luna HSMs wird nur mit Firmware 7.4.0 oder höher unterstützt.
Übertragen Des Schlüssels auf Azure Key Vault
Um den Schlüsselimport abzuschließen, übertragen Sie das Schlüsselübertragungspaket (BYOK-Datei) von Ihrem nicht verbundenen Computer an den mit dem Internet verbundenen Computer. Verwenden Sie den Befehl az keyvault key import, um die BYOK-Datei in das Key Vault HSM hochzuladen.
Verwenden Sie den folgenden Befehl, um einen RSA-Schlüssel zu importieren. Der --kty-Parameter ist optional und hat standardmäßig den Wert RSA-HSM.
az keyvault key import --vault-name <vault-name> --name <key-name> --byok-file KeyTransferPackage-<key-name>.byok
Für verwaltetes HSM:
az keyvault key import --hsm-name <hsm-name> --name <key-name> --byok-file KeyTransferPackage-<key-name>.byok
Zum Importieren eines EC-Schlüssels müssen Sie den Schlüsseltyp und den Kurvennamen angeben.
az keyvault key import --vault-name <vault-name> --name <key-name> --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-<key-name>.byok
Für verwaltetes HSM:
az keyvault key import --hsm-name <hsm-name> --name <key-name> --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-<key-name>.byok
Wenn der Upload erfolgreich ist, zeigt Azure CLI die Eigenschaften des importierten Schlüssels an.
Verwenden von KI zur Problembehandlung bei BYOK-Schlüsselübertragungen
GitHub Copilot können Ihnen helfen, Probleme mit dem BYOK-Schlüsselübertragungsprozess zu beheben und die richtigen Befehle für Ihren spezifischen HSM-Anbieter zu generieren.
I'm trying to import an HSM-protected key to Azure Key Vault using BYOK. I have a Thales Luna HSM and I'm getting an error during the key transfer. Help me with:
1. The correct sequence of commands to generate a KEK in Azure Key Vault
2. How to download and verify the KEK public key
3. The Azure CLI command to import the wrapped key file
My key vault name is "mycompany-prod-kv" and I want to import an RSA 4096-bit key named "encryption-master-key".
GitHub Copilot wird von KI unterstützt, sodass Überraschungen und Fehler möglich sind. Weitere Informationen finden Sie unter Copilot FAQs.
Nächste Schritte
Sie können diesen HSM-geschützten Schlüssel jetzt in Ihrem Schlüsseltresor verwenden. Weitere Informationen finden Sie in dieser Gegenüberstellung von Preisen und Funktionen.