コンテンツにスキップ

Azure Managed HSM

このチュートリアルでは、Microsoft AzureのManaged HSM — FIPS 140-2 Level 3認証を受けた実装 — を使用して、Keyless SSLデーモンを持つVMをデプロイします。

始める前に

以下を確認してください:

  • Microsoftのチュートリアルに従って、Managed HSMをプロビジョニングおよびアクティブ化した
  • キーサーバー用のVMをセットアップした

1. VMを作成する

キーのないデーモンをデプロイするためのVMを作成します。

2. キーのないサーバーをデプロイする

これらの手順に従って、キーのないサーバーをデプロイします。

3. Azure CLIをセットアップする

プライベートキーにアクセスするためにAzure CLIをセットアップします。

例えば、macOSを使用している場合:

brew install azure-cli

4. Managed HSMをセットアップする

  1. Azure CLIを通じてログインし、サポートされているリージョンの1つにManaged HSM用のリソースグループを作成します:

    Terminal window
    az login
    az group create --name HSMgroup --location southcentralus

  2. HSMを作成、プロビジョニング、およびアクティブ化します。

  3. プライベートキーをkeyvaultに追加し、ステップ4に必要なURIを返します:

    az keyvault key import --hsm-name "KeylessHSM" --name "hsm-pub-keyless" --pem-file server.key

  4. キーサーバーが同じアカウントのAzure VMで実行されている場合、Managed servicesを使用して認証します:

    1. UIでVMの管理サービスを有効にします。

    2. サービスユーザー(VMに関連付けられている)にHSM署名権限を付与します。

      az keyvault role assignment create  --hsm-name KeylessHSM --assignee $(az vm identity show --name "hsmtestvm" --resource-group "HSMgroup" --query principalId -o tsv) --scope / --role "Managed HSM Crypto User"

  5. gokeyless YAMLファイルに、ステップ2からのURIをprivate_key_storesの下に追加します。例については、READMEを参照してください。

5. gokeylessを再起動する

設定ファイルを保存したら、gokeylessを再起動し、正常に起動したことを確認します:

sudo systemctl restart gokeyless.service
sudo systemctl status gokeyless.service -l
Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings