Použití rozšíření virtuálního počítače Key Vault na Azure Cloud Services (rozšířená podpora)

Tento článek obsahuje základní informace o rozšíření virtuálního počítače Azure Key Vault pro Windows a ukazuje, jak ho povolit v Azure Cloud Services.

Co je rozšíření virtuálního počítače Key Vault?

Rozšíření Key Vault virtuálních počítačů poskytuje automatickou aktualizaci certifikátů uložených v trezoru klíčů Azure. Rozšíření konkrétně monitoruje seznam pozorovaných certifikátů uložených v trezorech klíčů. Když rozšíření zjistí změnu, načte a nainstaluje odpovídající certifikáty. Další informace najdete v tématu Key Vault rozšíření virtuálního počítače pro Windows.

Co je nového v rozšíření Key Vault virtuálních počítačů?

Rozšíření Key Vault virtuálních počítačů se teď podporuje na platformě Azure Cloud Services (rozšířená podpora), která umožňuje správu certifikátů na konci. Rozšíření teď může načíst certifikáty z nakonfigurovaného trezoru klíčů v předdefinovaném intervalu dotazování a nainstalovat je, aby služba používala.

Jak můžu použít rozšíření Key Vault virtuálních počítačů?

Následující postup vám ukáže, jak nainstalovat rozšíření virtuálního počítače Key Vault do Azure Cloud Services tak, že nejprve ve svém trezoru vytvoříte certifikát bootstrap, abyste získali token z Azure Active Directory (Azure AD). Tento token vám pomůže při ověřování rozšíření s trezorem. Po nastavení procesu ověřování a instalaci rozšíření se všechny nejnovější certifikáty automaticky v pravidelných intervalech dotazování automaticky stahují.

Poznámka

Rozšíření Key Vault virtuálního počítače stáhne všechny certifikáty v úložišti certifikátů Windows do umístění, které certificateStoreLocation vlastnost poskytuje v nastavení rozšíření virtuálního počítače. Rozšíření Key Vault virtuálních počítačů v současné době uděluje přístup k privátnímu klíči certifikátu pouze k účtu místního správce systému.

Požadavky

Pokud chcete použít rozšíření virtuálního počítače Azure Key Vault, musíte mít Azure AD tenanta. Další informace najdete v tématu Rychlý start: Nastavení tenanta.

Povolení rozšíření virtuálního počítače Azure Key Vault

  1. Vygenerujte ve svém trezoru certifikát a stáhněte soubor .cer pro tento certifikát.

  2. V Azure Portal přejděte na Registrace aplikací.

    Screenshot of resources available in the Azure portal, including app registrations.

  3. Na stránce Registrace aplikací vyberte Nová registrace.

    Screenshot that shows the page for app registrations in the Azure portal.

  4. Na další stránce vyplňte formulář a dokončete vytvoření aplikace.

  5. Nahrajte soubor .cer certifikátu na portál aplikace Azure AD.

    Volitelně můžete k nahrání certifikátu použít funkci oznámení Azure Event Grid pro Key Vault.

  6. Udělení oprávnění tajných kódů aplikace Azure Active Directory v Key Vault:

    • Pokud používáte řízení přístupu na základě role (RBAC) ve verzi Preview, vyhledejte název aplikace Azure AD, kterou jste vytvořili, a přiřaďte ji k roli Key Vault Tajné kódy (Preview).
    • Pokud používáte zásady přístupu k trezoru, přiřaďte oprávnění Secret-Get k aplikaci Azure AD, kterou jste vytvořili. Další informace najdete v tématu Přiřazení zásad přístupu.
  7. Nainstalujte rozšíření Key Vault virtuálních počítačů pomocí fragmentu šablony Azure Resource Manager pro cloudService prostředek:

    {
        "osProfile":
        {
            "secrets":
            [
                {
                    "sourceVault":
                    {
                        "id": "[parameters('sourceVaultValue')]"
                    },
                    "vaultCertificates":
                    [
                        {
                            "certificateUrl": "[parameters('bootstrpCertificateUrlValue')]"
                        }
                    ]
                }
            ]
        },
        "extensionProfile":
        {
            "extensions":
            [
                {
                    "name": "KVVMExtensionForPaaS",
                    "properties":
                    {
                        "type": "KeyVaultForPaaS",
                        "autoUpgradeMinorVersion": true,
                        "typeHandlerVersion": "1.0",
                        "publisher": "Microsoft.Azure.KeyVault",
                        "settings":
                        {
                            "secretsManagementSettings":
                            {
                                "pollingIntervalInS": "3600",
                                "certificateStoreName": "My",
                                "certificateStoreLocation": "LocalMachine",
                                "linkOnRenewal": false,
                                "requireInitialSync": false,
                                "observedCertificates": "[parameters('keyVaultObservedCertificates']"
                            },
                            "authenticationSettings":
                            {
                                "clientId": "Your AAD app ID",
                                "clientCertificateSubjectName": "Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                            }
                        }
                    }
                }
            ]
        }
    }
    

    Možná budete muset zadat úložiště certifikátů pro certifikát bootstrap ve službě ServiceDefinition.csdef:

        <Certificates>
                 <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
        </Certificates> 
    

Další kroky

Další vylepšení nasazení povolením monitorování v Azure Cloud Services (rozšířená podpora)