Eine Übersicht über das verwaltete HSM finden Sie unter Was ist verwaltetes HSM?.
Voraussetzungen
Ein Azure-Abonnement ist erforderlich. Falls Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Außerdem benötigen Sie:
Hinweis
Alle folgenden Befehle zeigen zwei Verwendungsmethoden für CLI. Eine Methode verwendet die --hsm-name Parameter und --name (für Schlüsselnamen). Die andere Methode verwendet den --id Parameter, in dem Sie die gesamte URL einschließlich des Schlüsselnamens angeben können. Letztere Methode ist hilfreich, wenn der Aufrufer (ein Benutzer oder eine Anwendung) keinen Lesezugriff auf die Steuerungsebene und nur eingeschränkten Zugriff auf die Datenebene hat.
Für einige Interaktionen mit Schlüsselmaterial sind bestimmte lokale RBAC-Berechtigungen für verwaltetes HSM erforderlich. Eine vollständige Liste der vordefinierten lokalen RBAC-Rollen und -Berechtigungen für verwaltete HSMs finden Sie unter vordefinierten Rollen für lokale RBAC von verwalteten HSMs. Informationen zum Zuweisen dieser Berechtigungen zu einem Benutzer finden Sie unter "Sicherer Zugriff auf Ihre verwalteten HSMs".
Erstellen eines HSM-Schlüssels
Hinweis
Sie können keinen Schlüssel exportieren, der generiert oder in verwaltetes HSM importiert wird. Die einzige Ausnahme von der Nichtexportregel besteht darin, wenn Sie einen Schlüssel mit einer bestimmten Schlüsselfreigaberichtlinie erstellen. Mit dieser Richtlinie kann der Schlüssel nur in vertrauenswürdige vertrauliche Computerumgebungen (sichere Enklaven) exportiert werden, die Sie explizit definieren. Diese eingeschränkte Exportfunktion wurde für bestimmte sichere Computerszenarien entwickelt und ist nicht mit einem allgemeinen Schlüsselexport identisch. Empfohlene bewährte Methoden für wichtige Portabilität und Haltbarkeit finden Sie im verknüpften Artikel.
Navigieren Sie im Azure-Portal zu Ihrer verwalteten HSM-Ressource.
Wählen Sie im linken Menü unter "Einstellungen"die Option "Tasten" aus.
Wählen Sie "Generieren/Importieren" aus der Dropdownliste "Generieren/Importieren/Wiederherstellen" aus.
Wählen Sie den Schlüsseltyp (RSA-HSM, EC-HSM oder oct-HSM) aus, legen Sie die Schlüsselgröße oder Kurve, den Namen und die zulässigen Vorgänge fest, und wählen Sie dann "Erstellen" aus.
Verwenden Sie den az keyvault key create Befehl, um einen Schlüssel zu erstellen.
Erstellen eines RSA-Schlüssels
In diesem Beispiel wird gezeigt, wie Sie einen 3072-Bit-RSA-Schlüssel erstellen, der nur für wrapKey- und UnwrapKey-Vorgänge (--ops) verwendet wird.
az keyvault key create --hsm-name <hsm-name> --name myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
## OR
# Note the key name (myrsakey) in the URI
az keyvault key create --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey --ops wrapKey unwrapKey --kty RSA-HSM --size 3072
Der get Vorgang gibt nur den öffentlichen Schlüssel und die Schlüsselattribute zurück. Er gibt nicht den privaten Schlüssel (wenn ein asymmetrischer Schlüssel) oder das Schlüsselmaterial (wenn ein symmetrischer Schlüssel) zurück.
Erstellen eines EC-Schlüssels
Das folgende Beispiel zeigt, wie Sie einen EC-Schlüssel mit der P-256-Kurve erstellen. Der Schlüssel dient nur zum Signieren und Überprüfen von Vorgängen (-ops) und hat zwei Tags, Verwendung und App-Name. Verwenden Sie Tags, um dem Schlüssel zusätzliche Metadaten zum Nachverfolgen und Verwalten hinzuzufügen.
az keyvault key create --hsm-name <hsm-name> --name myec256key --ops sign verify --tags 'usage=signing' 'appname=myapp' --kty EC-HSM --curve P-256
## OR
# Note the key name (myec256key) in the URI
az keyvault key create --id https://<hsm-name>.managedhsm.azure.net/keys/myec256key --ops sign verify --tags 'usage=signing' 'appname=myapp' --kty EC-HSM --curve P-256
Erstellen eines symmetrischen 256-Bit-Schlüssels
In diesem Beispiel wird gezeigt, wie Sie einen symmetrischen 256-Bit-Schlüssel erstellen, der nur für Verschlüsselungs- und Entschlüsselungsvorgänge (--ops) dient.
az keyvault key create --hsm-name <hsm-name> --name myaeskey --ops encrypt decrypt --tags 'usage=encryption' 'appname=myapp' --kty oct-HSM --size 256
## OR
# Note the key name (myaeskey) in the URI
az keyvault key create --id https://<hsm-name>.managedhsm.azure.net/keys/myaeskey --ops encrypt decrypt --tags 'usage=encryption' 'appname=myapp' --kty oct-HSM --size 256
Verwenden Sie das Add-AzKeyVaultKey Cmdlet, um einen Schlüssel zu erstellen.
Erstellen eines RSA-Schlüssels
In diesem Beispiel wird gezeigt, wie Sie einen 3072-Bit-RSA-Schlüssel erstellen, der nur für wrapKey- und UnwrapKey-Vorgänge verwendet wird.
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -KeyType RSA-HSM -Size 3072 -KeyOps wrapKey,unwrapKey
Erstellen eines EC-Schlüssels
In diesem Beispiel wird gezeigt, wie Sie einen EC-Schlüssel mit der P-256-Kurve für Signier- und Überprüfungsvorgänge erstellen.
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myec256key -KeyType EC-HSM -CurveName P-256 -KeyOps sign,verify -Tag @{usage='signing'; appname='myapp'}
Erstellen eines symmetrischen 256-Bit-Schlüssels
In diesem Beispiel wird gezeigt, wie Sie einen symmetrischen 256-Bit-Schlüssel für Verschlüsselungs- und Entschlüsselungsvorgänge erstellen.
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myaeskey -KeyType oct-HSM -Size 256 -KeyOps encrypt,decrypt -Tag @{usage='encryption'; appname='myapp'}
Navigieren Sie im Azure-Portal zu Ihrer verwalteten HSM-Ressource.
Wählen Sie im linken Menü unter "Einstellungen"die Option "Tasten" aus.
Wählen Sie den Schlüssel aus, den Sie anzeigen möchten. Das Portal zeigt die Attribute, Versionen und Tags des Schlüssels an.
Verwenden Sie den az keyvault key show Befehl, um Attribute, Versionen und Tags für einen Schlüssel anzuzeigen.
az keyvault key show --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key show --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey
Verwenden Sie das Get-AzKeyVaultKey Cmdlet, um Attribute, Versionen und Tags für einen Schlüssel anzuzeigen.
Get-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey
Auflisten von Schlüsseln
Navigieren Sie im Azure-Portal zu Ihrer verwalteten HSM-Ressource.
Wählen Sie im linken Menü unter "Einstellungen"die Option "Tasten" aus. Das Portal listet alle Schlüssel im verwalteten HSM auf.
Verwenden Sie den az keyvault key list Befehl, um alle Schlüssel in einem verwalteten HSM auflisten.
az keyvault key list --hsm-name <hsm-name>
## OR
# use full URI
az keyvault key list --id https://<hsm-name>.managedhsm.azure.net/
Verwenden Sie das Get-AzKeyVaultKey Cmdlet, um alle Schlüssel in einem verwalteten HSM aufzulisten.
Get-AzKeyVaultKey -HsmName <hsm-name>
Löschen eines Schlüssels
Navigieren Sie im Azure-Portal zu Ihrer verwalteten HSM-Ressource.
Wählen Sie im linken Menü unter "Einstellungen"die Option "Tasten" aus.
Wählen Sie den Schlüssel aus, den Sie löschen möchten.
Wählen Sie Löschen aus und bestätigen Sie Ihre Auswahl.
Verwenden Sie den az keyvault key delete Befehl, um einen Schlüssel aus einem verwalteten HSM zu löschen. Das Softlöschen ist immer aktiviert. Daher bleibt ein gelöschter Schlüssel im gelöschten Zustand, und Sie können ihn wiederherstellen, bis die Anzahl der Aufbewahrungstage vergangen ist. Danach wird der Schlüssel ohne Wiederherstellung gelöscht (endgültig gelöscht).
az keyvault key delete --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key delete --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey
Verwenden Sie das Remove-AzKeyVaultKey Cmdlet, um einen Schlüssel zu löschen. Vorläufiges Löschen ist immer aktiviert, sodass ein gelöschter Schlüssel bis zum Ablauf des Aufbewahrungszeitraums wiederhergestellt werden kann.
Remove-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey
Auflisten gelöschter Schlüssel
Navigieren Sie im Azure-Portal zu Ihrer verwalteten HSM-Ressource.
Wählen Sie im linken Menü unter "Einstellungen"die Option "Tasten" aus.
Wählen Sie "Gelöschte Schlüssel verwalten" aus, um Schlüssel im Zustand "Vorläufig gelöscht" anzuzeigen.
Verwenden Sie den az keyvault key list-deleted Befehl, um alle Schlüssel im gelöschten Zustand in Ihrem verwalteten HSM auflisten.
az keyvault key list-deleted --hsm-name <hsm-name>
## OR
# use full URI
az keyvault key list-deleted --id https://<hsm-name>.managedhsm.azure.net/
Verwenden Sie das Get-AzKeyVaultKey Cmdlet mit dem -InRemovedState Parameter, um gelöschte Schlüssel aufzulisten.
Get-AzKeyVaultKey -HsmName <hsm-name> -InRemovedState
Wiederherstellen eines gelöschten Schlüssels (Rückgängigmachen des Löschvorgangs)
Navigieren Sie im Azure-Portal zu Ihrer verwalteten HSM-Ressource.
Wählen Sie im linken Menü unter "Einstellungen" die Option "Schlüssel" und dann " Gelöschte Schlüssel verwalten" aus.
Wählen Sie den gelöschten Schlüssel aus, den Sie wiederherstellen möchten.
Wählen Sie "Wiederherstellen" aus.
Verwenden Sie den az keyvault key list-deleted Befehl, um alle Schlüssel im gelöschten Zustand in Ihrem verwalteten HSM auflisten. Verwenden Sie den --id Parameter, um einen Schlüssel wiederherzustellen (rückgängig zu machen). Sie müssen den recoveryId Wert des aus dem az keyvault key list-deleted Befehl abgerufenen gelöschten Schlüssels notieren.
az keyvault key recover --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key recover --id https://<hsm-name>.managedhsm.azure.net/deletedKeys/myrsakey
Verwenden Sie das Undo-AzKeyVaultKeyRemoval Cmdlet, um einen gelöschten Schlüssel wiederherzustellen.
Undo-AzKeyVaultKeyRemoval -HsmName <hsm-name> -Name myrsakey
Bereinigen (endgültiges Löschen) eines Schlüssels
Hinweis
Wenn der Löschschutz für das verwaltete HSM aktiviert ist, ist der Bereinigungsvorgang nicht erlaubt. Der Schlüssel wird beim Bestehen des Aufbewahrungszeitraums automatisch gelöscht.
Navigieren Sie im Azure-Portal zu Ihrer verwalteten HSM-Ressource.
Wählen Sie im linken Menü unter "Einstellungen" die Option "Schlüssel" und dann " Gelöschte Schlüssel verwalten" aus.
Wählen Sie den gelöschten Schlüssel aus, den Sie löschen möchten.
Wählen Sie Bereinigen aus, und bestätigen Sie die Auswahl.
Warnung
Dieser Vorgang löscht den Schlüssel endgültig.
Verwenden Sie den az keyvault key purge Befehl, um eine Taste zu löschen (endgültig zu löschen).
az keyvault key purge --hsm-name <hsm-name> --name myrsakey
## OR
# Note the key name (myaeskey) in the URI
az keyvault key purge --id https://<hsm-name>.managedhsm.azure.net/deletedKeys/myrsakey
Verwenden Sie das Remove-AzKeyVaultKey Cmdlet mit dem -InRemovedState Parameter, um einen gelöschten Schlüssel zu löschen.
Remove-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -InRemovedState
Warnung
Dieser Vorgang löscht den Schlüssel endgültig.
Erstellen einer Schlüsselsicherung
Die Schlüsselsicherung ist derzeit im Azure Portal nicht verfügbar. Verwenden Sie die Azure CLI oder Azure PowerShell.
Verwenden Sie az keyvault key backup, um eine Schlüsselsicherung zu erstellen. Bei der Sicherungsdatei handelt es sich um ein verschlüsseltes Blob, das kryptografisch an die Sicherheitsdomäne des Quell-HSM gebunden ist. Sie können sie nur in HSMs wiederherstellen, die dieselbe Sicherheitsdomäne verwenden. Weitere Informationen zur Sicherheitsdomäne finden Sie hier.
az keyvault key backup --hsm-name <hsm-name> --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key backup --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey --file myrsakey.backup
Verwenden Sie das Backup-AzKeyVaultKey Cmdlet, um eine Schlüsselsicherung zu erstellen. Bei der Sicherungsdatei handelt es sich um ein verschlüsseltes Blob, das kryptografisch an die Sicherheitsdomäne des Quell-HSM gebunden ist.
Backup-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -OutputFile myrsakey.backup
Wiederherstellen eines einzelnen Schlüssels aus einer Sicherung
Navigieren Sie im Azure-Portal zu Ihrer verwalteten HSM-Ressource.
Wählen Sie im linken Menü unter "Einstellungen"die Option "Tasten" aus.
Wählen Sie "Sicherung generieren/importieren/wiederherstellen " aus, und wählen Sie "Wiederherstellungsschlüssel aus sicherung" aus.
Navigieren Sie zu der Sicherungsdatei, und wählen Sie sie aus, und wählen Sie dann "Wiederherstellen" aus.
Verwenden Sie az keyvault key restore, um einen einzelnen Schlüssel wiederherzustellen. Das Quell-HSM, in dem Sie die Sicherung erstellt haben, muss dieselbe Sicherheitsdomäne wie das Ziel-HSM aufweisen, in dem Sie den Schlüssel wiederherstellen.
Hinweis
Der Wiederherstellungsvorgang schlägt fehl, wenn ein Schlüssel mit demselben Namen im aktiven oder gelöschten Zustand vorhanden ist.
az keyvault key restore --hsm-name <hsm-name> --name myrsakey --file myrsakey.backup
## OR
# Note the key name (myaeskey) in the URI
az keyvault key restore --id https://<hsm-name>.managedhsm.azure.net/keys/myrsakey --file myrsakey.backup
Verwenden Sie das Restore-AzKeyVaultKey Cmdlet, um einen einzelnen Schlüssel wiederherzustellen. Das Quell-HSM, in dem Sie die Sicherung erstellt haben, muss dieselbe Sicherheitsdomäne wie das Ziel-HSM aufweisen.
Hinweis
Der Wiederherstellungsvorgang schlägt fehl, wenn ein Schlüssel mit demselben Namen im aktiven oder gelöschten Zustand vorhanden ist.
Restore-AzKeyVaultKey -HsmName <hsm-name> -InputFile myrsakey.backup
Importieren eines Schlüssels aus einer Datei
Der Schlüsselimport ist derzeit im Azure Portal nicht verfügbar. Verwenden Sie die Azure CLI oder Azure PowerShell.
Verwenden Sie den az keyvault key import Befehl, um einen Schlüssel (nur RSA und EC) aus einer Datei zu importieren. Die Zertifikatdatei muss über einen privaten Schlüssel verfügen und die PEM-Codierung verwenden (wie in RFCs 1421, 1422, 1423, 1424 definiert).
az keyvault key import --hsm-name <hsm-name> --name myrsakey --pem-file mycert.key --pem-password 'mypassword'
## OR
# Note the key name (<key-name>) in the URI
az keyvault key import --id https://<hsm-name>.managedhsm.azure.net/keys/<key-name> --pem-file mycert.key --password 'mypassword'
Verwenden Sie das Add-AzKeyVaultKey Cmdlet mit dem -KeyFilePath Parameter, um einen Schlüssel aus einer PEM-Datei zu importieren.
Add-AzKeyVaultKey -HsmName <hsm-name> -Name myrsakey -KeyFilePath ./mycert.key -KeyFilePassword (ConvertTo-SecureString -String 'mypassword' -AsPlainText -Force) -KeyType RSA-HSM
Informationen zum Importieren eines Schlüssels aus Ihrem lokalen HSM in verwaltetes HSM finden Sie unter Importieren von HSM-geschützten Schlüsseln in verwaltetes HSM (BYOK).
Nächste Schritte