Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In dieser Schnellstartanleitung erstellen und aktivieren Sie ein Azure Key Vault Managed HSM (Hardware Security Module) mithilfe des Azure-Portals. Verwaltetes HSM ist ein vollständig verwalteter, hochverwendiger, einzelinstanzenfähiger, standardkonformer Clouddienst, mit dem Sie kryptografische Schlüssel für Ihre Cloudanwendungen schützen können, wobei FIPS 140-3 Level 3 validierte HSMs verwendet werden. Weitere Informationen zu verwaltetem HSM erfahren Sie in der Übersicht.
Voraussetzungen
Ein Azure-Abonnement ist erforderlich. Falls Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Erstellen eines verwalteten HSM
Die Erstellung einer Ressource vom Typ „Verwaltetes HSM“ umfasst zwei Schritte:
- Bereitstellen einer verwalteten HSM-Ressource
- Aktivieren des verwalteten HSM durch Herunterladen eines Artefakts, das als Sicherheitsdomäne bezeichnet wird.
Bereitstellen eines verwalteten HSM
Melden Sie sich beim portal Azure an.
Geben Sie im Suchfeld verwaltetes HSM ein, und wählen Sie "Verwaltete HSM-Pools " aus den Ergebnissen aus.
Wählen Sie "Erstellen" aus.
Geben Sie auf der Registerkarte Grundeinstellungen die folgenden Informationen an:
Abonnement: Wählen Sie das Abonnement aus, das Sie verwenden möchten.
Ressourcengruppe: Wählen Sie " Neu erstellen" aus, und geben Sie "myResourceGroup" ein.
Verwalteter HSM-Name: Geben Sie einen Namen für Ihr verwaltetes HSM ein.
Important
Jedes verwaltete HSM muss einen eindeutigen Namen haben.
Region: Wählen Sie "Ost-USA " (oder Ihre bevorzugte Region) aus.
Anfängliche Administratoren: Suchen Sie die Microsoft Entra-Benutzer oder -Gruppen, die als anfängliche Administratoren zugewiesen werden sollen, und wählen Sie sie aus.
Passen Sie die Einstellungen auf den Registerkarten "Erweitert", "Netzwerk" und " Tags " nach Bedarf an.
Klicken Sie aufÜberprüfen + erstellen und dann auf Erstellen.
Die Bereitstellung dauert einige Minuten. Wenn sie fertig ist, navigieren Sie zu der Ressource, um die Zugehörige Übersichtsseite anzuzeigen.
Note
Der Bereitstellungsprozess kann einige Minuten dauern. Nach erfolgreichem Abschluss sind Sie bereit, Ihr HSM zu aktivieren.
Warnung
Verwaltete HSM-Instanzen werden immer verwendet. Wenn Sie den Löschschutz mithilfe der --enable-purge-protection Kennzeichnung aktivieren, zahlen Sie für den gesamten Aufbewahrungszeitraum.
Aktivieren Ihres verwalteten HSM
Alle Datenebenenbefehle werden deaktiviert, bis Sie das HSM aktivieren. Sie können keine Schlüssel erstellen oder Rollen zuweisen. Nur die vorgesehenen Administratoren, die Sie während des Erstellungsbefehls zuweisen, können das HSM aktivieren. Zum Aktivieren des HSM muss die Sicherheitsdomäne heruntergeladen werden.
Um Ihr HSM zu aktivieren, benötigen Sie Folgendes:
- Mindestens drei RSA-Schlüsselpaare (maximal 10)
- Die Mindestanzahl der Schlüssel, die zum Entschlüsseln der Sicherheitsdomäne erforderlich sind (als Quorum bezeichnet)
Sie senden mindestens drei (maximal 10) RSA-öffentliche Schlüssel an das HSM. Das HSM verschlüsselt die Sicherheitsdomäne mit diesen Schlüsseln und sendet sie zurück. Sobald der Download der Sicherheitsdomäne erfolgreich abgeschlossen ist, ist Ihr HSM einsatzbereit. Sie müssen auch das Quorum angeben, bei dem es sich um die Mindestanzahl privater Schlüssel handelt, die zum Entschlüsseln der Sicherheitsdomäne erforderlich sind.
Das folgende Beispiel zeigt, wie Sie mit openssl drei selbstsignierte Zertifikate generieren können:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
Das Ablaufdatum des Zertifikats wirkt sich nicht auf Sicherheitsdomänenvorgänge aus– selbst ein "abgelaufenes" Zertifikat kann weiterhin verwendet werden, um die Sicherheitsdomäne wiederherzustellen.
Important
Diese privaten RSA-Schlüssel sind die Grundlage des Vertrauens für Ihr verwaltetes HSM. Generieren Sie für Produktionsumgebungen diese Schlüssel mithilfe eines luftspaltigen Systems oder eines lokalen HSM, und speichern Sie sie sicher. Ausführliche Anleitungen finden Sie unter bewährte Methoden für Sicherheitsdomänen .
Navigieren Sie im Azure-Portal zu Ihrer verwalteten HSM-Ressource.
Wählen Sie im linken Menü unter "Einstellungen" die Option "Sicherheitsdomäne" aus.
Folgen Sie den Aufforderungen des Portals, Ihre RSA Public Key-Zertifikate (mindestens drei) hochzuladen und den Quorumwert festzulegen.
Laden Sie die verschlüsselte Sicherheitsdomänendatei herunter.
Important
Speichern Sie die Sicherheitsdomänendatei und die privaten RSA-Schlüssel an einem sicheren, separaten Speicherort. Sie benötigen diese, um den Managed HSM in einem Notfallwiederherstellungsszenario wiederherzustellen. Der Verlust der Sicherheitsdomäne kann zu einem dauerhaften Zugriffsverlust führen.
Speichern Sie die Sicherheitsdomänendatei und die RSA-Schlüsselpaare sicher. Sie benötigen sie für die Notfallwiederherstellung oder zum Erstellen eines anderen verwalteten HSM, das dieselbe Sicherheitsdomäne verwendet, damit die beiden Schlüssel gemeinsam nutzen können.
Nachdem Sie die Sicherheitsdomäne erfolgreich heruntergeladen haben, befindet sich Ihr HSM in einem aktiven Zustand und kann verwendet werden.
Bereinigen von Ressourcen
Sobald die Ressourcengruppe nicht mehr benötigt wird, können Sie sie löschen. Dadurch werden das Managed HSM und alle zugehörigen Ressourcen entfernt.
- Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.
- Wählen Sie die Ressourcengruppe aus (z. B. myResourceGroup).
- Wählen Sie die Option Ressourcengruppe löschen.
- Geben Sie den Ressourcengruppennamen ein, und wählen Sie Löschen aus.
Warnung
Durch das Löschen der Ressourcengruppe wird das verwaltete HSM in einen vorläufig gelöschten Zustand versetzt. Das verwaltete HSM wird weiterhin in Rechnung gestellt, bis es gelöscht wird. Siehe Vorläufiges Löschen und Löschschutz des verwalteten HSM
Nächste Schritte
In dieser Schnellstartanleitung haben Sie ein verwaltetes HSM bereitgestellt und aktiviert. Weitere Informationen zum verwalteten HSM und zur Integration in Ihre Anwendungen finden Sie in den folgenden Artikeln.
- Verschaffen Sie sich einen Überblick über verwaltetes HSM.
- Erfahren Sie mehr über das Verwalten von Schlüsseln in einem verwalteten HSM.
- Erfahren Sie mehr über die Rollenverwaltung für ein verwaltetes HSM.
- Überprüfen Sie die Sicherheit Ihrer Azure Managed HSM-Bereitstellung