Es posible cambiar la clave principal de un proveedor de claves; por ejemplo, cuando quiera rotar la clave principal que se utiliza.
Consulte
Prácticas recomendadas de cifrado de máquinas virtuales para obtener instrucciones sobre el ciclo de vida de las claves.
Requisitos previos
Cree y active una clave en el servidor de claves (KMS) para utilizarla como nueva clave principal del proveedor de claves de confianza. Esta clave envuelve otras claves y secretos utilizados por este proveedor de claves de confianza. Consulte la documentación del proveedor de KMS para obtener más información sobre cómo crear claves.
Procedimiento
- Ejecute el comando Set-TrustAuthorityKeyProvider.
Por ejemplo:
Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
- Compruebe el estado del proveedor de claves.
- Asigne la información de Get-TrustAuthorityCluster a una variable.
Por ejemplo:
$vTA = Get-TrustAuthorityCluster 'vTA Cluster'
- Asigne la información de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a una variable.
Por ejemplo:
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
- Ejecute $kp.Status para comprobar el estado del proveedor de claves.
Por ejemplo:
$kp.Status
KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4 Ok {} {IP_address}
Si el estado de mantenimiento es Ok, quiere decir que el proveedor de claves se está ejecutando correctamente.
Resultados
La nueva clave principal se utilizará en cualquier nueva operación de cifrado. Los datos cifrados con la clave principal anterior se seguirán descifrando con la clave anterior.