البداية السريعة: قم بتعيين واسترداد شهادة من Azure Key Vault باستخدام Azure PowerShell

في هذه البداية السريعة، يمكنك إنشاء مخزن مفاتيح في Azure Key Vault باستخدام Azure PowerShell. إن Azure Key Vault هي خدمة سحابية تعمل كمخزن آمن للأسرار. يمكنك تخزين المفاتيح وكلمات المرور والشهادات والأسرار الأخرى بأمان. لمزيد من المعلومات حول Key Vault، راجع نظرة عامة. يتم استخدام Azure PowerShell لإنشاء موارد Azure وإدارتها باستخدام الأوامر أو البرامج النصية. بعد ذلك، يمكنك تخزين شهادة.

المتطلبات الأساسية

في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

• إذا اخترت استخدام Azure PowerShell محليا:
  • تثبيت أحدث إصدار من الوحدة النمطية Az PowerShell.
  • اتصل بحساب Azure الخاص بك باستخدامConnect-AzAccount cmdlet.
• إذا اخترت استخدام Azure Cloud Shell:
  • لمزيد من المعلومات، راجع نظرة عامة على Azure Cloud Shell.

إنشاء مجموعة موارد

وتُعد مجموعة الموارد عبارة عن حاوية منطقية يتم فيها توزيع موارد Azure وإدارتها. استخدم Azure PowerShellNew-AzResourceGroup cmdlet لإنشاء مجموعة موارد باسم myResourceGroupفي موقعشرق الولايات المتحدة.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

إنشاء مخزن رئيسي

استخدم Azure PowerShell New-AzKeyVault cmdlet لإنشاء "Key Vault" في مجموعة الموارد من الخطوة السابقة. تحتاج إلى توفير بعض المعلومات:

• اسم مخزن المفاتيح: سلسلة من 3 إلى 24 حرفًا يمكن أن تحتوي فقط على أرقام (0-9)، وأحرف (a-z، A-Z)، وواصلات (-)

  هام

  يجب أن يكون لكل مخزن رئيسي اسم فريد. استبدل <your-unique-keyvault-name> باسم المخزن الرئيس في الأمثلة التالية.

• اسم مجموعة الموارد: myResourceGroup.

• الموقع: EastUS.

New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"

يظهر إخراج cmdlet خصائص key vault الذي تم إنشاؤه حديثًا. انتبه إلى هاتين الخاصيتين:

• اسم المخزن: الاسم الذي قدمته إلى المعلمة -Name.
• Vault URI: في المثال، URI هذا هو https://< your-unique-keyvault-name.vault.azure.net/>. يجب أن تستخدم التطبيقات التي تستخدم مخزنك من خلال واجهة برمجة تطبيقات REST الخاصة بها معرّف الموارد المنتظم (URI).

في هذه المرحلة، حساب Azure الخاص بك هو الوحيد المخول بإجراء أي عمليات على هذا الـ vault الجديد.

منح حساب المستخدم أذونات لإدارة الشهادات في Key Vault

للحصول على أذونات إلى مخزن المفاتيح الخاص بك من خلال التحكم في الوصول المستند إلى الدور (RBAC)، قم بتعيين دور إلى "اسم المستخدم الأساسي" (UPN) باستخدام Azure PowerShell cmdlet New-AzRoleAssignment.

New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Certificate Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

استبدل <upn>، <subscription-id>، <resource-group-name> و <your-unique-keyvault-name> بقيمك الفعلية. سيكون UPN الخاص بك عادة بتنسيق عنوان بريد إلكتروني (على سبيل المثال، username@domain.com).

إضافة شهادة إلى Key Vault

يمكن الآن إضافة شهادة إلى المخزن. يمكن استخدام هذه الشهادة بواسطة أحد التطبيقات.

استخدم هذه الأوامر لإنشاء شهادة موقعة ذاتيا مع نهج يسمى ExampleCertificate :

$Policy = New-AzKeyVaultCertificatePolicy -SecretContentType "application/x-pkcs12" -SubjectName "CN=contoso.com" -IssuerName "Self" -ValidityInMonths 6 -ReuseKeyOnRenewal

Add-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate" -CertificatePolicy $Policy

يمكنك الآن الرجوع إلى هذه الشهادة التي أضفتها إلى Azure Key Vault باستخدام URI الخاص به. استخدم https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate للحصول على الإصدار الحالي.

لعرض الشهادة المخزنة مسبقاً:

Get-AzKeyVaultCertificate -VaultName "<your-unique-keyvault-name>" -Name "ExampleCertificate"

استكشاف الأخطاء وإصلاحها:

أعادت العملية رمز حالة غير صالح "Forbidden"

إذا تلقيت هذا الخطأ، فإن الحساب الذي يصل إلى Azure Key Vault ليست لديه الأذونات المناسبة لإنشاء الشهادات.

قم بتشغيل أمر Azure PowerShell التالي لتعيين الأذونات المناسبة:

Set-AzKeyVaultAccessPolicy -VaultName <KeyVaultName> -ObjectId <AzureObjectID> -PermissionsToCertificates get,list,update,create

تنظيف الموارد

يعتمد البدء السريع والبرامج التعليمية الأخرى في هذه المجموعة على هذا البدء السريع. إذا كنت تخطط لمواصلة العمل مع التشغيلات السريعة والبرامج التعليمية الأخرى فقد ترغب في ترك هذه الموارد في مكانها.

عند انتهاء الحاجة إليها، يمكنك استخدام Remove-AzResourceGroup cmdlet الخاص بـ Azure PowerShell لإزالة مجموعة الموارد وجميع الموارد ذات الصلة.

Remove-AzResourceGroup -Name "myResourceGroup"

الخطوات التالية

في هذه البداية السريعة، أنشأت Key Vault وقمت بتخزين شهادة فيه. لمعرفة المزيد حول Key Vault وكيفية دمجه مع التطبيقات الخاصة بك، تابع المقالات أدناه.

• اقرأ نظرة عامة على Azure Key Vault
• راجع مرجع Azure PowerShell Key Vault cmdlets
• راجع نظرة عامة على أمان Key Vault