您可以變更受信任金鑰提供者的主要金鑰,例如,當您想要輪替所使用的主要金鑰時。

如需有關金鑰生命週期的指引,請參閱 虛擬機器加密最佳做法

必要條件

在金鑰伺服器 (KMS) 上建立並啟用金鑰,以用作受信任金鑰提供者的新主要金鑰。此金鑰會包裝此受信任金鑰提供者所使用的其他金鑰和密碼。如需有關建立金鑰的詳細資訊,請參閱 KMS 廠商說明文件。

程序

  1. 執行 Set-TrustAuthorityKeyProvider 命令。
    例如:
    Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
  2. 驗證金鑰提供者的狀態。
    1. Get-TrustAuthorityCluster 資訊指派給變數。
      例如:
      $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    2. Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 資訊指派給變數。
      例如:
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
    3. 透過執行 $kp.Status 驗證金鑰提供者的狀態。
      例如:
      $kp.Status
      
      KeyProviderId Health HealthDetails ServerStatus
      ------------- ------ ------------- ------------
      domain-c8-kp4     Ok {}            {IP_address}
      
      健全狀況狀態為 [正常] 表示金鑰提供者正在正常執行。

結果

新的主要金鑰將用於任何新的加密作業。使用舊的主要金鑰加密的資料仍會使用舊金鑰進行解密。