È possibile modificare la chiave primaria di un provider di chiavi affidabile, ad esempio quando si desidera eseguire la rotazione della chiave primaria utilizzata.

Vedere Procedure consigliate per la crittografia delle macchine virtuali per istruzioni sul ciclo di vita della chiave.

Prerequisiti

Creare e attivare una chiave sul server di chiavi (KMS) da utilizzare come nuova chiave primaria per il provider di chiavi attendibile. Questa chiave esegue il wrapping di altri segreti e chiavi utilizzati da questo provider di chiavi attendibile. Per ulteriori informazioni sulla creazione delle chiavi, vedere la documentazione del fornitore KMS.

Procedura

  1. Eseguire il comando Set-TrustAuthorityKeyProvider.
    Ad esempio: 
    Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
  2. Verificare lo stato del provider di chiavi.
    1. Assegnare le informazioni su Get-TrustAuthorityCluster a una variabile.
      Ad esempio: 
      $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    2. Assegnare le informazioni su Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a una variabile.
      Ad esempio: 
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
    3. Verificare lo stato del provider di chiavi eseguendo $kp.Status.
      Ad esempio: 
      $kp.Status

KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4     Ok {}            {IP_address}
      Uno stato di integrità corrispondente a OK indica che il provider di chiavi è in esecuzione correttamente.

risultati

La nuova chiave primaria viene utilizzata per le nuove operazioni di crittografia. I dati crittografati con la chiave primaria precedente vengono ancora decrittografati mediante la chiave precedente.