Azure 密钥保管库
本部分包含以下主题:
生成客户提供的加密密钥
使用此选项创建客户提供的加密密钥。
在您首选的工具中创建一个 RSA-2048 位公共/私密客户提供的加密密钥,或按照以下说明使用 OpenSSL 创建一个加密密钥。
创建客户提供的加密密钥后,请立即将密钥托管给保管人,然后与其他 Azure 管理员共享密钥。如果密钥丢失或意外删除,这种冗余可以提供至关重要的帮助。 如果加密密钥丢失或销毁,您将永久丢失 iManage Work 系统上的所有加密数据。
如要使用 OpenSSL 创建密钥对,请执行以下操作:
下载并在客户端上并安装加密密钥应用程序(如 OpenSSL)。
使用以下命令创建 PEM 文件:
openssl genrsa -aes256 -out private.pem 2048输入私钥的密码短语。
将 RSA 私钥托管给托管人。
除了托管副本之外,亦请在安全位置创建备份(包括密码)。
将私钥和密码复制两份,然后给予两个密钥持有者一人一个副本。
Azure 信息工作表
使用此工作表可以记录在密钥保管库中创建的值。这些值之后将在 iManage Control Center 的密钥仪式中使用。
工作表: Azure 信息工作表
|
名称 |
值 |
||
|
Azure 密钥保管库 DNS 名称 |
示例 |
https://ajubalaw.vault.azure.net/ 包括最后的反斜杠。 |
|
|
1 |
实际 |
||
|
Azure 密钥版本密钥标识符 |
示例 |
https://ajubalaw.vault.azure.net/keys/ajubalaw-1/da93550d9b344d04a212dd06b7e7f4dc |
|
|
2 |
实际 |
||
|
应用程序 ID(也称为客户端 ID) |
示例 |
3fb0c700-536b-4700-9841-61e775400809 |
|
|
3 |
实际 |
||
|
客户端密码(也称为应用程序密码) |
示例 |
xCGRvvvQmKfqwTw[@a@qovRN_Nn72K46 |
|
|
4 |
实际 |
将客户提供的加密密钥添加到 Azure 密钥保管库
使用 Microsoft Azure 创建密钥保管库。按照其在线指令进行操作。
请确保将以下注释已合并到您的步骤中,且结果如以下示例所示。
创建密钥保管库。请注意 Azure 密钥保管库 DNS 名称。例如:https://ajubalaw.vault.azure.net/(包含最后的反斜杠)。
记录 Azure 信息工作表第 1 行的 DNS 名称。
在该密钥保管库中,创建一个密钥资源。 唯一要求的设置是:
* 包括封装密钥和解封密钥。
* 请勿使用设置激活日期或设置过期日期。
导入在生成客户提供的加密密钥步骤中创建的客户提供的加密密钥。
这将创建密钥标识符。例如:https://ajubalaw.vault.azure.net/keys/ajubalaw-1/da93550d9b344d04a212dd06b7e7f4dc
记录 Azure 信息工作表第 2 行的密钥标识符。注册应用程序。
例如: 3fb0c700-536b-4700-9841-61e775400809
记录 Azure 信息工作表第 3 行的应用程序(客户端)ID。创建应用程序密钥,也称为应用程序密码。
创建客户端密码后,立即 记录其值,然后将其托管给保管人。当您离开该节后,您将无法检索它。
例如:xCGRvvvQmKfqwTw[@a@qovRN_Nn72K46
记录 Azure 信息工作表第 4 行的客户端私钥。向应用程序授予对密钥保管库具有以下权限的访问策略: 封装密钥和解封密钥。