快速入门：使用 Azure 门户预配和激活托管 HSM

在本快速入门中，你将使用 Azure 门户创建和激活Azure 密钥保管库托管 HSM（硬件安全模块）。 托管 HSM 是一种完全托管、高度可用、符合标准的单租户云服务，可用于使用 FIPS 140-3 级别 3 验证的 HSM 来保护云应用程序的加密密钥。 有关托管 HSM 的详细信息，请查看 概述。

先决条件

需要一个 Azure 订阅。 如果没有帐户，请在开始之前创建 一个免费帐户 。

创建托管 HSM

创建托管 HSM 的过程分为两步：

1. 配置托管 HSM 资源。
2. 通过下载名为安全域的工件来激活托管 HSM。

配置托管 HSM

1. 登录到 Azure 门户。

2. 在搜索框中，输入 托管 HSM 并从结果中选择 托管 HSM 池 。

3. 选择“创建”。

4. 在“基本信息”选项卡中提供以下信息：

   • 订阅：选择要使用的订阅。

   • 资源组：选择 “新建 ”并输入 myResourceGroup。

   • 托管 HSM 名称：输入托管 HSM 的名称。

     Important

     每个托管 HSM 都必须有唯一名称。

   • 区域：选择 “中国东部 ”（或首选区域）。

   • initial administrator（s）：搜索并选择要指定为初始管理员的Microsoft Entra用户或组。

   在 Microsoft Azure 门户中，“创建 Azure 密钥保管库 托管 HSM 基本信息”选项卡的屏幕截图。

5. 根据需要调整 “高级”、“ 网络”和“ 标记 ”选项卡上的设置。

6. 选择查看 + 创建，然后选择创建。

   部署需要数分钟才能完成。 完成后，导航到资源以查看其“概述”页。

   

激活托管 HSM

在激活 HSM 之前，将禁用所有数据平面命令。 无法创建密钥或分配角色。 只有你在创建命令期间分配的指定管理员才能激活 HSM。 必须下载安全域才能激活 HSM。

您若要激活 HSM，您需要：

• 至少三个 RSA 密钥对（最大 10 个）
• 解密安全域所需的最小密钥数（称为 法定数量）

至少向 HSM 发送 3 个 （最大 10） RSA 公钥。 HSM 利用这些密钥对安全域进行加密，并将其发回。 安全域下载成功完成后，HSM 即可使用。 您还需要指定法定人数，这是解密安全域所需的最小私钥数。

以下示例演示如何用于 openssl 生成三个自签名证书：

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

证书过期日期不会影响安全域操作，甚至“已过期”证书仍可用于还原安全域。

1. 在Azure门户中，导航到托管 HSM 资源。

2. 在左侧菜单中的 “设置”下，选择“ 安全”域。

3. 按照门户提示上传 RSA 公钥证书（至少三个），并设置仲裁值。

4. 下载加密的安全域文件。

安全地存储安全域文件和 RSA 密钥对。 需要它们进行灾难恢复，或者创建共享同一安全域的另一个托管 HSM，以便两者可以共享密钥。

成功下载安全域后，HSM 处于活动状态，可供你使用。

清理资源

如果不再需要，可以删除资源组，这将删除 Managed HSM 和所有相关资源。

1. 在Azure portal中，搜索并选择资源组。
2. 选择资源组（例如 myResourceGroup）。
3. 选择“ 删除资源组”。
4. 输入资源组名称，然后选择“删除”。

后续步骤

在本快速入门中，你预配并激活了托管 HSM。 若要详细了解托管 HSM 以及如何将其与应用程序集成，请继续阅读以下文章。

• 请参阅托管 HSM 概述
• 了解如何管理托管 HSM 中的密钥
• 了解托管 HSM 的角色管理
• 审查 保护 Azure 托管 HSM 部署