Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In dieser Schnellstartanleitung erstellen und aktivieren Sie ein Azure Key Vault Managed HSM (Hardware Security Module) mithilfe von Azure CLI. Verwaltetes HSM ist ein vollständig verwalteter, hochverwendiger, einzelinstanzenfähiger, standardkonformer Clouddienst, mit dem Sie kryptografische Schlüssel für Ihre Cloudanwendungen schützen können, wobei FIPS 140-3 Level 3 validierte HSMs verwendet werden. Weitere Informationen zu verwaltetem HSM erfahren Sie in der Übersicht.
Voraussetzungen
Ein Azure-Abonnement ist erforderlich. Falls Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Außerdem benötigen Sie:
- Azure CLI Version 2.25.0 oder höher. Führen Sie
az --versionaus, um die Version zu ermitteln. Wenn Sie die Azure CLI installieren oder aktualisieren müssen, lesen Sie Installieren der Azure CLI.
Azure Cloud Shell
Azure hosten Azure Cloud Shell eine interaktive Shellumgebung, die Sie über Ihren Browser verwenden können. Sie können entweder Bash oder PowerShell mit Cloud Shell verwenden, um mit Azure Diensten zu arbeiten. Sie können die Cloud Shell vorinstallierten Befehle verwenden, um den Code in diesem Artikel auszuführen, ohne etwas in Ihrer lokalen Umgebung installieren zu müssen.
So starten Sie Azure Cloud Shell:
| Option | Beispiel/Link |
|---|---|
| Wählen Sie rechts oben in einem Code- oder Befehlsblock die Option Ausprobieren aus. Wenn Sie Try It auswählen, wird der Code oder befehl nicht automatisch in Cloud Shell kopiert. |
|
| Wechseln Sie zu https://shell.azure.com, oder wählen Sie die Schaltfläche Launch Cloud Shell aus, um Cloud Shell in Ihrem Browser zu öffnen. |
|
| Wählen Sie die Schaltfläche Cloud Shell auf der Menüleiste oben rechts im Portal Azure Portal aus. |
|
So verwenden Sie Azure Cloud Shell:
Starten Sie Cloud Shell.
Wählen Sie die Schaltfläche Kopieren für einen Codeblock (oder Befehlsblock) aus, um den Code oder Befehl zu kopieren.
Fügen Sie den Code oder Befehl in die Cloud Shell Sitzung ein, indem Sie Ctrl+Shift+V auf Windows und Linux auswählen, oder indem Sie Cmd+Shift+V unter macOS auswählen.
Drücken Sie die EINGABETASTE, um den Code oder Befehl auszuführen.
Anmelden bei Azure
Um sich mit der CLI bei Azure anzumelden, geben Sie Folgendes ein:
az login
Weitere Informationen zu Authentifizierungsoptionen über die CLI finden Sie unter Sign in with Azure CLI.
Erstellen einer Ressourcengruppe
Eine Ressourcengruppe ist ein logischer Container, in dem Azure Ressourcen bereitgestellt und verwaltet werden. Verwenden Sie den Befehl az group create, um eine Ressourcengruppe mit dem Namen myResourceGroup am Standort eastus zu erstellen.
az group create --name "myResourceGroup" --location "EastUS"
Erstellen eines verwalteten HSM
Die Erstellung einer Ressource vom Typ „Verwaltetes HSM“ umfasst zwei Schritte:
- Bereitstellen einer verwalteten HSM-Ressource
- Aktivieren des verwalteten HSM durch Herunterladen eines Artefakts, das als Sicherheitsdomäne bezeichnet wird.
Bereitstellen eines verwalteten HSM
Verwenden Sie den Befehl az keyvault create, um ein verwaltetes HSM zu erstellen. Dieses Skript enthält drei erforderliche Parameter: einen Ressourcengruppennamen, einen HSM-Namen und den geografischen Standort.
Um eine verwaltete HSM-Ressource zu erstellen, geben Sie die folgenden Eingaben an:
Verwalteter HSM-Name: Eine Zeichenfolge von 3 bis 24 Zeichen, die nur Zahlen (0-9), Buchstaben (a-z, A-Z) und Bindestriche (-) enthalten können.
Wichtig
Jedes verwaltete HSM muss einen eindeutigen Namen haben. Ersetzen Sie
<hsm-name>in den folgenden Beispielen durch Ihren eigenen eindeutigen verwalteten HSM-Namen.Ressourcengruppenname: myResourceGroup.
Ort: EastUS.
Eine Liste mit den anfänglichen Administratoren.
Im folgenden Beispiel wird ein HSM mit dem Namen <hsm-name> in der Ressourcengruppe myResourceGroup erstellt, das sich am Standort EastUS befindet, mit dem aktuell angemeldeten Benutzer als einzigem Administrator und einem 7-tägigen Aufbewahrungszeitraum für Soft-Delete. Sie zahlen weiterhin für das Managed HSM, bis es in einem Soft Delete Zeitraum gelöscht wird. Weitere Informationen finden Sie unter Vorläufiges Löschen und Löschschutz des verwalteten HSM sowie bei Hinweisen zum vorläufigen Löschen von verwaltetem HSM.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "<hsm-name>" --resource-group "myResourceGroup" --location "EastUS" --administrators $oid --retention-days 7
Hinweis
Wenn Sie verwaltete Identitäten als erste Administratoren Ihres verwalteten HSM verwenden, geben Sie die OID/PrincipalID der verwalteten Identitäten nach --administrators und nicht die ClientID ein.
Hinweis
Die Ausführung des Befehls „Erstellen“ kann einige Minuten dauern. Wenn es erfolgreich zurückkehrt, können Sie Ihr HSM aktivieren.
Warnung
Verwaltete HSM-Instanzen werden immer verwendet. Wenn Sie den Löschschutz mithilfe der --enable-purge-protection Kennzeichnung aktivieren, zahlen Sie für den gesamten Aufbewahrungszeitraum.
Die Ausgabe dieses Befehls zeigt Die Eigenschaften des verwalteten HSM an, das Sie erstellt haben. Die zwei wichtigsten Eigenschaften sind diese:
- name: Der von Ihnen angegebene Name. Sie verwenden diesen Namen für andere Befehle.
-
hsmUri: Der URI für Ihr HSM (z. B.
https://<hsm-name>.managedhsm.azure.net). Von Anwendungen, die Ihr HSM über die zugehörige REST-API nutzen, muss dieser URI verwendet werden.
Ihr Azure Konto ist jetzt berechtigt, alle Vorgänge auf diesem verwalteten HSM auszuführen. Derzeit ist noch keine andere Person autorisiert.
Aktivieren Ihres verwalteten HSM
Alle Datenebenenbefehle werden deaktiviert, bis Sie das HSM aktivieren. Sie können keine Schlüssel erstellen oder Rollen zuweisen. Nur die vorgesehenen Administratoren, die Sie während des Erstellungsbefehls zuweisen, können das HSM aktivieren. Zum Aktivieren des HSM muss die Sicherheitsdomäne heruntergeladen werden.
Um Ihr HSM zu aktivieren, benötigen Sie Folgendes:
- Mindestens drei RSA-Schlüsselpaare (maximal 10)
- Die Mindestanzahl der Schlüssel, die zum Entschlüsseln der Sicherheitsdomäne erforderlich sind (als Quorum bezeichnet)
Sie senden mindestens drei (maximal 10) RSA-öffentliche Schlüssel an das HSM. Das HSM verschlüsselt die Sicherheitsdomäne mit diesen Schlüsseln und sendet sie zurück. Sobald der Download der Sicherheitsdomäne erfolgreich abgeschlossen ist, ist Ihr HSM einsatzbereit. Sie müssen auch das Quorum angeben, bei dem es sich um die Mindestanzahl privater Schlüssel handelt, die zum Entschlüsseln der Sicherheitsdomäne erforderlich sind.
Das folgende Beispiel zeigt, wie Sie mit openssl drei selbstsignierte Zertifikate generieren können:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Das Ablaufdatum des Zertifikats wirkt sich nicht auf Sicherheitsdomänenvorgänge aus– selbst ein "abgelaufenes" Zertifikat kann weiterhin verwendet werden, um die Sicherheitsdomäne wiederherzustellen.
Wichtig
Diese privaten RSA-Schlüssel sind die Grundlage des Vertrauens für Ihr verwaltetes HSM. Generieren Sie für Produktionsumgebungen diese Schlüssel mithilfe eines luftspaltigen Systems oder eines lokalen HSM, und speichern Sie sie sicher. Ausführliche Anleitungen finden Sie unter bewährte Methoden für Sicherheitsdomänen .
Verwenden Sie den Befehl az keyvault security-domain download, um die Sicherheitsdomäne herunterzuladen und Ihr verwaltetes HSM zu aktivieren. Im folgenden Beispiel werden drei RSA-Schlüsselpaare verwendet. (Für diesen Befehl werden nur öffentliche Schlüssel benötigt.) Das Quorum wird auf „2“ festgelegt:
az keyvault security-domain download --hsm-name <hsm-name> --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file <hsm-name>-SD.json
Speichern Sie die Sicherheitsdomänendatei und die RSA-Schlüsselpaare sicher. Sie benötigen sie für die Notfallwiederherstellung oder zum Erstellen eines anderen verwalteten HSM, das dieselbe Sicherheitsdomäne verwendet, damit die beiden Schlüssel gemeinsam nutzen können.
Nachdem Sie die Sicherheitsdomäne erfolgreich heruntergeladen haben, befindet sich Ihr HSM in einem aktiven Zustand und kann verwendet werden.
Bereinigen von Ressourcen
Andere Schnellstartanleitungen und Tutorials in dieser Sammlung bauen auf dieser Schnellstartanleitung auf. Falls Sie mit weiteren Schnellstartanleitungen und Tutorials fortfahren möchten, sollten Sie die Ressourcen nicht bereinigen.
Wenn sie nicht mehr benötigt wird, können Sie den Befehl Azure CLI az group delete verwenden, um die Ressourcengruppe und alle zugehörigen Ressourcen zu entfernen:
az group delete --name "myResourceGroup"
Warnung
Durch das Löschen der Ressourcengruppe wird das verwaltete HSM in einen vorläufig gelöschten Zustand versetzt. Das verwaltete HSM wird weiterhin in Rechnung gestellt, bis es gelöscht wird. Siehe Vorläufiges Löschen und Löschschutz des verwalteten HSM
Nächste Schritte
In dieser Schnellstartanleitung haben Sie ein verwaltetes HSM bereitgestellt und aktiviert. Weitere Informationen zum verwalteten HSM und zur Integration in Ihre Anwendungen finden Sie in den folgenden Artikeln.
- Verschaffen Sie sich einen Überblick über verwaltetes HSM.
- Erfahren Sie mehr über das Verwalten von Schlüsseln in einem verwalteten HSM.
- Erfahren Sie mehr über die Rollenverwaltung für ein verwaltetes HSM.
- Lesen Sie Secure your Azure Managed HSM deployment