您可以變更金鑰提供者的主要金鑰,例如,當您想要輪替所使用的主要金鑰時。
如需有關金鑰生命週期的指引,請參閱
虛擬機器加密最佳做法。
必要條件
在金鑰伺服器 (KMS) 上建立並啟用金鑰,以用作受信任金鑰提供者的新主要金鑰。此金鑰會包裝此受信任金鑰提供者所使用的其他金鑰和密碼。如需有關建立金鑰的詳細資訊,請參閱 KMS 廠商說明文件。
程序
- 執行 Set-TrustAuthorityKeyProvider 命令。
例如:
Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
- 驗證金鑰提供者的狀態。
- 將 Get-TrustAuthorityCluster 資訊指派給變數。
例如:
$vTA = Get-TrustAuthorityCluster 'vTA Cluster'
- 將 Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 資訊指派給變數。
例如:
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
- 透過執行 $kp.Status 驗證金鑰提供者的狀態。
例如:
$kp.Status
KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4 Ok {} {IP_address}
健全狀況狀態為 [正常] 表示金鑰提供者正在正常執行。
結果
新的主要金鑰將用於任何新的加密作業。使用舊的主要金鑰加密的資料仍會使用舊金鑰進行解密。