Share via

البداية السريعة: قم بتعيين واسترداد شهادة من Azure Key Vault باستخدام Azure PowerShell

  • مقالة

في هذه البداية السريعة، يمكنك إنشاء مخزن مفاتيح في Azure Key Vault باستخدام Azure PowerShell. إن Azure Key Vault هي خدمة سحابية تعمل كمخزن آمن للأسرار. يمكنك تخزين المفاتيح وكلمات المرور والشهادات والأسرار الأخرى بأمان. لمزيد من المعلومات حول Key Vault، راجع نظرة عامة. يتم استخدام Azure PowerShell لإنشاء موارد Azure وإدارتها باستخدام الأوامر أو البرامج النصية. بعد ذلك، يمكنك تخزين شهادة.

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

Azure Cloud Shell

Azure يستضيف Azure Cloud Shell، بيئة تفاعلية يمكن استخدامها من خلال المستعرض. يمكنك استخدام Bash أو PowerShell مع Cloud Shell للعمل مع خدمات Azure. يمكنك استخدام أوامر Cloud Shell المثبتة مسبقًا لتشغيل التعليمات البرمجية في هذه المقالة دون الحاجة إلى تثبيت أي شيء على البيئة المحلية.

لبدء Azure Cloud Shell:

خيار مثال/ رابط
انقر فوق ⁧⁩جربه⁧⁩ في الزاوية العلوية اليسرى من التعليمة البرمجية أو كتلة الأمر. تحديد ⁧⁩جربه⁧⁩ لا يقوم بنسخ التعليمة البرمجية أو الأمر تلقائيًا إلى Cloud Shell. لقطة شاشة تعرض مثالاً على Try It for Azure Cloud Shell.
انتقل إلى ⁧⁩⁧ https://shell.azure.com⁩⁧⁩، أو حدد زر ⁩تشغيل Cloud Shell لفتح Cloud Shell في المتصفح لديك. زر لتشغيل Azure Cloud Shell.
حدد زر Cloud Shell على شريط القوائم في أعلى اليمين في مدخل Microsoft Azure. لقطة شاشة تعرض زر Cloud Shell في مدخل Microsoft Azure

لاستخدام Azure Cloud Shell:

  1. ابدأ تشغيل Cloud Shell.

  2. حدد الزر نسخ على كتلة التعليمات البرمجية (أو كتلة الأوامر) لنسخ التعليمات البرمجية أو الأمر.

  3. ألصق التعليمة البرمجية أو الأمر في جلسة Cloud Shell بتحديد Ctrl+Shift+Vعلى Windows وLunix، أو بتحديد Cmd+Shift+Vعلى macOS.

  4. حدد Enter لتشغيل التعليمات البرمجية أو الأمر.

إذا اخترت تثبيت PowerShell واستخدامه محلياً، فإن هذا البرنامج التعليمي يتطلب إصدار وحدة Azure PowerShell 1.0.0 أو إصدار أحدث. اكتب $PSVersionTable.PSVersion للعثور على الإصدار. إذا كنت بحاجة إلى الترقية، فراجع تثبيت الوحدة النمطية Azure PowerShell. عند تشغيل PowerShell محلياً، يلزم تشغيل Connect-AzAccount لإنشاء الاتصال بـ Azure.

Connect-AzAccount

إنشاء مجموعة موارد

وتُعد مجموعة الموارد عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها. استخدم Azure PowerShellNew-AzResourceGroup cmdlet لإنشاء مجموعة موارد باسم myResourceGroupفي موقعشرق الولايات المتحدة.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

إنشاء مخزن رئيسي

استخدم Azure PowerShell New-AzKeyVault cmdlet لإنشاء "Key Vault" في مجموعة الموارد من الخطوة السابقة. ستحتاج إلى تقديم بعض المعلومات:

  • اسم مخزن المفاتيح: سلسلة من 3 إلى 24 حرفًا يمكن أن تحتوي فقط على أرقام (0-9)، وأحرف (a-z، A-Z)، وواصلات (-)

    هام

    يجب أن يكون لكل مخزن رئيسي اسم فريد. استبدل <your-unique-keyvault-name> باسم المخزن الرئيس في الأمثلة التالية.

  • اسم مجموعة الموارد: myResourceGroup.

  • الموقع: EastUS.

New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"

يظهر إخراج cmdlet خصائص key vault الذي تم إنشاؤه حديثًا. دوّن اثنتين من الخصائص المذكورة أدناه:

  • اسم المخزن: الاسم الذي قدمته للمعلمة Name- أعلاه.
  • عنوان URI لـ Vault: في المثال، هذا يكون https://<your-unique-keyvault-name>.vault.azure.net/. يجب أن تستخدم التطبيقات التي تستخدم مخزنك من خلال واجهة برمجة تطبيقات REST الخاصة بها معرّف الموارد المنتظم (URI).

في هذه المرحلة، حساب Azure الخاص بك هو الوحيد المخول بإجراء أي عمليات على هذا الـ vault الجديد.

امنح حق الوصول إلى خزنة المفاتيح الخاصة بك

لمنح أذونات التطبيق إلى مخزن المفاتيح الخاص بك من خلال التحكم في الوصول استنادا إلى الدور (RBAC)، قم بتعيين دور باستخدام Azure PowerShell cmdlet New-AzRoleAssignment.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets User" -SignInName "<your-email-address>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

استبدل <your-email-address> و <subscription-id> و <resource-group-name> و <your-unique-keyvault-name> بقيمك الفعلية. <عنوان> بريدك الإلكتروني هو اسم تسجيل الدخول الخاص بك؛ يمكنك بدلا من ذلك استخدام المعلمة -ObjectId ومعرف كائن Microsoft Entra.

إضافة شهادة إلى Key Vault

يمكن الآن إضافة شهادة إلى المخزن. يمكن استخدام هذه الشهادة بواسطة أحد التطبيقات.

استخدم هذه الأوامر لإنشاء شهادة موقعة ذاتيا مع نهج يسمى ExampleCertificate :

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy

يمكنك الآن الرجوع إلى هذه الشهادة التي أضفتها إلى Azure Key Vault باستخدام URI الخاص به. استخدم https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate للحصول على الإصدار الحالي.

لعرض الشهادة المخزنة مسبقاً:

Get-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate"

استكشاف الأخطاء وإصلاحها:

أعادت العملية رمز حالة غير صالح "Forbidden"

إذا تلقيت هذا الخطأ، فإن الحساب الذي يصل إلى Azure Key Vault ليست لديه الأذونات المناسبة لإنشاء الشهادات.

قم بتشغيل أمر Azure PowerShell التالي لتعيين الأذونات المناسبة:

Set-AzKeyVaultAccessPolicy -VaultName <KeyVaultName> -ObjectId <AzureObjectID> -PermissionsToCertificates get,list,update,create

تنظيف الموارد

يعتمد البدء السريع والبرامج التعليمية الأخرى في هذه المجموعة على هذا البدء السريع. إذا كنت تخطط لمواصلة العمل مع التشغيلات السريعة والبرامج التعليمية الأخرى فقد ترغب في ترك هذه الموارد في مكانها.

عند انتهاء الحاجة إليها، يمكنك استخدام Remove-AzResourceGroup cmdlet الخاص بـ Azure PowerShell لإزالة مجموعة الموارد وجميع الموارد ذات الصلة.

Remove-AzResourceGroup -Name "myResourceGroup"

الخطوات التالية

في هذه البداية السريعة، أنشأت Key Vault وقمت بتخزين شهادة فيه. لمعرفة المزيد حول Key Vault وكيفية دمجه مع التطبيقات الخاصة بك، تابع المقالات أدناه.