Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze quickstart maakt en activeert u een Azure Key Vault Beheerde HSM (Hardware Security Module) met behulp van PowerShell. Beheerde HSM is een volledig beheerde, maximaal beschikbare cloudservice die compatibel is met één tenant, waarmee u cryptografische sleutels voor uw cloudtoepassingen kunt beveiligen met behulp van met FIPS 140-3 niveau 3 gevalideerde HSM's. Raadpleeg het overzicht voor meer informatie over beheerde HSM.
Vereisten
Als u geen Azure-abonnement hebt, maakt u een vrij account voordat u begint.
- Als u ervoor kiest om Azure PowerShell lokaal te gebruiken:
- Installeer de nieuwste versie van de Az PowerShell-module.
- Maak verbinding met uw Azure-account met behulp van de cmdlet Connect-AzAccount.
- Als u ervoor kiest om Azure Cloud Shell te gebruiken:
- Zie Overzicht van Azure Cloud Shell voor meer informatie.
Een brongroep maken
Een resourcegroep is een logische container waarin Azure resources worden geïmplementeerd en beheerd. Gebruik de cmdlet Azure PowerShell New-AzResourceGroup om een resourcegroep met de naam myResourceGroup te maken op de locatie eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Uw principal-id ophalen
Als u een beheerde HSM wilt maken, hebt u uw Microsoft Entra principal-id nodig. Als u uw id wilt ophalen, gebruikt u de cmdlet Azure PowerShell Get-AzADUser en geeft u uw e-mailadres door aan de parameter UserPrincipalName:
Get-AzADUser -UserPrincipalName "<user-principal-name>"
Uw principal-id wordt geretourneerd in de indeling xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxx.
Een beheerde HSM maken
Het maken van een beheerde HSM is een proces in twee stappen:
- Richt een beheerde HSM-resource in.
- Activeer uw beheerde HSM door een artefact te downloaden dat het beveiligingsdomein wordt genoemd.
Een beheerde Hardware Security Module (HSM) configureren
Gebruik de cmdlet Azure PowerShell New-AzKeyVaultManagedHsm om een nieuwe beheerde HSM te maken. Geef de volgende informatie op:
Beheerde HSM-naam: een tekenreeks van 3 tot 24 tekens die alleen cijfers (0-9), letters (a-z, A-Z) en afbreekstreepjes (-) mogen bevatten.
Belangrijk
Elke beheerde HSM moet een unieke naam hebben. Vervang door
<hsm-name>uw eigen unieke beheerde HSM-naam in de volgende voorbeelden.Naam van resourcegroep: myResourceGroup.
Locatie: EASTUS (of uw geselecteerde locatie).
Uw principal-id: Geef de Microsoft Entra principal-id die u in de vorige sectie hebt verkregen door aan de parameter "Administrator".
New-AzKeyVaultManagedHsm -Name "<hsm-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS" -Administrator "<principal-id>" -SoftDeleteRetentionInDays "<retention-days>"
Notitie
Het kan enkele minuten duren voor de maakopdracht is uitgevoerd. Wanneer deze succesvol wordt geretourneerd, bent u klaar om uw HSM te activeren.
Waarschuwing
Beheerde HSM-exemplaren zijn altijd in gebruik. Als u beveiliging tegen opschonen inschakelt met behulp van de --enable-purge-protection vlag, betaalt u voor de volledige bewaarperiode.
In de uitvoer van deze cmdlet ziet u eigenschappen van de pas aangemaakte beheerde HSM. Noteer deze twee eigenschappen:
- Naam: de naam die u hebt opgegeven voor de beheerde HSM.
-
HsmUri: de URI voor uw HSM (bijvoorbeeld
https://<hsm-name>.managedhsm.azure.net/). Toepassingen die via de REST API gebruikmaken van uw kluis, moeten deze URI gebruiken.
Op dit moment is uw Azure-account de enige die gemachtigd is om bewerkingen uit te voeren op deze nieuwe HSM.
Uw beheerde HSM activeren
Alle gegevensvlakopdrachten zijn uitgeschakeld totdat u de HSM activeert. U kunt geen sleutels maken of rollen toewijzen. Alleen de aangewezen beheerders die u tijdens de opdracht maken toewijst, kunnen de HSM activeren. Als u de HSM wilt activeren, moet u het beveiligingsdomein downloaden.
Als u uw HSM wilt activeren, hebt u het volgende nodig:
- Minimaal drie RSA-sleutelparen (maximaal 10)
- Het minimale aantal sleutels dat is vereist voor het ontsleutelen van het beveiligingsdomein (een quorum genoemd)
U verzendt ten minste drie (maximaal 10) openbare RSA-sleutels naar de HSM. De HSM versleutelt het beveiligingsdomein met deze sleutels en stuurt het terug. Zodra het downloaden van het beveiligingsdomein is voltooid, kunt u uw HSM gebruiken. U moet ook het quorum opgeven. Dit is het minimale aantal persoonlijke sleutels dat nodig is om het beveiligingsdomein te ontsleutelen.
In het volgende voorbeeld ziet u hoe openssl u drie zelfondertekende certificaten genereert:
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
De vervaldatum van het certificaat heeft geen invloed op bewerkingen van het beveiligingsdomein. Zelfs een verlopen certificaat kan nog steeds worden gebruikt om het beveiligingsdomein te herstellen.
Belangrijk
Deze persoonlijke RSA-sleutels vormen de basis van vertrouwen voor uw beheerde HSM. Genereer deze sleutels voor productieomgevingen door gebruik te maken van een air-gapped systeem of een on-premises HSM, en sla deze veilig op. Zie aanbevolen procedures voor beveiligingsdomeinen voor gedetailleerde richtlijnen.
Aanbeveling
OpenSSL voor Windows is beschikbaar via de OpenSSL-website.
Gebruik de cmdlet Azure PowerShell Export-AzKeyVaultSecurityDomain om het beveiligingsdomein te downloaden en uw beheerde HSM te activeren. In het volgende voorbeeld worden drie RSA-sleutelparen gebruikt (alleen openbare sleutels zijn nodig voor deze opdracht) en wordt het quorum ingesteld op twee.
Export-AzKeyVaultSecurityDomain -Name "<hsm-name>" -Certificates "cert_0.cer", "cert_1.cer", "cert_2.cer" -OutputPath "<hsm-name>-SD.json" -Quorum 2
Sla het beveiligingsdomeinbestand en de RSA-sleutelparen veilig op. U hebt ze nodig voor herstel na noodgevallen of voor het maken van een andere beheerde HSM die hetzelfde beveiligingsdomein deelt, zodat de twee sleutels kunnen delen.
Nadat het beveiligingsdomein is gedownload, heeft uw HSM een actieve status en kunt u deze gebruiken.
Middelen opschonen
Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om verder te gaan met andere snelstarts en zelfstudies, kunt u deze resources intact laten.
Wanneer u deze niet meer nodig hebt, kunt u de cmdlet Azure PowerShell Remove-AzResourceGroup gebruiken om de resourcegroep en alle gerelateerde resources te verwijderen.
Remove-AzResourceGroup -Name "myResourceGroup"
Waarschuwing
Als u de resourcegroep verwijdert, wordt de beheerde HSM in een voorlopig verwijderde status gebracht. De beheerde HSM wordt nog steeds gefactureerd totdat het wordt verwijderd. Zie Voorlopige verwijdering van HSM en beveiliging tegen opschonen
Volgende stappen
In deze quickstart hebt u een beheerde HSM gemaakt en geactiveerd. Voor meer informatie over beheerde HSM en hoe u deze integreert met uw toepassingen, gaat u verder met deze artikelen:
- Bekijk Secure your Azure Managed HSM deployment.
- Lees een Overzicht van Azure Beheerde HSM.
- Raadpleeg de referentie voor de Azure PowerShell Key Vault-cmdlets.