بداية سريعة: تعيين واسترداد شهادة من Azure Key Vault باستخدام Azure CLI

يمكنك، في بدء التشغيل السريع هذا، إنشاء مخزن مفتاح في Azure Key Vault باستخدام Azure CLI. إن Azure Key Vault هي خدمة سحابية تعمل كمخزن آمن للأسرار. يمكنك تخزين المفاتيح وكلمات المرور والشهادات والأسرار الأخرى بأمان. لمزيد من المعلومات حول Key Vault، يمكنك مراجعة نظرة عامة. يتم استخدام Azure CLI لإنشاء موارد Azure وإدارتها باستخدام الأوامر أو البرامج النصية. بمجرد الانتهاء من ذلك، سوف تقوم بتخزين الشهادة.

إذا لم يكن لديك اشتراك في Azure، فأنشئ حساب Azure مجاني قبل أن تبدأ.

المتطلبات الأساسية

  • يتطلب بدء التشغيل السريع هذا توافر الإصدار 2.0.4 من Azure CLI أو الأحدث. إذا كنت تستخدم Azure Cloud Shell، يتم تثبيت أحدث إصدار بالفعل.

إنشاء مجموعة موارد

وتُعد مجموعة الموارد عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها. استخدم الأمر إنشاء مجموعة az لإنشاء مجموعة موارد باسم myResourceGroup في موقع eastus.

az group create --name "myResourceGroup" --location "EastUS"

إنشاء مخزن رئيسي

استخدم الأمر Azure CLI az keyvault create لإنشاء Key Vault في مجموعة الموارد من الخطوة السابقة. ستحتاج إلى تقديم بعض المعلومات:

  • اسم مخزن المفاتيح: سلسلة من 3 إلى 24 حرفًا يمكن أن تحتوي فقط على أرقام (0-9)، وأحرف (a-z، A-Z)، وواصلات (-)

    هام

    يجب أن يكون لكل مخزن رئيسي اسم فريد. استبدل <your-unique-keyvault-name> باسم المخزن الرئيس في الأمثلة التالية.

  • اسم مجموعة الموارد: myResourceGroup.

  • الموقع: EastUS.

az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"

يُظهر إخراج هذا الأمر خصائص قبو المفاتيح الذي تم إنشاؤه حديثًا. انتبه إلى هاتين الخاصيتين:

  • اسم المخزن: الاسم الذي قدمته للمعلمة --name .
  • Vault URI: في هذا المثال، يكون Vault URI https://< your-unique-keyvault-name.vault.azure.net/>. يجب أن تستخدم التطبيقات التي تستخدم مخزنك من خلال واجهة برمجة تطبيقات REST الخاصة بها معرّف الموارد المنتظم (URI).

منح حساب المستخدم أذونات لإدارة الشهادات في Key Vault

للحصول على أذونات إلى مخزن المفاتيح الخاص بك من خلال التحكم في الوصول المستند إلى الدور (RBAC)، قم بتعيين دور إلى "اسم المستخدم الأساسي" (UPN) باستخدام الأمر Azure CLI az role assignment create.

az role assignment create --role "Key Vault Certificate Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

استبدل <upn>، <subscription-id>، <resource-group-name> و <your-unique-keyvault-name> بقيمك الفعلية. سيكون UPN الخاص بك عادة بتنسيق عنوان بريد إلكتروني (على سبيل المثال، username@domain.com).

إضافة شهادة إلى Key Vault

لإضافة سر إلى المخزن، ما عليك سوى اتخاذ بضع خطوات إضافية. يمكن استخدام هذه الشهادة بواسطة أحد التطبيقات.

اكتب الأوامر أدناه لإنشاء شهادة موقعة ذاتياً ذات نهج افتراضية تسمى ExampleCertificate:

az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n ExampleCertificate -p "$(az keyvault certificate get-default-policy)"

يمكنك الآن الرجوع إلى هذه الشهادة التي أضفتها إلى Azure Key Vault باستخدام URI الخاص به. استخدم https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate للحصول على الإصدار الحالي.

لعرض الشهادة المخزنة مسبقاً:


az keyvault certificate show --name "ExampleCertificate" --vault-name "<your-unique-keyvault-name>"

الآن، قمت بإنشاء Key Vault وتخزين شهادة واستردادها.

تنظيف الموارد

يعتمد البدء السريع والبرامج التعليمية الأخرى في هذه المجموعة على هذا البدء السريع. إذا كنت تخطط لمواصلة العمل مع الخطوات السريعة والبرامج التعليمية اللاحقة، فقد ترغب في ترك هذه الموارد في مكانها.

يمكنك، عند عدم الحاجة إلى ذلك، استخدام الأمر az group delete في Azure CLI لإزالة مجموعة الموارد وجميع الموارد ذات الصلة:

az group delete --name "myResourceGroup"

الخطوات التالية

في هذه البداية السريعة، أنشأت Key Vault وقمت بتخزين شهادة فيه. لمعرفة المزيد حول Key Vault وكيفية دمجه مع التطبيقات الخاصة بك، تابع المقالات أدناه.